use*_*314 12 server ssh iptables
几周前,我在这里发布了一个关于ssh我在 Ubuntu 12.04 机器上遇到的一些问题的问题。快进到今天,我试图允许其他人访问该机器,但他们不断收到密码错误。我结帐以var/logs/auth.log获取更多信息,并发现了这一点:
May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x
我有将近 10000 行似乎都或多或少地说了相同的事情(还有 4 个 auth.log.gz 文件,我假设它们更多相同?)。有时会有一个随机的用户名附加到请求中,input_userauth_request: invalid user bash [preauth]
我对服务器不太了解,但看起来有人试图访问我的服务器。
谷歌搜索如何在 Ubuntu 中阻止 IP 地址并最终得到这个:iptables -A INPUT -s 211.110.xxx.x -j DROP,但是在运行该命令并检查日志后,我仍然每 5 秒收到来自这个 IP 的请求。
我怎样才能更多地了解正在发生的事情并处理这些不断的请求?
Dra*_*Noc 14
根据您的描述,它看起来像是对您服务器的自动攻击。大多数攻击都是,除非攻击者认识你本人并且怀有怨恨......
无论如何,您可能想要查看拒绝主机,您可以从通常的存储库中获得它。它可以分析重复的尝试并阻止他们的 IP 地址。您可能仍会在日志中得到一些信息,但它至少有助于缓解任何安全问题。
至于获得更多信息,我真的不会打扰。除非他们是业余爱好者,否则他们将使用远程服务器来完成他们的肮脏工作,而这不会告诉您他们的真实身份。最好的办法是找到 IP 范围的管理员(WHOIS 是您的朋友),并让他们知道您从该 IP 获得了大量访问尝试。他们可能足以为此做点什么。