Logwatch - 正在被自己的网络路由器探测？

Question

我一直在玩弄运行在 Ubuntu 服务器上的 Apache 的乐趣。它被设置为全球 Web 服务器并共享一些我可以在任何地方访问的文件。我还使用它来连接我的音乐，并在我离开家时通过我的 Android 手机播放。它还包含仅对我的本地网络可见的共享。

几周前我设置了 logwatch，每天早上都会通过电子邮件将日志发送给我。我时不时地在我的日志（或非常类似的东西）中看到这一点。

Attempts to use known hacks by 1 hosts were logged 3 time(s) from:
   <Routers local IP Address>: 3 Time(s)

Logwatch 显示没有成功的尝试，我很确定我没有被黑客入侵。但是什么会导致我的路由器本地 IP 地址在 logwatch 中显示为威胁？

难道是偷偷出来毁了我O-o？

关于网络的一些其他花絮：

1. 我的路由器将我的家庭网络隐藏在 NAT 后面
2. 我确实在 Android 上进行开发，并通过 Eclipse 中的模拟器以及我的手机与其建立连接。
3. 我的手机和家用 PC 连接到网络共享以流式传输音乐和下载文件（全球和本地）

我似乎无法准确指出是什么导致了这种情况..

• 安卓代码不好？
• 服务器在本地和全局共享的事实？
• 从蜂窝网络访问？

编辑：更多关于我的架构

我的家庭网络在我的路由器 NAT 后面（路由器本地 IP 是 .1）。我有一台笔记本电脑和一台台式机，它们都有静态 IP。我的桌面可以连接无线和有线。我还有一个 Wii，它可以在需要上网等时连接。下表是我的路由器的表格，显示了已连接的内容。

.2    <MAC ADDRESS>   expired (This is my Desktops Wireless Conn.)
.3    <MAC ADDRESS>   Forever (This is my laptop)
.4    <MAC ADDRESS>   Forever (This is my Desktop Wired Conn.)
.8    <MAC ADDRESS>   Forever (This is my Wii)
.5    <MAC ADDRESS>   Forever (This is my phone)

我将所有 MAC 地址与家中的设备匹配。

我还查看了路由器记录的日志（发布时间很长），但唯一的 IP 是我家中设备的 IP。

编辑：更多路由器信息

• EnGenius ESR9850
• NAT 已启用
• 路由器防火墙已启用
• 路由器提供两个不同的 SSID（但这应该不会造成问题）
• 路由器具有端口转发功能，将端口 80 转发到更高编号的端口，并将其转发到 0.6 处的服务器）
• 路由器设置为仅允许 .2 - .10 的 IP 建立连接。
• 路由器和每个 SSID 都有密码保护（所有不同的密码）

编辑：收到另一次黑客攻击

今天我收到了以下内容

Attempts to use known hacks by 1 hosts were logged 1 time(s) from:
X.X.X.X: times(1)

A total of 1 sites probed the server
X.X.X.X

列出的 IP 显然是全局 IP 地址，而不是我的路由器的 IP 地址。

从下面的答案看来，我只会将路由器 IP 视为“黑客”。在这种情况下，它如何显示全局 IP。

注意：这个全局IP不是我NAT的全局IP，也不是我智能手机的全局IP。

Answer 1

由于您的服务器对 Internet 开放，因此它也容易受到攻击，我认为这就是正在发生的事情。您路由器的外部IP 地址位于 Internet 的一个地址段中，一台或多台使用已知漏洞的受感染计算机正在扫描该地址段。

对您计算机的攻击似乎来自路由器，因为路由器位于您和 Internet 之间：

攻击是通过您在路由器中转发到计算机的 TCP/UDP 端口进行的，因此在这些打开的端口上尝试连接到路由器外部 IP 地址的任何连接尝试实际上都转化为路由器到您计算机的连接尝试，在这种情况下，路由器充当外部攻击者的代理。

当您受到攻击时，最好升级您的安全性。

请参阅LQ 安全性参考资料，了解用于加固 Linux 机器的大量可能措施列表。您特别感兴趣的是最后的 SSH 部分。

互联网上还有很多关于这个主题的文章。一些有用的：

在 UNIX/Linux 上保护 Apache Web 服务器的 10 个技巧
安全技巧 - Apache HTTP Server