我刚刚在我的 Ubuntu VPS 上安装了 UFW 防火墙,现在我的日志显示大量传入流量在端口 23 上。如下所示:
kernel: [ 670.832245] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=106.104.138.28 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=43 ID=2909 PROTO=TCP SPT=27941 DPT=23 WINDOW=44045 RES=0x00 SYN URGP=0
kernel: [ 716.494214] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=106.104.138.28 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=44 ID=2909 PROTO=TCP SPT=27941 DPT=2323 WINDOW=44045 RES=0x00 SYN URGP=0
kernel: [ 716.957063] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=106.104.138.28 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=43 ID=2909 PROTO=TCP SPT=27941 DPT=23 WINDOW=44045 RES=0x00 SYN URGP=0
kernel: [ 746.837251] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=106.104.138.28 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=43 ID=2909 PROTO=TCP SPT=27941 DPT=23 WINDOW=44045 RES=0x00 SYN URGP=0
kernel: [ 752.049313] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=106.104.138.28 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=43 ID=2909 PROTO=TCP SPT=27941 DPT=23 WINDOW=44045 RES=0x00 SYN URGP=0
kernel: [ 771.616696] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=106.104.138.28 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=43 ID=2909 PROTO=TCP SPT=27941 DPT=23 WINDOW=44045 RES=0x00 SYN URGP=0
kernel: [ 855.170118] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=109.201.140.38 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=243 ID=54321 PROTO=TCP SPT=58674 DPT=81 WINDOW=65535 RES=0x00 SYN URGP=0
kernel: [ 862.272265] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=118.68.70.89 DST=xxx LEN=40 TOS
=0x00 PREC=0x00 TTL=237 ID=5721 PROTO=TCP SPT=15509 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0
kernel: [ 883.299636] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=176.8.70.68 DST=xxx LEN=40 TOS=
0x00 PREC=0x00 TTL=245 ID=51761 PROTO=TCP SPT=17540 DPT=23 WINDOW=21654 RES=0x00 SYN URGP=0
kernel: [ 908.720735] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=122.117.201.94 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=45 ID=65516 PROTO=TCP SPT=34958 DPT=23 WINDOW=37782 RES=0x00 SYN URGP=0
kernel: [ 951.441094] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=119.179.205.34 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=233 ID=37432 PROTO=TCP SPT=29267 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0
kernel: [ 1019.290302] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=187.161.189.63 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=231 ID=33719 PROTO=TCP SPT=46167 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0
kernel: [ 1097.190270] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=58.123.113.149 DST=xxx LEN=122
TOS=0x00 PREC=0x00 TTL=51 ID=0 DF PROTO=UDP SPT=47005 DPT=1900 LEN=102
kernel: [ 1098.860511] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=125.111.4.204 DST=xxx LEN=40 TO
S=0x00 PREC=0xE0 TTL=234 ID=5380 PROTO=TCP SPT=20370 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0
kernel: [ 1129.143276] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=148.75.152.245 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=239 ID=8596 PROTO=TCP SPT=1331 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0
这是什么?我该如何阻止它?
答案1
端口 23 用于 telnet 连接。Telnet 是一种旧协议,用于在另一台机器上打开文本终端并在那里运行命令。旧协议,而且非常不安全。
由于您使用的是 VPS,因此您很容易受到来自世界各地的许多机器的攻击。他们会不断尝试在他们能找到的所有机器上打开 Telnet(和 SSH)连接,而您对此无能为力。只需确保您只运行真正需要的服务,并且这些服务得到很好的保护。特别是,使用非常强大的 SSH 密码,最好禁用 SSH 密码并使用公钥/私钥对。
如果日志让您感到困扰,您可以简单地删除防火墙规则。只要确保您没有程序监听端口 23,您就没问题了。
该命令netstat -l -n -A inet将列出服务器上当前打开的所有 Internet 端口。在基本服务器上,您应该只具有端口 22 (SSH)、端口 123 (NTP) 以及您明确打算提供的服务的端口(例如,Web 服务器的端口 80 和/或 443)。
答案2
查看这些 src-ip,连接似乎来自您自己的网络之外。您无能为力,因此只需保持防火墙处于开启状态并且不对这些请求发送响应即可。
我敢打赌,他们正在寻找配置错误的调制解调器来劫持它。
答案3
欢迎来到互联网!
世界上的任何人都可以尝试从他们喜欢的任何端口连接到您的服务器,并观察会发生什么。您无法阻止他们,但您可以使用防火墙确保他们收到的只是“连接被拒绝”消息,如下所示:
firas@momiji ~ % telnet -4 itsuki.fkraiem.org 23
Trying 91.121.157.10...
telnet: Unable to connect to remote host: Connection refused
这似乎就是您正在做的事情,所以这很好,您可以安全地继续您的业务。