全新安装 Ubuntu 16.04。我的系统日志每天都在填满,每天超过 60GB。查看最后几个条目,我发现这些内容每秒被写入几次:
Jul 18 12:39:23 JALServer gnome-session[1361]: 18/07/2016 12:39:23 PM static-71-177-42-141.lsanca.fios.frontiernet.net
Jul 18 12:39:23 JALServer gnome-session[1361]: 18/07/2016 12:39:23 PM 75-114-70-170.biz.bhn.net
Jul 18 12:39:23 JALServer gnome-session[1361]: 18/07/2016 12:39:23 PM static-71-177-42-141.lsanca.fios.frontiernet.net
Jul 18 12:39:23 JALServer gnome-session[1361]: 18/07/2016 12:39:23 PM 75-114-70-170.biz.bhn.net
Jul 18 12:39:23 JALServer gnome-session[1361]: 18/07/2016 12:39:23 PM static-71-177-42-141.lsanca.fios.frontiernet.net
Jul 18 12:39:23 JALServer gnome-session[1361]: 18/07/2016 12:39:23 PM 75-114-70-170.biz.bhn.net
它似乎是 ISP 的域名和 IP 地址(但不是我的 IP 地址),但我不明白 gnome-session 为什么要写它。如果这很重要,我正在运行 vino、vsftpd、openssh-server、deluged 和 LAMP 堆栈,以及一些我可以通过网络访问的 php 和 python 应用程序。
抱歉,如果之前已经问过这个问题,但是在这些问题中的许多系统日志消息中,我还没有见过类似的内容,而且我几乎还是一个新手。
答案1
事实证明这是通过路由器对我的 VNC 端口进行的暴力攻击。我安装了 DenyHosts 和 Fail2Ban,并且一直在关注系统日志。