我正在使用 UFW,并且有一些规则正在运行。防火墙的当前状态如下图所示。
但是,我注意到日志文件中有/var/log/ufw.log许多来自我不知道的 IP 的传入请求。鉴于这是最近构建的测试服务器,我怀疑我受到了攻击,因为所有目标请求都发往某个 IP 地址。以下是日志文件的示例。
Mar 5 6:25:35 backend1 kernel: SRC=14.184.171.85 DST=138.68.78.215
Mar 5 6:25:48 backend1 kernel: SRC=179.27.81.68 DST=138.68.78.215
Mar 5 6:25:51 backend1 kernel: SRC=104.255.70.247 DST=138.68.78.215
Mar 5 6:26:10 backend1 kernel: SRC=82.162.189.53 DST=138.68.78.215
Mar 5 6:27:01 backend1 kernel: SRC=111.78.66.156 DST=138.68.78.215
Mar 5 6:27:46 backend1 kernel: SRC=196.52.43.51 DST=138.68.78.215
Mar 5 6:29:27 backend1 kernel: SRC=24.41.189.148 DST=138.68.78.215
Mar 5 6:30:36 backend1 kernel: SRC=24.41.211.202 DST=138.68.78.215
Mar 5 6:33:22 backend1 kernel: SRC=80.82.70.26 DST=138.68.78.215
Mar 5 6:34:42 backend1 kernel: SRC=178.245.183.28 DST=138.68.78.215
Mar 5 6:38:26 backend1 kernel: SRC=221.194.44.229 DST=138.68.78.215
Mar 5 6:38:44 backend1 kernel: SRC=80.201.117.228 DST=138.68.78.215
Mar 5 6:39:40 backend1 kernel: SRC=177.135.11.3 DST=138.68.78.215
Mar 5 6:40:06 backend1 kernel: SRC=183.217.28.46 DST=138.68.78.215
Mar 5 6:40:48 backend1 kernel: SRC=110.77.72.212 DST=138.68.78.215
Mar 5 6:41:26 backend1 kernel: SRC=195.154.237.46 DST=138.68.78.215
这是正常的吗?
答案1
是的,很正常。
这是连接到互联网的背景噪音。有机器人扫描漏洞、探测 ssh 服务器的密码,还有网络扫描器不断绘制互联网地图。有研究人员收集数据,还有搜索引擎在连接互联网的机器上映射开放端口。
要么忽略它,要么如果它困扰你,设置一个工具来fail2ban阻止暴力破解尝试。