Auth 日志中的端口条目令人困惑

Auth 日志中的端口条目令人困惑

我在我的身份验证日志中发现了很多条目......

Failed password for root from 59.45.175.12 port 59662 ssh2

(出于安全原因,上面的 IP 不是实际 IP)我认为有人试图入侵,这不是我的问题,我可以轻松地在 UFW 中阻止 IP。

但是,我无法理解的是端口“59962”(顺便说一下,这似乎在每个条目上都会发生变化)我目前已经安装并运行了 UFW,据我所知,上面的端口(59962)已经在 UFW 中被阻止了,所以我不明白身份验证请求是如何到达 SSH 的?

据我所知,UFW 会阻止除特别允许的端口之外的所有端口,上述端口不在我的允许列表中 - 除非我遗漏了什么......

有人可以解释一下吗?

伊卡洛斯波普

答案1

正在记录的端口号 ( 59962) 是其他系统(59.45.175.12)。man 7 socket有关套接字工作原理的信息,请参阅。

是的,看起来你正在遭受攻击。看看这个fail2ban包:

fail2ban - ban hosts that cause multiple authentication errors

通过以下方式查找其他系统的主机名:

dig -x 59.45.175.12

相关内容