我在我的身份验证日志中发现了很多条目......
Failed password for root from 59.45.175.12 port 59662 ssh2
(出于安全原因,上面的 IP 不是实际 IP)我认为有人试图入侵,这不是我的问题,我可以轻松地在 UFW 中阻止 IP。
但是,我无法理解的是端口“59962”(顺便说一下,这似乎在每个条目上都会发生变化)我目前已经安装并运行了 UFW,据我所知,上面的端口(59962)已经在 UFW 中被阻止了,所以我不明白身份验证请求是如何到达 SSH 的?
据我所知,UFW 会阻止除特别允许的端口之外的所有端口,上述端口不在我的允许列表中 - 除非我遗漏了什么......
有人可以解释一下吗?
伊卡洛斯波普
答案1
正在记录的端口号 ( 59962) 是其他系统(59.45.175.12)。man 7 socket有关套接字工作原理的信息,请参阅。
是的,看起来你正在遭受攻击。看看这个fail2ban包:
fail2ban - ban hosts that cause multiple authentication errors
通过以下方式查找其他系统的主机名:
dig -x 59.45.175.12