偶尔,在短短几秒钟内,我的 SuSE Enterprise 10/var/log/firewall日志文件会充满除 ID 之外的相同条目。以下是摘录:
Jan 15 11:21:13 IKCSWeb kernel: SFW2-IN-ACC-RELATED IN=eth1 OUT= MAC=00:19:bb:2e:85:42:00:17:c5:d8:2e:2c:08:00 SRC=59.64.166.81 DST=207.194.99.122 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=7810 DF PROTO=TCP SPT=24093 DPT=22 WINDOW=137 RES=0x00 ACK URGP=0
Jan 15 11:21:13 IKCSWeb kernel: SFW2-IN-ACC-RELATED IN=eth1 OUT= MAC=00:19:bb:2e:85:42:00:17:c5:d8:2e:2c:08:00 SRC=59.64.166.81 DST=207.194.99.122 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=56845 DF PROTO=TCP SPT=24093 DPT=22 WINDOW=137 RES=0x00 ACK URGP=0
Jan 15 11:21:13 IKCSWeb kernel: SFW2-IN-ACC-RELATED IN=eth1 OUT= MAC=00:19:bb:2e:85:42:00:17:c5:d8:2e:2c:08:00 SRC=59.64.166.81 DST=207.194.99.122 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=48949 DF PROTO=TCP SPT=24093 DPT=22 WINDOW=137 RES=0x00 ACK URGP=0
我是新手。知道是什么原因造成的吗?
答案1
随机的互联网用户尝试通过 ssh 进入您的 PC。DPT=22 是默认 ssh 端口。SRC=59.64.166.81
https://www.db-ip.com/59.64.166.81
检查 whois IP 地址是否属于中国。随机人员一直在扫描互联网,试图查看他们是否可以登录其他人的计算机。这是侦察阶段,即攻击前的第一阶段。我已经记录了数万个这样的记录,尤其是来自中国的记录。
只要您:
- 禁用 ssh
- 强 ssh 密码和/或证书
- ssh 的最新版本
他们不会得到。
最好在防火墙中添加一条规则,以在不记录的情况下进行阻止。我忘记了 Suse 防火墙工具的名称,但它在后端使用 iptables。
假设 eth0 是您的互联网连接。
iptables -I INPUT 1 -i eth0 --dport 22 -j DROP
我推荐webmin工具内置的防火墙工具。