SuSE 上偶尔会出现大量防火墙日志文件

SuSE 上偶尔会出现大量防火墙日志文件

偶尔,在短短几秒钟内,我的 SuSE Enterprise 10/var/log/firewall日志文件会充满除 ID 之外的相同条目。以下是摘录:

Jan 15 11:21:13 IKCSWeb kernel: SFW2-IN-ACC-RELATED IN=eth1 OUT= MAC=00:19:bb:2e:85:42:00:17:c5:d8:2e:2c:08:00 SRC=59.64.166.81 DST=207.194.99.122 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=7810 DF PROTO=TCP SPT=24093 DPT=22 WINDOW=137 RES=0x00 ACK URGP=0 
Jan 15 11:21:13 IKCSWeb kernel: SFW2-IN-ACC-RELATED IN=eth1 OUT= MAC=00:19:bb:2e:85:42:00:17:c5:d8:2e:2c:08:00 SRC=59.64.166.81 DST=207.194.99.122 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=56845 DF PROTO=TCP SPT=24093 DPT=22 WINDOW=137 RES=0x00 ACK URGP=0 
Jan 15 11:21:13 IKCSWeb kernel: SFW2-IN-ACC-RELATED IN=eth1 OUT= MAC=00:19:bb:2e:85:42:00:17:c5:d8:2e:2c:08:00 SRC=59.64.166.81 DST=207.194.99.122 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=48949 DF PROTO=TCP SPT=24093 DPT=22 WINDOW=137 RES=0x00 ACK URGP=0 

我是新手。知道是什么原因造成的吗?

答案1

随机的互联网用户尝试通过 ssh 进入您的 PC。DPT=22 是默认 ssh 端口。SRC=59.64.166.81

https://www.db-ip.com/59.64.166.81

检查 whois IP 地址是否属于中国。随机人员一直在扫描互联网,试图查看他们是否可以登录其他人的计算机。这是侦察阶段,即攻击前的第一阶段。我已经记录了数万个这样的记录,尤其是来自中国的记录。

只要您:

  1. 禁用 ssh
  2. 强 ssh 密码和/或证书
  3. ssh 的最新版本

他们不会得到。

最好在防火墙中添加一条规则,以在不记录的情况下进行阻止。我忘记了 Suse 防火墙工具的名称,但它在后端使用 iptables。

假设 eth0 是您的互联网连接。

iptables -I INPUT 1 -i eth0 --dport 22 -j DROP

我推荐webmin工具内置的防火墙工具。

相关内容