我最近配置了面向外部的路由器,将流量转发到 LAN 上一台机器的端口 22。SSHD 是唯一在端口 22 上监听的服务。
36.156.24.97我立即收到了来自和等 IP 地址的流量223.111.139.210,根据 IP 识别网站的信息,这些流量试图在数千台不同的机器上进行未经授权的登录尝试。
当我查看时/var/log/auth.log,我看到条目说我的机器Received disconnect from 223.111.139.210。我希望看到详细说明失败登录尝试的日志,或更多详细信息。
我正在运行 Debian。
有人对这些远程机器试图做什么有什么猜测吗?
答案1
有人对这些远程机器试图做什么有什么猜测吗?
最有可能的是,尝试连接到任何开放的 22 端口,并尝试使用默认/通用凭据来获得访问权限。
将 22 开放给世界通常不是一个好主意。如果这样做,请确保您采取了安全措施(白名单/PKI/fail2ban/等),并且有充分的理由这样做。混淆您的 ssh 端口很有用,但远非“安全”,因此如果必须,请将其与其他措施配合使用。