我对防火墙日志进行了一些分析,发现有向外连接的尝试,而根据 VirusTotal 的说法,这些 IP 被标记为恶意。到目前为止,所有尝试都被阻止了。
然后我注意到总是有来自同一可疑 IP 的传入连接(端口 22),并且该连接也出现在传出连接中。
当我检查系统上的 ssh 日志时,我只看到失败的身份验证,但是在没有成功的 ssh 身份验证的情况下,怎么可能有传出的连接尝试呢?
奇怪的防火墙连接
我对防火墙日志进行了一些分析,发现有向外连接的尝试,而根据 VirusTotal 的说法,这些 IP 被标记为恶意。到目前为止,所有尝试都被阻止了。
然后我注意到总是有来自同一可疑 IP 的传入连接(端口 22),并且该连接也出现在传出连接中。
当我检查系统上的 ssh 日志时,我只看到失败的身份验证,但是在没有成功的 ssh 身份验证的情况下,怎么可能有传出的连接尝试呢?