我发现一个 IP 192.168.1.100 在两周内成功使用公钥访问了 localhost 38204 次。我检查了安全文件以了解有关此 IP 的更多详细信息。此客户端每秒登录一次,有时每 5 分钟登录一次。但是,它在登录后立即注销。而且源端口号正在枚举。我不确定这是不是一次攻击?!
答案1
您的服务器似乎被称为“localhost”,这使得日志乍一看有点令人困惑。也不清楚您的服务器的 IP 地址是 192.168.1.100 还是其他地址。但是...
日志文件显示有人以 root 身份从服务器 192.168.1.100 登录到您的服务器“localhost”。我认为这不是攻击,而是一个使用类似这样的命令运行某些东西的自动过程ssh root@{your_server} /some/command...。
有几种方法可以阻止此登录继续进行:
他们正在使用公钥,因此从文件中删除相应的条目
~root/.ssh/authorized_keys将阻止登录。(如有必要,请删除整个文件。)添加
iptables规则以阻止ssh来自该服务器的入站连接将起作用。尝试iptables -I INPUT -p tcp --src 192.168.1.100 --dport 22 -j REJECT。(重复命令-I以-D删除规则。)