有谁能帮我解释一下吗?在我的 Linux 服务器的 auth.log 日志中,我发现了下一行:
Jul 27 09:16:30 aws-ftp sshd[13186]: Bad protocol version identification 'telnet mail.softlution.com 2222' from 194.120.221.212 port 63085
谷歌给了我这个链接:
https://scottlinux.com/2012/03/07/troubleshooting-ssh-server-logs-and-error-messages/
示例 6,但在此消息中,域 telnet mail.softlution.com 不是我的域,并且 IP 194.120.221.212 - 不是我的 IP。
那会是什么呢?提前谢谢!
答案1
这是德国的 IP 地址。说实话,非常互联网上经常可以看到扫描程序扫描开放端口和潜在漏洞。如果您担心,可以使用基于主机的防火墙、仅允许 SSH 密钥、使用 fail2ban 等来最大程度地降低风险。
只是猜测他们想做什么……
鉴于恶意行为者试图连接回的端口是 2222,并且这看起来很像 SSH 端口(22),因此他们似乎正在尝试查看是否可以在您的机器上执行命令以建立回家的连接。
答案2
这也不是亚马逊的 IP,所以很可能只是一些机器人。
您可以在服务器上设置 fail2ban 并对其进行配置,以便解析 ssh 日志。配置文件中就有很好的例子,因此您只需更改几行代码即可满足您的情况。
答案3
如果您希望真正保护好您的服务器,您可以在其上设置一个邮件服务器,每当有人尝试登录时,它都会通知您。您还可以在高级端口上使用随机数、Fail2Ban、双因素身份验证、带有短语的 SSH 密钥设置默认 SSH 端口,如果您有私人 VPN 服务器或静态 IP,还可以设置登录白名单。
有一种解决方法可以通过 Comunicationtool Slack 获取通知,如果你想获得帮助,StackExchange Network 和 Google 上有多种解决方法