我有一个 vps 设置,其中有简单的 fail2ban 设置,以防止暴力攻击。但是在我的 tcptrack 监视器中,我看到一个 IP 与我的服务器建立了多个连接。TCPTrack 显示该 ip 地址通过端口 22“已建立”。
已建立连接时多次显示地址 116.31.116.17。我尝试使用以下方法禁止此 IP 地址:
/sbin/iptables -A INPUT -s 116.31.116.17 -j DROP
但是我重置服务器后它仍然出现在 tcptrack 中。我在 iplookup 中查找了这个地址,它是一个来自中国的 IP 地址。不确定如何处理这种入侵。任何帮助都将不胜感激。
答案1
正如你们所说,服务器被入侵了,所以我重建了另一台。我再次安装了跟踪器,发现同一个 IP 地址再次发起攻击。进一步调查 /var/log/auth.log 发现一个机器人正在尝试使用 root 用户密码。我现在创建了一个新的 vps,删除了 root 登录名,还使用了 iptables 禁止规则,但现在当我使用 /sbin/iptables-save 保存它时,它仍然存在。我没有意识到服务器从创建它们的那一刻起就如此脆弱。感谢大家的帮助。