运行一个公共 wordpress 网站,每隔几分钟我就会在我的 ubuntu 服务器上的系统日志中看到此类条目。(我在下面的日志中隐藏了我的 mac/ip 地址)这里发生了什么?
Nov 27 20:00:58 kernel: [156727.115812] [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:hidden SRC=2.40.220.141 DST=**:**:**:hidden LEN=40 TOS=0x00 PREC=0x00 TTL=53 ID=56784 PROTO=TCP SPT=63030 DPT=7547 WINDOW=32852 RES=0x00 SYN URGP=0
Nov 27 20:01:22 kernel: [156751.426722] [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:hidden SRC=82.78.180.169 DST=**:**:**:hidden LEN=40 TOS=0x00 PREC=0x00 TTL=55 ID=1500 PROTO=TCP SPT=17375 DPT=23 WINDOW=22727 RES=0x00 SYN URGP=0
Nov 27 20:01:37 kernel: [156766.978914] [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:hidden SRC=195.154.181.110 DST=**:**:**:hidden LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=35970 PROTO=TCP SPT=52845 DPT=4937 WINDOW=1024 RES=0x00 SYN URGP=0
Nov 27 20:01:53 kernel: [156782.801964] [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:hidden SRC=119.177.186.133 DST=**:**:**:hidden LEN=40 TOS=0x00 PREC=0x00 TTL=47 ID=48838 PROTO=TCP SPT=41526 DPT=23 WINDOW=29917 RES=0x00 SYN URGP=0
Nov 27 20:02:41 kernel: [156830.201481] [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:hidden SRC=177.207.61.71 DST=**:**:**:hidden LEN=40 TOS=0x00 PREC=0x00 TTL=46 ID=3825 PROTO=TCP SPT=50321 DPT=7547 WINDOW=56458 RES=0x00 SYN URGP=0
Nov 27 20:04:17 kernel: [156926.284028] [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:hidden SRC=104.216.4.228 DST=**:**:**:hidden LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=7655 PROTO=TCP SPT=57031 DPT=8080 WINDOW=1024 RES=0x00 SYN URGP=0
Nov 27 20:04:30 kernel: [156939.465199] [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:hidden SRC=59.1.129.240 DST=**:**:**:hidden LEN=40 TOS=0x08 PREC=0x00 TTL=49 ID=7320 PROTO=TCP SPT=3183 DPT=23 WINDOW=6007 RES=0x00 SYN URGP=0
Nov 27 20:04:32 kernel: [156941.208844] [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:hidden SRC=77.86.57.9 DST=**:**:**:hidden LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=43928 PROTO=TCP SPT=41599 DPT=7547 WINDOW=18922 RES=0x00 SYN URGP=0
Nov 27 20:04:45 kernel: [156954.272382] [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:hidden SRC=46.44.4.175 DST=**:**:**:hidden LEN=44 TOS=0x00 PREC=0x00 TTL=248 ID=49549 PROTO=TCP SPT=57081 DPT=3389 WINDOW=1024 RES=0x00 SYN URGP=0
Nov 27 20:05:09 kernel: [156978.634250] [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:hidden SRC=61.240.144.66 DST=**:**:**:hidden LEN=40 TOS=0x00 PREC=0x00 TTL=236 ID=61341 PROTO=TCP SPT=56806 DPT=81 WINDOW=1024 RES=0x00 SYN URGP=0
答案1
您的系统似乎正在阻止对一系列 IP 地址的访问。您是否安装了 fail2ban、denyhosts 或类似程序来生成/收集要阻止的 IP 地址列表?
答案2
由于声誉原因无法发表评论,因此这里提供答案。
我认为您不需要做任何事情,fail2ban 似乎正在执行阻止恶意主机的工作。
我在测试 Web 服务器的日志中发现了我认为是恶意的请求。如您所见,它来自您问题中的一个 IP 地址(我在搜索该 IP 地址时找到了此页面):
195.154.181.110 - - [01/Dec/2016 04:53:38] "GET / HTTP/1.1" 200 -
195.154.181.110 - - [01/Dec/2016 04:53:38] code 400, message Bad HTTP/0.9 request type ('\x16\x03\x01\x00^\x01\x00\x00Z\x03\x01X?\x9eÀ\x88Ⱦ\x00Ô\x92Ïà@©\x13¼\x81ß')
195.154.181.110 - - [01/Dec/2016 04:53:38] "\00^\00\00ZX?ÀȾ\00ÔÏà@©¼ß5ز/ReaÓËù\00\00\00/\005\00\00" HTTPStatus.BAD_REQUEST -
195.154.181.110 - - [01/Dec/2016 04:53:38] code 400, message Bad request syntax ('\x16\x03\x01\x00^\x01\x00\x00Z\x03\x01X?\x9eÀ¯\x1cÁ\x19ñ\x1bÑ\x82?2ì\x8d\xa0±83)D\x82h\x0cÏ?\x99\x00\x1d\x01%\x00\x00\x18\x00/\x005\x00\x05\x00')
195.154.181.110 - - [01/Dec/2016 04:53:38] "\00^\00\00ZX?À¯ÁñÑ?2ì ±83)DhÏ?\00%\00\00\00/\005\00\00" HTTPStatus.BAD_REQUEST -
195.154.181.110 - - [02/Dec/2016 20:27:45] "GET / HTTP/1.1" 200 -
195.154.181.110 - - [02/Dec/2016 20:27:45] code 400, message Bad request version ('o|AÁMÿü\x00\x00\x18\x00/\x005\x00\x05\x00')
195.154.181.110 - - [02/Dec/2016 20:27:45] "\00Z\00\00VXB;°YÝö¾k`wè¡~Q¯*¤?V o|AÁMÿü\00\00\00/\005\00\00" HTTPStatus.BAD_REQUEST -
195.154.181.110 - - [02/Dec/2016 20:27:45] code 400, message Bad HTTP/0.9 request type ('\x16\x03\x01\x00Z\x01\x00\x00V\x03\x01XB;°')
195.154.181.110 - - [02/Dec/2016 20:27:45] "\00Z\0
答案3
互联网上总是有很多服务器在运行端口扫描。例如,它们通常会寻找开放服务和易受攻击的服务器,以用作无法访问的攻击源