我在远程数据中心租用了一台专用服务器,当我查看失败的 SSH 日志尝试时,我发现自昨天以来,来自网关 IP 的尝试多次失败。
我的服务器提供商的网关是否真的试图访问(可能已被破坏)或者攻击者是否隐藏了他的 IP?
会是什么呢?
更新:
这似乎与数据中心的路由器配置错误有关。我在那里有两台服务器。我关闭了两台服务器,并向每台服务器发送了 ping 请求。
服务器 A(来自网关的恶意尝试)
PING 43.231.113.A (43.231.113.A) 56(84) bytes of data.
From 43.231.113.1 icmp_seq=1 Destination Host Unreachable
服务器 B.(网关无恶意尝试)
PING 43.231.113.B (43.231.113.B) 56(84) bytes of data.
From 103.17.109.211 icmp_seq=1 Destination Host Unreachable
另外当 ssh 到服务器 A 时echo $SSH_CLIENT显示43.231.113.1
因此每个传入连接都被视为来自网关。
答案1
您没有提供太多信息...它可能已被入侵,可能是同一网关后面的另一台机器试图通过欺骗真实网关的 IP 登录到您的系统,可能是网关从外部到内部进行网络链接,而攻击者根本没有隐藏,也可能是攻击者欺骗网关的地址以查看您的系统如何应答(拒绝、丢弃和各种 TCP 标志...)。
由于您提供的元素太少,我无法提供最佳答案。