我最近在我的 Ubuntu-22.04 服务器上安装了 Suricata 作为入侵检测系统。我按照 digital ocean 上的教程设置了 Suricata (https://www.digitalocean.com/community/tutorials/how-to-install-suricata-on-ubuntu-20-04),使用默认规则集。
清晨,Suricata 生成并记录了一条警报,显示我的服务器通过 SSH 连接了一个已知的滥用 IP 地址。
我收到了许多来自滥用 IP 的 SSH 连接尝试,这很正常,但令我惊讶的是,我的服务器正在与其中一个 IP 建立连接。这可能是什么原因造成的?
作为参考,我已确保我的服务器仅接受使用公钥验证的 SSH 连接。root 的密码登录已被禁用。
海豹状原木
我已删除了我的服务器的 IP。
10/21/2022-02:20:29.254697 [**] [1:2260002:1] SURICATA Applayer Detect protocol only one direction [**] [Classification: Generic Protocol Command Decode] [Priority: 3] {TCP} XXX.XXX.XXX.XXX:22 -> 185.99.135.7:64347
10/21/2022-02:25:17.194926 [**] [1:2260002:1] SURICATA Applayer Detect protocol only one direction [**] [Classification: Generic Protocol Command Decode] [Priority: 3] {TCP} XXX.XXX.XXX.XXX:22 -> 185.99.135.7:62028
身份验证日志:
对应的sshd日志条目/var/log/auth.log如下所示:
Oct 21 02:20:29 <servername> sshd[16078]: error: kex_exchange_identification: banner line contains invalid characters
Oct 21 02:20:29 <servername> sshd[16078]: banner exchange: Connection from 185.99.135.7 port 64347: invalid format
Oct 21 02:25:17 <servername> sshd[16081]: error: kex_exchange_identification: banner line contains invalid characters
Oct 21 02:25:17 <servername> sshd[16081]: banner exchange: Connection from 185.99.135.7 port 62028: invalid format
Oct 21 02:25:17 <servername> sshd[16082]: refused connect from 92.255.85.70 (92.255.85.70)
我已用这里替换了我的主机名。
当天晚些时候,当我尝试通过 SSH 进入我的服务器时,SSH 通知我远程主机标识已更改(可能是 MITM 攻击)。
我不知道如何解释这个事件,如果能对今天早上 2:20:29 和 2:25:17 发生的事情提供任何指导,我将不胜感激。