目前,我们有许多 Ubuntu 20.04 服务器设置了无人值守更新,仅限于安全更新。我知道这会生成一个日志,检查该日志确实显示,脚本每天大约运行两次,查找更新,但在过去 10 天内没有找到或安装任何更新。
话虽如此,我们看到一台机器在 3 月 9 日 16:11:40 UDT 上被 il3-fw2.canonical.com 在 IP 地址 185.125.190.12 上 ping 了 79 次。根据https://whois.ipinsight.io/cidr/185.125.188.0/22,这是一个经过验证的规范 IP 地址 - 但我不知道为什么它会同时 ping 这台特定的机器这么多次。这只发生在这个位置的这台特定的服务器上。此后还有其他 ping,但它们都是单次 ping。
我目前担心的是,特别是考虑到当前的事件,这可能是一种类似于 2019-2020 年 SolarWinds 攻击的攻击媒介,所以我正试图领先于它——我只是没有逻辑的答案,为什么这个特定的 IP 地址如此频繁地 ping 服务器,而且似乎没有正当理由。
我是不是漏掉了什么?如果能提供想法和建议,我将不胜感激!