我刚刚注意到我的 syslog、kern log 和 ufw log 有类似的条目,都充满了阻止 IP 地址,这里我只放了一些来自 syslog 的行。有人能说出这里正在发生什么样的活动吗?是否有人在试图未经许可访问服务器?
Jun 12 06:48:54 myservername kernel: [54265.822092] [UFW BLOCK] IN=eth0 OUT= MAC=04:01:fa:50:b3:01:3c:8a:b0:0d:3f:f0:08:00 SRC=184.105.139.78 DST=my.ser.ver.ip LEN=42 TOS=0x00 PREC=0x00 TTL=59 ID=32866 DF PROTO=UDP SPT=38445 DPT=69 LEN=22
Jun 12 06:54:35 myservername kernel: [54606.549986] [UFW BLOCK] IN=eth0 OUT= MAC=04:01:fa:50:b3:01:3c:8a:b0:0d:3f:f0:08:00 SRC=118.101.17.53 DST=my.ser.ver.ip LEN=52 TOS=0x00 PREC=0x00 TTL=56 ID=1220 DF PROTO=TCP SPT=35765 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0
Jun 12 06:56:07 myservername kernel: [54698.851346] [UFW BLOCK] IN=eth0 OUT= MAC=04:01:fa:50:b3:01:3c:8a:b0:0d:6f:f0:08:00 SRC=122.3.85.251 DST=my.ser.ver.ip LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=9255 DF PROTO=TCP SPT=58323 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0
Jun 12 06:56:28 myservername kernel: [54719.844352] [UFW BLOCK] IN=eth0 OUT= MAC=04:01:fa:50:b3:01:3c:8a:b0:0d:6f:f0:08:00 SRC=122.3.85.251 DST=my.ser.ver.ip LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=9258 DF PROTO=TCP SPT=58323 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0
Jun 12 06:57:16 myservername kernel: [54767.431166] [UFW BLOCK] IN=eth0 OUT= MAC=04:01:fa:50:b3:01:3c:8a:b0:0d:3f:f0:08:00 SRC=14.169.232.99 DST=my.ser.ver.ip LEN=29 TOS=0x00 PREC=0x00 TTL=50 ID=44305 DF PROTO=UDP SPT=46454 DPT=53413 LEN=9
Jun 12 06:57:18 myservername kernel: [54769.427951] [UFW BLOCK] IN=eth0 OUT= MAC=04:01:fa:50:b3:01:3c:8a:b0:0d:3f:f0:08:00 SRC=14.169.232.99 DST=my.ser.ver.ip LEN=29 TOS=0x00 PREC=0x00 TTL=50 ID=44306 DF PROTO=UDP SPT=46454 DPT=53413 LEN=9
Jun 12 07:05:00 myservername kernel: [55231.882804] [UFW BLOCK] IN=eth0 OUT= MAC=04:01:fa:50:b3:01:3c:8a:b0:0d:3f:f0:08:00 SRC=188.36.0.150 DST=my.ser.ver.ip LEN=52 TOS=0x00 PREC=0x00 TTL=51 ID=62193 DF PROTO=TCP SPT=59285 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0
Jun 12 07:06:06 myservername kernel: [55297.871881] [UFW BLOCK] IN=eth0 OUT= MAC=04:01:fa:50:b3:01:3c:8a:b0:0d:3f:f0:08:00 SRC=181.29.79.38 DST=my.ser.ver.ip LEN=52 TOS=0x02 PREC=0x00 TTL=45 ID=12680 DF PROTO=TCP SPT=52294 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0
Jun 12 07:09:03 myservername kernel: [55474.598492] [UFW BLOCK] IN=eth0 OUT= MAC=04:01:fa:50:b3:01:3c:8a:b0:0d:3f:f0:08:00 SRC=185.94.111.1 DST=my.ser.ver.ip LEN=28 TOS=0x00 PREC=0x00 TTL=243 ID=54321 PROTO=UDP SPT=51929 DPT=17 LEN=8 b0:0d:6f:f0:08:00 SRC=188.214.128.22 DST=my.ser.ver.ip LEN=431 TOS=0x00 PREC=0x00 TTL=51 ID=0 DF PROTO=UDP SPT=6459 DPT=5060 LEN=411
Jun 12 07:09:56 myservername kernel: [55527.386590] [UFW BLOCK] IN=eth0 OUT= MAC=04:01:fa:50:b3:01:3c:8a:b0:0d:3f:f0:08:00 SRC=88.248.173.76 DST=my.ser.ver.ip LEN=60 TOS=0x00 PREC=0x00 TTL=48 ID=63734 DF PROTO=TCP SPT=46480 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0
Jun 12 07:09:59 myservername kernel: [55530.344008] [UFW BLOCK] IN=eth0 OUT= MAC=04:01:fa:50:b3:01:3c:8a:b0:0d:3f:f0:08:00 SRC=88.248.173.76 DST=my.ser.ver.ip LEN=60 TOS=0x00 PREC=0x00 TTL=48 ID=63735 DF PROTO=TCP SPT=46480 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0
Jun 12 07:11:01 myservername kernel: [55592.482239] [UFW BLOCK] IN=eth0 OUT= MAC=04:01:fa:50:b3:01:3c:8a:b0:0d:3f:f0:08:00 SRC=91.229.52.67 DST=my.ser.ver.ip LEN=52 TOS=0x00 PREC=0x00 TTL=50 ID=9704 DF PROTO=TCP SPT=54204 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0
日志不断被填满,只是为了把日志中的一些ip地址放在SRC中:
116.102.232.245
78.189.90.35
184.105.247.211
85.96.174.23
91.200.12.123
116.5.103.204
209.126.120
180.97.239.30
62.38.251.88
119.82.252.71
184.105.139.78
46.43.111.187
1.53.1.9
116.102.232.245
207.244.70.169
139.162.32.199
81.17.21.218
59.94.217.136
187.22.126.42
95.77.132.106
DPT 的范围包括 23、53413、523、1433、5060、3306、2425 1080 等。23 和 53413 在日志中出现最频繁。
答案1
欢迎来到互联网!!
也就是说有人通过各种端口对您的 IP 地址进行 DDOS 攻击,并试图找到可以利用的不安全端口。从日志中我可以看到各种 IP 地址和各种端口,例如 17 (qotd)、23 (telnet)、69 (tftp) 等等。
好消息是,所有攻击都被防火墙阻止了,至少从您提供的块中可以清楚地看出这一点。通过查看完整的日志来确认。
如果您没有运行任何不必要的服务,并且所有正在运行的服务都得到了妥善保护,那么您就不必担心。这在当今世界很正常,大多数时候我也遇到过这种情况。
另请注意,使用类似 的方法确保速率限制是一个好主意fail2ban。至少,确保所有服务的本机安全措施都已到位。