Время от времени в течение короткого периода времени мой файл журнала SuSE Enterprise 10 /var/log/firewall заполняется идентичными записями, кроме идентификатора. Вот выдержка:

Jan 15 11:21:13 IKCSWeb kernel: SFW2-IN-ACC-RELATED IN=eth1 OUT= MAC=00:19:bb:2e:85:42:00:17:c5:d8:2e:2c:08:00 SRC=59.64.166.81 DST=207.194.99.122 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=7810 DF PROTO=TCP SPT=24093 DPT=22 WINDOW=137 RES=0x00 ACK URGP=0 
Jan 15 11:21:13 IKCSWeb kernel: SFW2-IN-ACC-RELATED IN=eth1 OUT= MAC=00:19:bb:2e:85:42:00:17:c5:d8:2e:2c:08:00 SRC=59.64.166.81 DST=207.194.99.122 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=56845 DF PROTO=TCP SPT=24093 DPT=22 WINDOW=137 RES=0x00 ACK URGP=0 
Jan 15 11:21:13 IKCSWeb kernel: SFW2-IN-ACC-RELATED IN=eth1 OUT= MAC=00:19:bb:2e:85:42:00:17:c5:d8:2e:2c:08:00 SRC=59.64.166.81 DST=207.194.99.122 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=48949 DF PROTO=TCP SPT=24093 DPT=22 WINDOW=137 RES=0x00 ACK URGP=0

Я новичок. Есть идеи, что вызывает это?

|источник

1 ответ1

2

Случайные интернет люди, пытающиеся ssh в ваш компьютер. DPT = 22, который является портом ssh по умолчанию. SRC = 59.64.166.81

https://www.db-ip.com/59.64.166.81

Проверка Whois IP-адрес принадлежит Китаю. Случайные люди постоянно сканируют Интернет, пытаясь выяснить, могут ли они войти в систему других людей. Это фаза разведки, первая фаза, перед атакой. Я записал десятки тысяч таких, особенно из Китая.

Пока вы либо:

  1. Отключить SSH
  2. Надежный SSH-пароль и / или сертификат
  3. Актуальная версия ssh

Они не будут получать.

Вам лучше добавить правило в брандмауэр, чтобы блокировать без входа в систему. Я забыл название инструмента брандмауэра Suse, но он использует iptables на серверной части.

Это предполагает, что eth0 - это ваше интернет-соединение.

iptables -I INPUT 1 -i eth0 --dport 22 -j DROP

Я рекомендую встроенный в webmin инструмент межсетевого экрана.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .