Почему IP-адрес нападения имеет строку 'диаметр'
Это - запись от netstat –lnt | grep ^tcp:
tcp 0 0 xx.xxx.xx.72:ssh 106.49.174.61.dia:55983 ESTABLISHED
"x" скрыт мной :)
мои вопросы:
- почему адрес имеет 'диаметр'?
- Он уже вошел в систему мой сервер человечности sshd?
- Как запретить этот адрес?
1 ответ
Этот IP-адрес, 106.49.174.61, принадлежит CHINACACHE.
xxx@xxx ~ $ whois 106.49.174.61
% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
% Information related to '106.48.0.0 - 106.49.255.255'
inetnum: 106.48.0.0 - 106.49.255.255
netname: CHINACACHE
descr: Beijing Blue I.T Technologies Co.,Ltd.
descr: Galaxy Building,No.10 jiuxianqiao ,chaoyang
descr: District,beijing
country: CN
admin-c: YS1150-AP
tech-c: DC1032-AP
mnt-by: MAINT-CNNIC-AP
mnt-lower: MAINT-CNNIC-AP
mnt-routes: MAINT-CNNIC-AP
mnt-irt: IRT-CNNIC-CN
status: ALLOCATED PORTABLE
changed: hm-changed@apnic.net 20110322
source: APNIC
irt: IRT-CNNIC-CN
address: Beijing, China
e-mail: ipas@cnnic.cn
abuse-mailbox: ipas@cnnic.cn
admin-c: IP50-AP
tech-c: IP50-AP
auth: # Filtered
remarks: Please note that CNNIC is not an ISP and is not
remarks: empowered to investigate complaints of network abuse.
remarks: Please contact the tech-c or admin-c of the network.
mnt-by: MAINT-CNNIC-AP
changed: ipas@cnnic.cn 20110428
source: APNIC
CHINACACHE является ISP, и в большинстве случаев снабдите суффиксом dia имейте в виду Динамический IP-адрес. ISP использует большие общедоступные пулы IP-адреса для пользователей сервисов ISP [adsl, 3 г, wless...].
Сначала необходимо разъединить этот IP.
netstat -ntp даст Вам a PID из ведьмы процесса можно уничтожить
xxx@xxx ~ $ netstat -ntp
(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:53118 127.0.0.1:27117 ESTABLISHED -
tcp 0 0 xxx.xxx.xx.x:39049 xx.xxx.xx.xxx:443 ESTABLISHED 13261/chrome
tcp 0 0 xxx.xxx.xx.x:39048 xx.xxx.xx.xxx:443 ESTABLISHED 13261/chrome
Например, Вы видите два обрабатывать от моей ведьмы ПК, которая я, делают chrome
Для уничтожения процесса, иначе разъединяющего Вас, может использовать
sudo kill -9 PID
Теперь необходимо предотвратить нежелательное соединение с Вами ПК. Запустите брандмауэр.
sudo ufw start
Когда запустят брандмауэр, все соединение с ПК будет запрещено. Если Вы хотите предоставить доступ от определенного IP на сетевом диапазоне, можно использовать этот шаблон команды, чтобы заставить Вас управлять.
ufw [--dry-run] [delete] [insert NUM] allow|deny|reject|limit [in|out
on INTERFACE] [log|log-all] [proto protocol] [from ADDRESS [port PORT]]
[to ADDRESS [port PORT]]
Пример
sudo ufw allow proto tcp from xxx.xxx.xx.x port 22 to yyy.yyy.yy.y port 22
Это правило предоставляет доступ от xxx.xxx.xxx.xxx к Вашему ПК на адресе yyy.yyy.yy.y на порте 22 ведьма для ssh
sudo ufw allow proto tcp from xxx.xxx.xx.0/24 port 80 to xxx.xxx.xx.x port 80
Это правило позволяет подсеть xxx.xxx.xx.0 с сетевой маской 255.255.255.0 доступ к Вашему ПК на порте 80 иначе http трафик