Путание записей порта в Подлинном журнале
Я нашел много записей в моем подлинном журнале....
Failed password for root from 59.45.175.12 port 59662 ssh2
(IP выше не фактический IP из соображений безопасности), Который я думаю, кто-то пытающийся взламывать в, это не моя проблема, я могу легко заблокировать IP в UFW.
Но, то, что я не могу понять, является портом "59962" (это, кажется, изменяется на каждой записи между прочим), я в настоящее время, UFW установили и выполнение, как, насколько я вижу, что порт выше (59962) уже заблокирован в UFW, таким образом, я не делаю undertand, как подлинный запрос добирается до SSH?
UFW насколько я понимаю блокируют все порты кроме конкретно позволенных, порт выше не находится в моем позволенном списке - если я не пропускаю что-то...
Кто-то может объяснить?
IcarusBop
1 ответ
Номер порта это регистрируется (59962) исходящий порт в другой системе (59.45.175.12). Посмотрите man 7 socket для получения информации о том, как работают сокеты.
Да, похоже, что Вы подвергаетесь нападению. Посмотрите на fail2ban пакет:
fail2ban - ban hosts that cause multiple authentication errors
Найдите имя хоста другой системы через:
dig -x 59.45.175.12