кто пытается перевести мой пароль?
Я нахожу ту же настройку на своем Ubuntu 14.04 и подтверждаю, что она тоже работает.
Поскольку скриншот Nicolas не полностью английский, вот мои шаги, чтобы найти его: CompizConfig Setting Manager-> Window Management - > Окно изменения размера -> Общие (вкладка).
Если у пользователя нет установленного диспетчера настроек CompizConfig, его можно найти по адресу: https://apps.ubuntu.com/cat/applications/compizconfig-settings-manager/
15 ответов
Этот ответ на самом деле не отвечает, кто пытается войти в ваш хост, но он может дать вам представление о том, откуда человек.
Если вы собираетесь использовать пароли для входа через ssh, вы должны принять некоторые меры предосторожности в отношении людей, пытающихся взломать вашу систему. Для моего личного использования мне нравится использовать fail2ban, а затем я написал свой собственный скрипт, который использует iptables и ipset. Последняя часть, которую я использую для полной блокировки IP-адресов страны, поступает на мой узел в порту 22. Я также установил geoiplookup в качестве способа увидеть, откуда идет IP-адрес, чтобы решить, хочу ли я заблокировать страну или нет , Сценарий, который у меня ниже, дает набор IP-адресов из ipdeny.com. Это значительно уменьшило количество попыток моего хоста, так как я оставляю порт 22 открытым большую часть времени.
Установка fail2ban:
sudo apt install fail2ban
Установка geoiplookup:
sudo apt install geoip-bin
Затем вы можете увидеть, где находятся IP-адреса исходят из.
~$ geoiplookup 218.87.109.156
GeoIP Country Edition: CN, China
Сценарий блокировки страны, который я создал.
Необходимым приложением для блока страны является ipset. Это приложение позволяет iptables использовать блок IP вместо того, чтобы показывать каждый отдельный IP-адрес, когда вы проверяете статус iptables.
sudo apt install ipset
Я уверен, что есть много, что может быть убрано. Я поместил мой в свою домашнюю папку и назвал его country_block.bsh. Поскольку скрипт вносит изменения в iptables, его нужно вызывать из sudo. Я добавил чек в скрипт.
#!/bin/bash
function custom(){
echo "Removing CUSTOM_IP set..."
prts=$(iptables -nvL INPUT | grep "CUSTOM_IP" | awk '{print $15}')
iptables -D INPUT -p tcp -m set --match-set CUSTOM_IP src -m multiport --dport ${prts} -j DROP 2>/dev/null
ipset destroy CUSTOM_IP
ipset -N CUSTOM_IP hash:net
echo "Creating CUSTOM_IP set..."
for i in $(cat custom.zone); do ipset -A CUSTOM_IP $i; done
echo "Creating rules for CUSTOM_IP set..."
iptables -A INPUT -p tcp -m set --match-set CUSTOM_IP src -m multiport --dports ${ports} -j DROP
}
function tablecheck(){
iptables -S INPUT | grep -v ACCEPT
}
# Check for ipset
which ipset >/dev/null
case $? in
1) echo "ipset not found on system. Please install ipset application."
exit 1;;
0);;
esac
# Check for root
if [ "$EUID" -ne 0 ]; then
echo "Please run this script as root"
exit 1
fi
# Set ports
ports=22,10000
# Check for country codes, if none, print list.
if [[ $@ == "" ]]; then
curl http://www.ipdeny.com/ipblocks/ 2>/dev/null | grep "<td>" | awk -F'<p>' '{print $2}' | awk -F'[' '{print $1}' | grep -v -e '^$'
echo "Choose any of the countries by typing in the two letter code between the ( )."
exit
fi
if [[ $1 == "custom" ]]; then
if [ ! -f custom.zone ]; then
echo "Missing custom.zone file. Please create custom.zone file with IP addresses for blocking."
exit
fi
custom
tablecheck
exit
fi
#Set ISO to country code(s).
ISO=$@
#Start Loop for country IP blocks and creating IPTABLES chain(s).
for c in $ISO; do
#Convert to lowercase. If already lowercase, ignored.
c=$(echo $c | awk '{print tolower($0)}')
#Match code to country name
country=$(curl http://www.ipdeny.com/ipblocks/ 2>/dev/null | grep \($(echo $c | awk '{print toupper($0)}')\) | awk -F'<p>' '{print $2}' | awk -F'(' '{print $1}' | sed 's/ //g' | sed 's/,//g')
# Truncate to 31 characters if too long.
country=${country:0:31}
echo "Got country $country..."
echo "Removing Existing Rule for $country (if any)..."
prts=$(iptables -nvL INPUT | grep "$country" | awk '{print $15}')
iptables -D INPUT -p tcp -m set --match-set "$country" src -m multiport --dport ${prts} -j DROP 2>/dev/null
ipset destroy $country
ipset -N $country hash:net
rm $c.zone 2>/dev/null
echo "Downloading IP block for $country..."
wget -P . http://www.ipdeny.com/ipblocks/data/countries/$c.zone 2>/dev/null
echo "Checking for invalid IP ranges in $country zone..."
for i in $(seq 1 7); do grep "/$i$" $c.zone; if [[ $? == "0" ]]; then sed -i "s/\/${i}$/\/24/" $c.zone; echo "Fixed..."; fi; done
echo "Creating iptable block for $country..."
for i in $(cat $c.zone); do ipset -A "$country" $i; done
echo "Adding rule to firewall..."
iptables -A INPUT -p tcp -m set --match-set "$country" src -m multiport --dports ${ports} -j DROP
echo "Added Firewall Rule for $country"
rm $c.zone 2>/dev/null
done
if [[ $# == "1" || $1 -ne "custom" ]]; then
tablecheck
else
if [ ! -f custom.zone ]; then
echo "Missing custom.zone file. Please create custom.zone file with IP addresses for blocking."
tablecheck
exit
fi
custom
fi
if [[ $# -ne "1" ]]; then
tablecheck
fi
#iptables -S INPUT | grep -v ACCEPT
Затем вы можете создать файл custom.zone в той же папке, что и файл country_block.bsh, только с IP-адресами, которые могут снова и снова пытаться взломать вашу систему. Добавьте их с /32 в конце IP-адреса, например 217.99.238.106/32. После добавления собственных пользовательских IP-адресов вы можете перезагрузить их, просто выполнив:
sudo ./country_block.bsh custom
Будьте осторожны, чтобы не блокировать свою собственную страну или собственный публичный IP-адрес.
Также будьте осторожны, чтобы не заблокировать другие порты, которые не открыты. Если вы заблокируете порт 80, есть вероятность, что если вы посетите веб-сайт из этой страны, он не будет загружаться, потому что он не сможет вернуться в вашу систему на порт 80.
Затем я создал другой скрипт в своей домашней папке cb_update.bsh, который содержит все страны, которые я хочу заблокировать.
#!/bin/bash
cd /home/terrance/scripts/
./country_block.bsh cn ru nl de dk fr id ie it kr sg tw vn br ua pt il gb jp pk ar co fi in
Затем я добавил следующие строки в файл /etc/crontab. Каждый раз, когда моя система перезагружается, и она обновляет список в 01:05 утром.
$ cat /etc/crontab
@reboot root /bin/bash -c 'sleep 20 && /home/terrance/cb_update.bsh'
01 05 * * * root /home/terrance/cb_update.bsh
Если вы запустите скрипт самостоятельно, он даст вам коды стран:
terrance@terrance-ubuntu:~/scripts$ sudo ./country_block.bsh
AFGHANISTAN (AF)
LAND ISLANDS (AX)
ALBANIA (AL)
ALGERIA (DZ)
AMERICAN SAMOA (AS)
ANDORRA (AD)
ANGOLA (AO)
ANGUILLA (AI)
ANTIGUA AND BARBUDA (AG)
ARGENTINA (AR)
ARMENIA (AM)
ARUBA (AW)
AUSTRALIA (AU)
AUSTRIA (AT)
AZERBAIJAN (AZ)
BAHAMAS (BS)
BAHRAIN (BH)
BANGLADESH (BD)
BARBADOS (BB)
BELARUS (BY)
BELGIUM (BE)
BELIZE (BZ)
BENIN (BJ)
BERMUDA (BM)
BHUTAN (BT)
BOLIVIA (BO)
BOSNIA AND HERZEGOVINA (BA)
BOTSWANA (BW)
BRAZIL (BR)
BRITISH INDIAN OCEAN TERRITORY (IO)
BRUNEI DARUSSALAM (BN)
BULGARIA (BG)
BURKINA FASO (BF)
BURUNDI (BI)
CAMBODIA (KH)
CAMEROON (CM)
CANADA (CA)
CAPE VERDE (CV)
CAYMAN ISLANDS (KY)
CENTRAL AFRICAN REPUBLIC (CF)
CHAD (TD)
CHILE (CL)
CHINA (CN)
COLOMBIA (CO)
COMOROS (KM)
CONGO (CG)
CONGO, THE DEMOCRATIC REPUBLIC OF THE (CD)
COOK ISLANDS (CK)
COSTA RICA (CR)
COTE D'IVOIRE (CI)
CROATIA (HR)
CUBA (CU)
CYPRUS (CY)
CZECH REPUBLIC (CZ)
DENMARK (DK)
DJIBOUTI (DJ)
DOMINICA (DM)
DOMINICAN REPUBLIC (DO)
ECUADOR (EC)
EGYPT (EG)
EL SALVADOR (SV)
EQUATORIAL GUINEA (GQ)
ERITREA (ER)
ESTONIA (EE)
ETHIOPIA (ET)
FAROE ISLANDS (FO)
FIJI (FJ)
FINLAND (FI)
FRANCE (FR)
FRENCH GUIANA (GF)
FRENCH POLYNESIA (PF)
GABON (GA)
GAMBIA (GM)
GEORGIA (GE)
GERMANY (DE)
GHANA (GH)
GIBRALTAR (GI)
GREECE (GR)
GREENLAND (GL)
GRENADA (GD)
GUADELOUPE (GP)
GUAM (GU)
GUATEMALA (GT)
GUINEA (GN)
GUINEA-BISSAU (GW)
GUYANA (GY)
HAITI (HT)
HOLY SEE (VATICAN CITY STATE) (VA)
HONDURAS (HN)
HONG KONG (HK)
HUNGARY (HU)
ICELAND (IS)
INDIA (IN)
INDONESIA (ID)
IRAN, ISLAMIC REPUBLIC OF (IR)
IRAQ (IQ)
IRELAND (IE)
ISLE OF MAN (IM)
ISRAEL (IL)
ITALY (IT)
JAMAICA (JM)
JAPAN (JP)
JERSEY (JE)
JORDAN (JO)
KAZAKHSTAN (KZ)
KENYA (KE)
KIRIBATI (KI)
KOREA, DEMOCRATIC PEOPLE'S REPUBLIC OF (KP)
KOREA, REPUBLIC OF (KR)
KUWAIT (KW)
KYRGYZSTAN (KG)
LAO PEOPLE'S DEMOCRATIC REPUBLIC (LA)
LATVIA (LV)
LEBANON (LB)
LESOTHO (LS)
LIBERIA (LR)
LIBYAN ARAB JAMAHIRIYA (LY)
LIECHTENSTEIN (LI)
LITHUANIA (LT)
LUXEMBOURG (LU)
MACAO (MO)
MACEDONIA, THE FORMER YUGOSLAV REPUBLIC OF (MK)
MADAGASCAR (MG)
MALAWI (MW)
MALAYSIA (MY)
MALDIVES (MV)
MALI (ML)
MALTA (MT)
MARSHALL ISLANDS (MH)
MARTINIQUE (MQ)
MAURITANIA (MR)
MAURITIUS (MU)
MAYOTTE (YT)
MEXICO (MX)
MICRONESIA, FEDERATED STATES OF (FM)
MOLDOVA, REPUBLIC OF (MD)
MONACO (MC)
MONGOLIA (MN)
MONTENEGRO (ME)
MONTSERRAT (MS)
MOROCCO (MA)
MOZAMBIQUE (MZ)
MYANMAR (MM)
NAMIBIA (NA)
NAURU (NR)
NEPAL (NP)
NETHERLANDS (NL)
NEW CALEDONIA (NC)
NEW ZEALAND (NZ)
NICARAGUA (NI)
NIGER (NE)
NIGERIA (NG)
NIUE (NU)
NORFOLK ISLAND (NF)
NORTHERN MARIANA ISLANDS (MP)
NORWAY (NO)
OMAN (OM)
PAKISTAN (PK)
PALAU (PW)
PALESTINIAN TERRITORY, OCCUPIED (PS)
PANAMA (PA)
PAPUA NEW GUINEA (PG)
PARAGUAY (PY)
PERU (PE)
PHILIPPINES (PH)
POLAND (PL)
PORTUGAL (PT)
PUERTO RICO (PR)
QATAR (QA)
REUNION (RE)
ROMANIA (RO)
RUSSIAN FEDERATION (RU)
RWANDA (RW)
SAINT KITTS AND NEVIS (KN)
SAINT LUCIA (LC)
SAINT PIERRE AND MIQUELON (PM)
SAINT VINCENT AND THE GRENADINES (VC)
SAMOA (WS)
SAN MARINO (SM)
SAO TOME AND PRINCIPE (ST)
SAUDI ARABIA (SA)
SENEGAL (SN)
SERBIA (RS)
SEYCHELLES (SC)
SIERRA LEONE (SL)
SINGAPORE (SG)
SLOVAKIA (SK)
SLOVENIA (SI)
SOLOMON ISLANDS (SB)
SOMALIA (SO)
SOUTH AFRICA (ZA)
SPAIN (ES)
SRI LANKA (LK)
SUDAN (SD)
SURINAME (SR)
SWAZILAND (SZ)
SWEDEN (SE)
SWITZERLAND (CH)
SYRIAN ARAB REPUBLIC (SY)
TAIWAN (TW)
TAJIKISTAN (TJ)
TANZANIA, UNITED REPUBLIC OF (TZ)
THAILAND (TH)
TIMOR-LESTE (TL)
TOGO (TG)
TOKELAU (TK)
TONGA (TO)
TRINIDAD AND TOBAGO (TT)
TUNISIA (TN)
TURKEY (TR)
TURKMENISTAN (TM)
TURKS AND CAICOS ISLANDS (TC)
TUVALU (TV)
UGANDA (UG)
UKRAINE (UA)
UNITED ARAB EMIRATES (AE)
UNITED KINGDOM (GB)
UNITED STATES (US)
UNITED STATES MINOR OUTLYING ISLANDS (UM)
URUGUAY (UY)
UZBEKISTAN (UZ)
VANUATU (VU)
VENEZUELA (VE)
VIET NAM (VN)
VIRGIN ISLANDS, BRITISH (VG)
VIRGIN ISLANDS, U.S. (VI)
WALLIS AND FUTUNA (WF)
YEMEN (YE)
ZAMBIA (ZM)
ZIMBABWE (ZW)
Choose any of the countries by typing in the two letter code between the ( ).
Затем вы можете в любое время проверить, какие хиты могут произойти с вашей системой.
$ sudo iptables -nvL INPUT
Chain INPUT (policy ACCEPT 9523 packets, 3125K bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT udp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
0 0 ACCEPT tcp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
0 0 f2b-proftpd tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 21,20,990,989
2847 170K f2b-sshd tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22
12 548 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set CHINA src multiport dports 22,10000
4 176 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set RUSSIANFEDERATION src multiport dports 22,10000
1 44 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set NETHERLANDS src multiport dports 22,10000
2 88 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set GERMANY src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set DENMARK src multiport dports 22,10000
157 8156 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set FRANCE src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set INDONESIA src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set IRELAND src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set ITALY src multiport dports 22,10000
4 180 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set KOREAREPUBLICOF src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set SINGAPORE src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set TAIWAN src multiport dports 22,10000
947 48804 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set VIETNAM src multiport dports 22,10000
2 92 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set BRAZIL src multiport dports 22,10000
6 264 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set UKRAINE src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set PORTUGAL src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set ISRAEL src multiport dports 22,10000
3 180 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set UNITEDKINGDOM src multiport dports 22,10000
1 44 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set JAPAN src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set PAKISTAN src multiport dports 22,10000
2 88 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set ARGENTINA src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set COLOMBIA src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set FINLAND src multiport dports 22,10000
4 188 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set INDIA src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set CUSTOM_IP src multiport dports 22,10000
Надеюсь, что это поможет!
Этот ответ на самом деле не отвечает, кто пытается войти в ваш хост, но он может дать вам представление о том, откуда человек.
Если вы собираетесь использовать пароли для входа через ssh, вы должны принять некоторые меры предосторожности в отношении людей, пытающихся взломать вашу систему. Для моего личного использования мне нравится использовать fail2ban, а затем я написал свой собственный скрипт, который использует iptables и ipset. Последняя часть, которую я использую для полной блокировки IP-адресов страны, поступает на мой узел в порту 22. Я также установил geoiplookup в качестве способа увидеть, откуда идет IP-адрес, чтобы решить, хочу ли я заблокировать страну или нет , Сценарий, который у меня ниже, дает набор IP-адресов из ipdeny.com. Это значительно уменьшило количество попыток моего хоста, так как я оставляю порт 22 открытым большую часть времени.
Установка fail2ban:
sudo apt install fail2ban
Обычно с fail2ban настройки по умолчанию в порядке. Если вы хотите их изменить, обязательно скопируйте /etc/fail2ban/jail.conf в качестве /etc/fail2ban/jail.local и внесите изменения в файл jail.local, который вы создали. Вы также можете увидеть неудачные попытки в файле /var/log/fail2ban.log.
Установка geoiplookup:
sudo apt install geoip-bin
Затем вы можете увидеть, где находятся IP-адреса исходят из.
~$ geoiplookup 218.87.109.156
GeoIP Country Edition: CN, China
Сценарий блокировки страны, который я создал.
Необходимым приложением для блока страны является ipset. Это приложение позволяет iptables использовать блок IP вместо того, чтобы показывать каждый отдельный IP-адрес, когда вы проверяете статус iptables.
sudo apt install ipset
Я уверен, что есть много, что может быть убрано. Я поместил мой в свою домашнюю папку и назвал его country_block.bsh. Поскольку скрипт вносит изменения в iptables, его нужно вызывать из sudo. Я добавил чек в скрипт.
#!/bin/bash
function custom(){
echo "Removing CUSTOM_IP set..."
prts=$(iptables -nvL INPUT | grep "CUSTOM_IP" | awk '{print $15}')
iptables -D INPUT -p tcp -m set --match-set CUSTOM_IP src -m multiport --dport ${prts} -j DROP 2>/dev/null
ipset destroy CUSTOM_IP
ipset -N CUSTOM_IP hash:net
echo "Creating CUSTOM_IP set..."
for i in $(cat custom.zone); do ipset -A CUSTOM_IP $i; done
echo "Creating rules for CUSTOM_IP set..."
iptables -A INPUT -p tcp -m set --match-set CUSTOM_IP src -m multiport --dports ${ports} -j DROP
}
function tablecheck(){
iptables -S INPUT | grep -v ACCEPT
}
# Check for ipset
which ipset >/dev/null
case $? in
1) echo "ipset not found on system. Please install ipset application."
exit 1;;
0);;
esac
# Check for root
if [ "$EUID" -ne 0 ]; then
echo "Please run this script as root"
exit 1
fi
# Set ports
ports=22,10000
# Check for country codes, if none, print list.
if [[ $@ == "" ]]; then
curl http://www.ipdeny.com/ipblocks/ 2>/dev/null | grep "<td>" | awk -F'<p>' '{print $2}' | awk -F'[' '{print $1}' | grep -v -e '^$'
echo "Choose any of the countries by typing in the two letter code between the ( )."
exit
fi
if [[ $1 == "custom" ]]; then
if [ ! -f custom.zone ]; then
echo "Missing custom.zone file. Please create custom.zone file with IP addresses for blocking."
exit
fi
custom
tablecheck
exit
fi
#Set ISO to country code(s).
ISO=$@
#Start Loop for country IP blocks and creating IPTABLES chain(s).
for c in $ISO; do
#Convert to lowercase. If already lowercase, ignored.
c=$(echo $c | awk '{print tolower($0)}')
#Match code to country name
country=$(curl http://www.ipdeny.com/ipblocks/ 2>/dev/null | grep \($(echo $c | awk '{print toupper($0)}')\) | awk -F'<p>' '{print $2}' | awk -F'(' '{print $1}' | sed 's/ //g' | sed 's/,//g')
# Truncate to 31 characters if too long.
country=${country:0:31}
echo "Got country $country..."
echo "Removing Existing Rule for $country (if any)..."
prts=$(iptables -nvL INPUT | grep "$country" | awk '{print $15}')
iptables -D INPUT -p tcp -m set --match-set "$country" src -m multiport --dport ${prts} -j DROP 2>/dev/null
ipset destroy $country
ipset -N $country hash:net
rm $c.zone 2>/dev/null
echo "Downloading IP block for $country..."
wget -P . http://www.ipdeny.com/ipblocks/data/countries/$c.zone 2>/dev/null
echo "Checking for invalid IP ranges in $country zone..."
for i in $(seq 1 7); do grep "/$i$" $c.zone; if [[ $? == "0" ]]; then sed -i "s/\/${i}$/\/24/" $c.zone; echo "Fixed..."; fi; done
echo "Creating iptable block for $country..."
for i in $(cat $c.zone); do ipset -A "$country" $i; done
echo "Adding rule to firewall..."
iptables -A INPUT -p tcp -m set --match-set "$country" src -m multiport --dports ${ports} -j DROP
echo "Added Firewall Rule for $country"
rm $c.zone 2>/dev/null
done
if [[ $# == "1" || $1 -ne "custom" ]]; then
tablecheck
else
if [ ! -f custom.zone ]; then
echo "Missing custom.zone file. Please create custom.zone file with IP addresses for blocking."
tablecheck
exit
fi
custom
fi
if [[ $# -ne "1" ]]; then
tablecheck
fi
#iptables -S INPUT | grep -v ACCEPT
Затем вы можете создать файл custom.zone в той же папке, что и файл country_block.bsh, только с IP-адресами, которые могут снова и снова пытаться взломать вашу систему. Добавьте их с /32 в конце IP-адреса, например 217.99.238.106/32. После добавления собственных пользовательских IP-адресов вы можете перезагрузить их, просто выполнив:
sudo ./country_block.bsh custom
Будьте осторожны, чтобы не блокировать свою собственную страну или собственный публичный IP-адрес.
Также будьте осторожны, чтобы не заблокировать другие порты, которые не открыты. Если вы заблокируете порт 80, есть вероятность, что если вы посетите веб-сайт из этой страны, он не будет загружаться, потому что он не сможет вернуться в вашу систему на порт 80.
Затем я создал другой скрипт в своей домашней папке cb_update.bsh, который содержит все страны, которые я хочу заблокировать.
#!/bin/bash
cd /home/terrance/scripts/
./country_block.bsh cn ru nl de dk fr id ie it kr sg tw vn br ua pt il gb jp pk ar co fi in
Затем я добавил следующие строки в файл /etc/crontab. Каждый раз, когда моя система перезагружается, и она обновляет список в 01:05 утром.
$ cat /etc/crontab
@reboot root /bin/bash -c 'sleep 20 && /home/terrance/cb_update.bsh'
01 05 * * * root /home/terrance/cb_update.bsh
Если вы запустите скрипт самостоятельно, он даст вам коды стран:
terrance@terrance-ubuntu:~/scripts$ sudo ./country_block.bsh
AFGHANISTAN (AF)
LAND ISLANDS (AX)
ALBANIA (AL)
ALGERIA (DZ)
AMERICAN SAMOA (AS)
ANDORRA (AD)
ANGOLA (AO)
ANGUILLA (AI)
ANTIGUA AND BARBUDA (AG)
ARGENTINA (AR)
ARMENIA (AM)
ARUBA (AW)
AUSTRALIA (AU)
AUSTRIA (AT)
AZERBAIJAN (AZ)
BAHAMAS (BS)
BAHRAIN (BH)
BANGLADESH (BD)
BARBADOS (BB)
BELARUS (BY)
BELGIUM (BE)
BELIZE (BZ)
BENIN (BJ)
BERMUDA (BM)
BHUTAN (BT)
BOLIVIA (BO)
BOSNIA AND HERZEGOVINA (BA)
BOTSWANA (BW)
BRAZIL (BR)
BRITISH INDIAN OCEAN TERRITORY (IO)
BRUNEI DARUSSALAM (BN)
BULGARIA (BG)
BURKINA FASO (BF)
BURUNDI (BI)
CAMBODIA (KH)
CAMEROON (CM)
CANADA (CA)
CAPE VERDE (CV)
CAYMAN ISLANDS (KY)
CENTRAL AFRICAN REPUBLIC (CF)
CHAD (TD)
CHILE (CL)
CHINA (CN)
COLOMBIA (CO)
COMOROS (KM)
CONGO (CG)
CONGO, THE DEMOCRATIC REPUBLIC OF THE (CD)
COOK ISLANDS (CK)
COSTA RICA (CR)
COTE D'IVOIRE (CI)
CROATIA (HR)
CUBA (CU)
CYPRUS (CY)
CZECH REPUBLIC (CZ)
DENMARK (DK)
DJIBOUTI (DJ)
DOMINICA (DM)
DOMINICAN REPUBLIC (DO)
ECUADOR (EC)
EGYPT (EG)
EL SALVADOR (SV)
EQUATORIAL GUINEA (GQ)
ERITREA (ER)
ESTONIA (EE)
ETHIOPIA (ET)
FAROE ISLANDS (FO)
FIJI (FJ)
FINLAND (FI)
FRANCE (FR)
FRENCH GUIANA (GF)
FRENCH POLYNESIA (PF)
GABON (GA)
GAMBIA (GM)
GEORGIA (GE)
GERMANY (DE)
GHANA (GH)
GIBRALTAR (GI)
GREECE (GR)
GREENLAND (GL)
GRENADA (GD)
GUADELOUPE (GP)
GUAM (GU)
GUATEMALA (GT)
GUINEA (GN)
GUINEA-BISSAU (GW)
GUYANA (GY)
HAITI (HT)
HOLY SEE (VATICAN CITY STATE) (VA)
HONDURAS (HN)
HONG KONG (HK)
HUNGARY (HU)
ICELAND (IS)
INDIA (IN)
INDONESIA (ID)
IRAN, ISLAMIC REPUBLIC OF (IR)
IRAQ (IQ)
IRELAND (IE)
ISLE OF MAN (IM)
ISRAEL (IL)
ITALY (IT)
JAMAICA (JM)
JAPAN (JP)
JERSEY (JE)
JORDAN (JO)
KAZAKHSTAN (KZ)
KENYA (KE)
KIRIBATI (KI)
KOREA, DEMOCRATIC PEOPLE'S REPUBLIC OF (KP)
KOREA, REPUBLIC OF (KR)
KUWAIT (KW)
KYRGYZSTAN (KG)
LAO PEOPLE'S DEMOCRATIC REPUBLIC (LA)
LATVIA (LV)
LEBANON (LB)
LESOTHO (LS)
LIBERIA (LR)
LIBYAN ARAB JAMAHIRIYA (LY)
LIECHTENSTEIN (LI)
LITHUANIA (LT)
LUXEMBOURG (LU)
MACAO (MO)
MACEDONIA, THE FORMER YUGOSLAV REPUBLIC OF (MK)
MADAGASCAR (MG)
MALAWI (MW)
MALAYSIA (MY)
MALDIVES (MV)
MALI (ML)
MALTA (MT)
MARSHALL ISLANDS (MH)
MARTINIQUE (MQ)
MAURITANIA (MR)
MAURITIUS (MU)
MAYOTTE (YT)
MEXICO (MX)
MICRONESIA, FEDERATED STATES OF (FM)
MOLDOVA, REPUBLIC OF (MD)
MONACO (MC)
MONGOLIA (MN)
MONTENEGRO (ME)
MONTSERRAT (MS)
MOROCCO (MA)
MOZAMBIQUE (MZ)
MYANMAR (MM)
NAMIBIA (NA)
NAURU (NR)
NEPAL (NP)
NETHERLANDS (NL)
NEW CALEDONIA (NC)
NEW ZEALAND (NZ)
NICARAGUA (NI)
NIGER (NE)
NIGERIA (NG)
NIUE (NU)
NORFOLK ISLAND (NF)
NORTHERN MARIANA ISLANDS (MP)
NORWAY (NO)
OMAN (OM)
PAKISTAN (PK)
PALAU (PW)
PALESTINIAN TERRITORY, OCCUPIED (PS)
PANAMA (PA)
PAPUA NEW GUINEA (PG)
PARAGUAY (PY)
PERU (PE)
PHILIPPINES (PH)
POLAND (PL)
PORTUGAL (PT)
PUERTO RICO (PR)
QATAR (QA)
REUNION (RE)
ROMANIA (RO)
RUSSIAN FEDERATION (RU)
RWANDA (RW)
SAINT KITTS AND NEVIS (KN)
SAINT LUCIA (LC)
SAINT PIERRE AND MIQUELON (PM)
SAINT VINCENT AND THE GRENADINES (VC)
SAMOA (WS)
SAN MARINO (SM)
SAO TOME AND PRINCIPE (ST)
SAUDI ARABIA (SA)
SENEGAL (SN)
SERBIA (RS)
SEYCHELLES (SC)
SIERRA LEONE (SL)
SINGAPORE (SG)
SLOVAKIA (SK)
SLOVENIA (SI)
SOLOMON ISLANDS (SB)
SOMALIA (SO)
SOUTH AFRICA (ZA)
SPAIN (ES)
SRI LANKA (LK)
SUDAN (SD)
SURINAME (SR)
SWAZILAND (SZ)
SWEDEN (SE)
SWITZERLAND (CH)
SYRIAN ARAB REPUBLIC (SY)
TAIWAN (TW)
TAJIKISTAN (TJ)
TANZANIA, UNITED REPUBLIC OF (TZ)
THAILAND (TH)
TIMOR-LESTE (TL)
TOGO (TG)
TOKELAU (TK)
TONGA (TO)
TRINIDAD AND TOBAGO (TT)
TUNISIA (TN)
TURKEY (TR)
TURKMENISTAN (TM)
TURKS AND CAICOS ISLANDS (TC)
TUVALU (TV)
UGANDA (UG)
UKRAINE (UA)
UNITED ARAB EMIRATES (AE)
UNITED KINGDOM (GB)
UNITED STATES (US)
UNITED STATES MINOR OUTLYING ISLANDS (UM)
URUGUAY (UY)
UZBEKISTAN (UZ)
VANUATU (VU)
VENEZUELA (VE)
VIET NAM (VN)
VIRGIN ISLANDS, BRITISH (VG)
VIRGIN ISLANDS, U.S. (VI)
WALLIS AND FUTUNA (WF)
YEMEN (YE)
ZAMBIA (ZM)
ZIMBABWE (ZW)
Choose any of the countries by typing in the two letter code between the ( ).
Затем вы можете в любое время проверить, какие хиты могут произойти с вашей системой.
$ sudo iptables -nvL INPUT
Chain INPUT (policy ACCEPT 9523 packets, 3125K bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT udp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
0 0 ACCEPT tcp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
0 0 f2b-proftpd tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 21,20,990,989
2847 170K f2b-sshd tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22
12 548 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set CHINA src multiport dports 22,10000
4 176 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set RUSSIANFEDERATION src multiport dports 22,10000
1 44 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set NETHERLANDS src multiport dports 22,10000
2 88 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set GERMANY src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set DENMARK src multiport dports 22,10000
157 8156 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set FRANCE src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set INDONESIA src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set IRELAND src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set ITALY src multiport dports 22,10000
4 180 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set KOREAREPUBLICOF src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set SINGAPORE src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set TAIWAN src multiport dports 22,10000
947 48804 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set VIETNAM src multiport dports 22,10000
2 92 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set BRAZIL src multiport dports 22,10000
6 264 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set UKRAINE src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set PORTUGAL src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set ISRAEL src multiport dports 22,10000
3 180 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set UNITEDKINGDOM src multiport dports 22,10000
1 44 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set JAPAN src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set PAKISTAN src multiport dports 22,10000
2 88 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set ARGENTINA src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set COLOMBIA src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set FINLAND src multiport dports 22,10000
4 188 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set INDIA src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set CUSTOM_IP src multiport dports 22,10000
Надеюсь, что это поможет!
Этот ответ на самом деле не отвечает, кто пытается войти в ваш хост, но он может дать вам представление о том, откуда человек.
Если вы собираетесь использовать пароли для входа через ssh, вы должны принять некоторые меры предосторожности в отношении людей, пытающихся взломать вашу систему. Для моего личного использования мне нравится использовать fail2ban, а затем я написал свой собственный скрипт, который использует iptables и ipset. Последняя часть, которую я использую для полной блокировки IP-адресов страны, поступает на мой узел в порту 22. Я также установил geoiplookup в качестве способа увидеть, откуда идет IP-адрес, чтобы решить, хочу ли я заблокировать страну или нет , Сценарий, который у меня ниже, дает набор IP-адресов из ipdeny.com. Это значительно уменьшило количество попыток моего хоста, так как я оставляю порт 22 открытым большую часть времени.
Установка fail2ban:
sudo apt install fail2ban
Обычно с fail2ban настройки по умолчанию в порядке. Если вы хотите их изменить, обязательно скопируйте /etc/fail2ban/jail.conf в качестве /etc/fail2ban/jail.local и внесите изменения в файл jail.local, который вы создали. Вы также можете увидеть неудачные попытки в файле /var/log/fail2ban.log.
Установка geoiplookup:
sudo apt install geoip-bin
Затем вы можете увидеть, где находятся IP-адреса исходят из.
~$ geoiplookup 218.87.109.156
GeoIP Country Edition: CN, China
Сценарий блокировки страны, который я создал.
Необходимым приложением для блока страны является ipset. Это приложение позволяет iptables использовать блок IP вместо того, чтобы показывать каждый отдельный IP-адрес, когда вы проверяете статус iptables.
sudo apt install ipset
Я уверен, что есть много, что может быть убрано. Я поместил мой в свою домашнюю папку и назвал его country_block.bsh. Поскольку скрипт вносит изменения в iptables, его нужно вызывать из sudo. Я добавил чек в скрипт.
#!/bin/bash
function custom(){
echo "Removing CUSTOM_IP set..."
prts=$(iptables -nvL INPUT | grep "CUSTOM_IP" | awk '{print $15}')
iptables -D INPUT -p tcp -m set --match-set CUSTOM_IP src -m multiport --dport ${prts} -j DROP 2>/dev/null
ipset destroy CUSTOM_IP
ipset -N CUSTOM_IP hash:net
echo "Creating CUSTOM_IP set..."
for i in $(cat custom.zone); do ipset -A CUSTOM_IP $i; done
echo "Creating rules for CUSTOM_IP set..."
iptables -A INPUT -p tcp -m set --match-set CUSTOM_IP src -m multiport --dports ${ports} -j DROP
}
function tablecheck(){
iptables -S INPUT | grep -v ACCEPT
}
# Check for ipset
which ipset >/dev/null
case $? in
1) echo "ipset not found on system. Please install ipset application."
exit 1;;
0);;
esac
# Check for root
if [ "$EUID" -ne 0 ]; then
echo "Please run this script as root"
exit 1
fi
# Set ports
ports=22,10000
# Check for country codes, if none, print list.
if [[ $@ == "" ]]; then
curl http://www.ipdeny.com/ipblocks/ 2>/dev/null | grep "<td>" | awk -F'<p>' '{print $2}' | awk -F'[' '{print $1}' | grep -v -e '^$'
echo "Choose any of the countries by typing in the two letter code between the ( )."
exit
fi
if [[ $1 == "custom" ]]; then
if [ ! -f custom.zone ]; then
echo "Missing custom.zone file. Please create custom.zone file with IP addresses for blocking."
exit
fi
custom
tablecheck
exit
fi
#Set ISO to country code(s).
ISO=$@
#Start Loop for country IP blocks and creating IPTABLES chain(s).
for c in $ISO; do
#Convert to lowercase. If already lowercase, ignored.
c=$(echo $c | awk '{print tolower($0)}')
#Match code to country name
country=$(curl http://www.ipdeny.com/ipblocks/ 2>/dev/null | grep \($(echo $c | awk '{print toupper($0)}')\) | awk -F'<p>' '{print $2}' | awk -F'(' '{print $1}' | sed 's/ //g' | sed 's/,//g')
# Truncate to 31 characters if too long.
country=${country:0:31}
echo "Got country $country..."
echo "Removing Existing Rule for $country (if any)..."
prts=$(iptables -nvL INPUT | grep "$country" | awk '{print $15}')
iptables -D INPUT -p tcp -m set --match-set "$country" src -m multiport --dport ${prts} -j DROP 2>/dev/null
ipset destroy $country
ipset -N $country hash:net
rm $c.zone 2>/dev/null
echo "Downloading IP block for $country..."
wget -P . http://www.ipdeny.com/ipblocks/data/countries/$c.zone 2>/dev/null
echo "Checking for invalid IP ranges in $country zone..."
for i in $(seq 1 7); do grep "/$i$" $c.zone; if [[ $? == "0" ]]; then sed -i "s/\/${i}$/\/24/" $c.zone; echo "Fixed..."; fi; done
echo "Creating iptable block for $country..."
for i in $(cat $c.zone); do ipset -A "$country" $i; done
echo "Adding rule to firewall..."
iptables -A INPUT -p tcp -m set --match-set "$country" src -m multiport --dports ${ports} -j DROP
echo "Added Firewall Rule for $country"
rm $c.zone 2>/dev/null
done
if [[ $# == "1" || $1 -ne "custom" ]]; then
tablecheck
else
if [ ! -f custom.zone ]; then
echo "Missing custom.zone file. Please create custom.zone file with IP addresses for blocking."
tablecheck
exit
fi
custom
fi
if [[ $# -ne "1" ]]; then
tablecheck
fi
#iptables -S INPUT | grep -v ACCEPT
Затем вы можете создать файл custom.zone в той же папке, что и файл country_block.bsh, только с IP-адресами, которые могут снова и снова пытаться взломать вашу систему. Добавьте их с /32 в конце IP-адреса, например 217.99.238.106/32. После добавления собственных пользовательских IP-адресов вы можете перезагрузить их, просто выполнив:
sudo ./country_block.bsh custom
Будьте осторожны, чтобы не блокировать свою собственную страну или собственный публичный IP-адрес.
Также будьте осторожны, чтобы не заблокировать другие порты, которые не открыты. Если вы заблокируете порт 80, есть вероятность, что если вы посетите веб-сайт из этой страны, он не будет загружаться, потому что он не сможет вернуться в вашу систему на порт 80.
Затем я создал другой скрипт в своей домашней папке cb_update.bsh, который содержит все страны, которые я хочу заблокировать.
#!/bin/bash
cd /home/terrance/scripts/
./country_block.bsh cn ru nl de dk fr id ie it kr sg tw vn br ua pt il gb jp pk ar co fi in
Затем я добавил следующие строки в файл /etc/crontab. Каждый раз, когда моя система перезагружается, и она обновляет список в 01:05 утром.
$ cat /etc/crontab
@reboot root /bin/bash -c 'sleep 20 && /home/terrance/cb_update.bsh'
01 05 * * * root /home/terrance/cb_update.bsh
Если вы запустите скрипт самостоятельно, он даст вам коды стран:
terrance@terrance-ubuntu:~/scripts$ sudo ./country_block.bsh
AFGHANISTAN (AF)
LAND ISLANDS (AX)
ALBANIA (AL)
ALGERIA (DZ)
AMERICAN SAMOA (AS)
ANDORRA (AD)
ANGOLA (AO)
ANGUILLA (AI)
ANTIGUA AND BARBUDA (AG)
ARGENTINA (AR)
ARMENIA (AM)
ARUBA (AW)
AUSTRALIA (AU)
AUSTRIA (AT)
AZERBAIJAN (AZ)
BAHAMAS (BS)
BAHRAIN (BH)
BANGLADESH (BD)
BARBADOS (BB)
BELARUS (BY)
BELGIUM (BE)
BELIZE (BZ)
BENIN (BJ)
BERMUDA (BM)
BHUTAN (BT)
BOLIVIA (BO)
BOSNIA AND HERZEGOVINA (BA)
BOTSWANA (BW)
BRAZIL (BR)
BRITISH INDIAN OCEAN TERRITORY (IO)
BRUNEI DARUSSALAM (BN)
BULGARIA (BG)
BURKINA FASO (BF)
BURUNDI (BI)
CAMBODIA (KH)
CAMEROON (CM)
CANADA (CA)
CAPE VERDE (CV)
CAYMAN ISLANDS (KY)
CENTRAL AFRICAN REPUBLIC (CF)
CHAD (TD)
CHILE (CL)
CHINA (CN)
COLOMBIA (CO)
COMOROS (KM)
CONGO (CG)
CONGO, THE DEMOCRATIC REPUBLIC OF THE (CD)
COOK ISLANDS (CK)
COSTA RICA (CR)
COTE D'IVOIRE (CI)
CROATIA (HR)
CUBA (CU)
CYPRUS (CY)
CZECH REPUBLIC (CZ)
DENMARK (DK)
DJIBOUTI (DJ)
DOMINICA (DM)
DOMINICAN REPUBLIC (DO)
ECUADOR (EC)
EGYPT (EG)
EL SALVADOR (SV)
EQUATORIAL GUINEA (GQ)
ERITREA (ER)
ESTONIA (EE)
ETHIOPIA (ET)
FAROE ISLANDS (FO)
FIJI (FJ)
FINLAND (FI)
FRANCE (FR)
FRENCH GUIANA (GF)
FRENCH POLYNESIA (PF)
GABON (GA)
GAMBIA (GM)
GEORGIA (GE)
GERMANY (DE)
GHANA (GH)
GIBRALTAR (GI)
GREECE (GR)
GREENLAND (GL)
GRENADA (GD)
GUADELOUPE (GP)
GUAM (GU)
GUATEMALA (GT)
GUINEA (GN)
GUINEA-BISSAU (GW)
GUYANA (GY)
HAITI (HT)
HOLY SEE (VATICAN CITY STATE) (VA)
HONDURAS (HN)
HONG KONG (HK)
HUNGARY (HU)
ICELAND (IS)
INDIA (IN)
INDONESIA (ID)
IRAN, ISLAMIC REPUBLIC OF (IR)
IRAQ (IQ)
IRELAND (IE)
ISLE OF MAN (IM)
ISRAEL (IL)
ITALY (IT)
JAMAICA (JM)
JAPAN (JP)
JERSEY (JE)
JORDAN (JO)
KAZAKHSTAN (KZ)
KENYA (KE)
KIRIBATI (KI)
KOREA, DEMOCRATIC PEOPLE'S REPUBLIC OF (KP)
KOREA, REPUBLIC OF (KR)
KUWAIT (KW)
KYRGYZSTAN (KG)
LAO PEOPLE'S DEMOCRATIC REPUBLIC (LA)
LATVIA (LV)
LEBANON (LB)
LESOTHO (LS)
LIBERIA (LR)
LIBYAN ARAB JAMAHIRIYA (LY)
LIECHTENSTEIN (LI)
LITHUANIA (LT)
LUXEMBOURG (LU)
MACAO (MO)
MACEDONIA, THE FORMER YUGOSLAV REPUBLIC OF (MK)
MADAGASCAR (MG)
MALAWI (MW)
MALAYSIA (MY)
MALDIVES (MV)
MALI (ML)
MALTA (MT)
MARSHALL ISLANDS (MH)
MARTINIQUE (MQ)
MAURITANIA (MR)
MAURITIUS (MU)
MAYOTTE (YT)
MEXICO (MX)
MICRONESIA, FEDERATED STATES OF (FM)
MOLDOVA, REPUBLIC OF (MD)
MONACO (MC)
MONGOLIA (MN)
MONTENEGRO (ME)
MONTSERRAT (MS)
MOROCCO (MA)
MOZAMBIQUE (MZ)
MYANMAR (MM)
NAMIBIA (NA)
NAURU (NR)
NEPAL (NP)
NETHERLANDS (NL)
NEW CALEDONIA (NC)
NEW ZEALAND (NZ)
NICARAGUA (NI)
NIGER (NE)
NIGERIA (NG)
NIUE (NU)
NORFOLK ISLAND (NF)
NORTHERN MARIANA ISLANDS (MP)
NORWAY (NO)
OMAN (OM)
PAKISTAN (PK)
PALAU (PW)
PALESTINIAN TERRITORY, OCCUPIED (PS)
PANAMA (PA)
PAPUA NEW GUINEA (PG)
PARAGUAY (PY)
PERU (PE)
PHILIPPINES (PH)
POLAND (PL)
PORTUGAL (PT)
PUERTO RICO (PR)
QATAR (QA)
REUNION (RE)
ROMANIA (RO)
RUSSIAN FEDERATION (RU)
RWANDA (RW)
SAINT KITTS AND NEVIS (KN)
SAINT LUCIA (LC)
SAINT PIERRE AND MIQUELON (PM)
SAINT VINCENT AND THE GRENADINES (VC)
SAMOA (WS)
SAN MARINO (SM)
SAO TOME AND PRINCIPE (ST)
SAUDI ARABIA (SA)
SENEGAL (SN)
SERBIA (RS)
SEYCHELLES (SC)
SIERRA LEONE (SL)
SINGAPORE (SG)
SLOVAKIA (SK)
SLOVENIA (SI)
SOLOMON ISLANDS (SB)
SOMALIA (SO)
SOUTH AFRICA (ZA)
SPAIN (ES)
SRI LANKA (LK)
SUDAN (SD)
SURINAME (SR)
SWAZILAND (SZ)
SWEDEN (SE)
SWITZERLAND (CH)
SYRIAN ARAB REPUBLIC (SY)
TAIWAN (TW)
TAJIKISTAN (TJ)
TANZANIA, UNITED REPUBLIC OF (TZ)
THAILAND (TH)
TIMOR-LESTE (TL)
TOGO (TG)
TOKELAU (TK)
TONGA (TO)
TRINIDAD AND TOBAGO (TT)
TUNISIA (TN)
TURKEY (TR)
TURKMENISTAN (TM)
TURKS AND CAICOS ISLANDS (TC)
TUVALU (TV)
UGANDA (UG)
UKRAINE (UA)
UNITED ARAB EMIRATES (AE)
UNITED KINGDOM (GB)
UNITED STATES (US)
UNITED STATES MINOR OUTLYING ISLANDS (UM)
URUGUAY (UY)
UZBEKISTAN (UZ)
VANUATU (VU)
VENEZUELA (VE)
VIET NAM (VN)
VIRGIN ISLANDS, BRITISH (VG)
VIRGIN ISLANDS, U.S. (VI)
WALLIS AND FUTUNA (WF)
YEMEN (YE)
ZAMBIA (ZM)
ZIMBABWE (ZW)
Choose any of the countries by typing in the two letter code between the ( ).
Затем вы можете в любое время проверить, какие хиты могут произойти с вашей системой.
$ sudo iptables -nvL INPUT
Chain INPUT (policy ACCEPT 9523 packets, 3125K bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT udp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
0 0 ACCEPT tcp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
0 0 f2b-proftpd tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 21,20,990,989
2847 170K f2b-sshd tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22
12 548 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set CHINA src multiport dports 22,10000
4 176 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set RUSSIANFEDERATION src multiport dports 22,10000
1 44 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set NETHERLANDS src multiport dports 22,10000
2 88 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set GERMANY src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set DENMARK src multiport dports 22,10000
157 8156 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set FRANCE src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set INDONESIA src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set IRELAND src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set ITALY src multiport dports 22,10000
4 180 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set KOREAREPUBLICOF src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set SINGAPORE src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set TAIWAN src multiport dports 22,10000
947 48804 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set VIETNAM src multiport dports 22,10000
2 92 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set BRAZIL src multiport dports 22,10000
6 264 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set UKRAINE src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set PORTUGAL src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set ISRAEL src multiport dports 22,10000
3 180 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set UNITEDKINGDOM src multiport dports 22,10000
1 44 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set JAPAN src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set PAKISTAN src multiport dports 22,10000
2 88 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set ARGENTINA src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set COLOMBIA src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set FINLAND src multiport dports 22,10000
4 188 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set INDIA src multiport dports 22,10000
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set CUSTOM_IP src multiport dports 22,10000
Надеюсь, что это поможет!
Все попытки входа в систему выполняются для пользователя root, поэтому он выглядит как простые попытки грубой силы через SSH.
Для публичного сервера вполне нормально иметь множество попыток грубой силы SSH день. Это факт жизни. Вы можете начать сообщать об этом интернет-провайдеру, которому принадлежит IP-адрес, но это бит-моль, и вы не будете иметь большого значения. Они используют скомпрометированные компьютеры по всему Интернету и / или учетным записям, на которых они подписались под ложными данными.
Что бы изменило ситуацию, если все решили отключить регистрацию root через SSH и / или потребовать ключ для входа в систему для root (или для всех). Пока вы совершили одно из этих действий, попытки грубой силы будут в основном неэффективными. Но, поскольку достаточно людей по-прежнему оставляют простой вход в root, и у него есть допустимый пароль, эти атаки продолжаются.
Еще одна вещь, которую рекомендуют некоторые люди, - это переключение вашего демона SSH на нестандартный номер порта, хотя Я предпочитаю не делать этого, потому что преимущество безопасности, которое оно приносит, не огромно, и мне нравится использовать стандартный порт 22.
Что касается вашего второго вопроса, это просто запуск Cron, который является программой, в которой выполняются запланированные задачи , Все системы имеют множество запланированных задач, настроенных по умолчанию системой. Поскольку cron может выполнять разные задачи в качестве разных пользователей, он использует pam_unix для обработки начального сеанса пользователя, даже когда root, поэтому он появляется в этом журнале.
Если у вас нет контроля / доступа на уровне штата на всех компьютерах / сетях, доступных вашему серверу, то поиск лица, стоящего за попытками входа в систему, является функционально невозможным. Тем не менее вы можете работать, чтобы упростить работу вашего сервера. см. «Как закрепить SSH-сервер?» и «Что можно сделать для защиты сервера Ubuntu?»
IP-адрес 218.87.109.156 не находится в DNS, а трассировка (из Оттавы, Канада) показывает:
w3@aardvark:~(0)$ tracepath 218.87.109.156
1?: [LOCALHOST] pmtu 1492
1: spark2y 0.739ms
1: spark2y 0.744ms
2: dsl-173-206-128-1.tor.primus.ca 31.017ms
3: 10.201.117.46 31.425ms asymm 5
4: 38.88.240.86 30.987ms
5: be4181.ccr31.yyz02.atlas.cogentco.com 30.872ms
6: be2993.ccr21.cle04.atlas.cogentco.com 38.281ms
7: be2717.ccr41.ord01.atlas.cogentco.com 45.373ms
8: sjo-b21-link.telia.net 92.369ms
9: be3035.ccr21.den01.atlas.cogentco.com 68.380ms
10: 202.97.50.77 96.352ms asymm 15
11: be3109.ccr21.sfo01.atlas.cogentco.com 96.099ms
12: be3179.ccr22.sjc01.atlas.cogentco.com 95.375ms
13: 202.97.57.26 233.831ms asymm 14
14: 202.97.82.126 278.546ms asymm 20
15: 117.44.130.118 250.081ms asymm 21
16: 111.74.206.105 249.725ms asymm 21
17: 117.44.130.146 245.893ms asymm 18
18: 202.97.57.26 232.033ms asymm 14
19: 202.97.39.58 241.135ms asymm 16
20: 111.74.207.46 268.148ms asymm 17
21: 218.87.109.156 246.090ms reached
Выполнение dig -x и tracepath остальной части IP-адресов остается как упражнение.
Я предполагаю, что вы атакованы. Если вы не находитесь за брандмауэром (а почему бы и нет?), Изучите пакет fail2ban или, если вы его не используете, прекратите выполнение sshd.
CRON - это системный планировщик заданий, в моей системе я вижу сотни из них в день.
-
1Я думаю, вы не можете конкретно идентифицировать это как атаку, если у вас нет убедительных доказательств того, что существует много атак только от этого конкретного IP-адреса. Подумайте, что эти, вероятно, сервисные сканеры, пытающиеся найти точки эксплойта, чтобы заразить и контролировать ваш сервер, но не обязательно направлены только в вашей системе (для неудавшейся части входа SSH) – Thomas Ward♦ 6 December 2017 в 03:27
Вы также можете изменить порт по умолчанию на другой нестандартный порт, если вам не нужен порт 22 в Интернете.
Даже если вы используете fail2ban, у вас все еще будет несколько неудачных попыток / день. Я никогда не оставляю порт по умолчанию открытым в Интернете. Для SSH как минимум.
Вы можете сделать это, отредактировав файл /etc/ssh/sshd_config. Должна быть строка, похожая на:
#Port 22 Удалите # спереди и измените 22 к вашему желаемому значению порта (от 1 до 65535)
Пример: Port 1337
Затем вы можете проверить правильность конфигурации (убедитесь, что нет лишних символов, или это может не запускается - это полезно, когда вы перезапускаете удаленный sshd, он может не перезагружаться должным образом и вам нужен доступ через другие маршруты). Тестирование с помощью команды: /usr/sbin/sshd -t
Помните: никакой вывод обычно означает отсутствие ошибки .
И вам нужно перезапустить службу sshd:
sudo systemctl restart sshd
или
sudo service sshd restart
или
sudo killall -HUP sshd
Затем вы можете ssh на свой сервер с помощью настраиваемого порта. Из другого терминала вы можете использовать:
ssh <serverHostname> -p <port>.
И для ленивых людей, подобных мне, если вы не хотите указывать этот порт все время, вы можете изменить порт по умолчанию таким же образом в файле /etc/ssh/ssh_config (это файл для команды ssh), поэтому вам не нужно постоянно добавлять параметр -p <port>.
-
1можете ли вы изменить свой ответ, чтобы объяснить, как я должен это делать? – yukashima huksay 6 December 2017 в 21:43
-
2
-
3Я сделал это и теперь в netstat -atn, я вижу, что tcp 0.0.0.0:1382 прослушивается, но если я хочу ssh, я получаю тайм-аут. – yukashima huksay 7 December 2017 в 21:16
-
4Аппарат напрямую подключен к Интернету? Возможно, вам потребуется создать правила переадресации портов в маршрутизаторе, если нет. Или, может быть, iptables настроен, и он блокирует его? Вы можете запустить iptables -L -n? – dubsauce 8 December 2017 в 21:35
-
5
Вы также можете изменить порт по умолчанию на другой нестандартный порт, если вам не нужен порт 22 в Интернете.
Даже если вы используете fail2ban, у вас все еще будет несколько неудачных попыток / день. Я никогда не оставляю порт по умолчанию открытым в Интернете. Для SSH как минимум.
Вы можете сделать это, отредактировав файл /etc/ssh/sshd_config. Должна быть строка, похожая на:
#Port 22 Удалите # спереди и измените 22 к вашему желаемому значению порта (от 1 до 65535)
Пример: Port 1337
Затем вы можете проверить правильность конфигурации (убедитесь, что нет лишних символов, или это может не запускается - это полезно, когда вы перезапускаете удаленный sshd, он может не перезагружаться должным образом и вам нужен доступ через другие маршруты). Тестирование с помощью команды: /usr/sbin/sshd -t
Помните: никакой вывод обычно означает отсутствие ошибки .
И вам нужно перезапустить службу sshd:
sudo systemctl restart sshd
или
sudo service sshd restart
или
sudo killall -HUP sshd
Затем вы можете ssh на свой сервер с помощью настраиваемого порта. Из другого терминала вы можете использовать:
ssh <serverHostname> -p <port>.
И для ленивых людей, подобных мне, если вы не хотите указывать этот порт все время, вы можете изменить порт по умолчанию таким же образом в файле /etc/ssh/ssh_config (это файл для команды ssh), поэтому вам не нужно постоянно добавлять параметр -p <port>.
Если у вас нет контроля / доступа на уровне штата на всех компьютерах / сетях, доступных вашему серверу, то поиск лица, стоящего за попытками входа в систему, является функционально невозможным. Тем не менее вы можете работать, чтобы упростить работу вашего сервера. см. «Как закрепить SSH-сервер?» и «Что можно сделать для защиты сервера Ubuntu?»
Все попытки входа в систему выполняются для пользователя root, поэтому он выглядит как простые попытки грубой силы через SSH.
Для публичного сервера вполне нормально иметь множество попыток грубой силы SSH день. Это факт жизни. Вы можете начать сообщать об этом интернет-провайдеру, которому принадлежит IP-адрес, но это бит-моль, и вы не будете иметь большого значения. Они используют скомпрометированные компьютеры по всему интернету и / или учетным записям, на которых они подписались под ложными данными.
Что бы изменило ситуацию, если все решили отключить регистрацию root через SSH и / или потребовать ключ для входа в систему для root (или для всех). Пока вы совершили одно из этих действий, попытки грубой силы будут в основном неэффективными. Но, поскольку достаточно людей по-прежнему оставляют простой вход в root, и у него есть допустимый пароль, эти атаки продолжаются.
Еще одна вещь, которую рекомендуют некоторые люди, - это переключение вашего демона SSH на нестандартный номер порта, хотя Я предпочитаю не делать этого, потому что преимущество безопасности, которое оно приносит, не огромно, и мне нравится использовать стандартный порт 22.
Что касается вашего второго вопроса, это просто запуск Cron, который является программой, в которой выполняются запланированные задачи , Все системы имеют множество запланированных задач, настроенных по умолчанию системой. Поскольку cron может выполнять разные задачи в качестве разных пользователей, он использует pam_unix для обработки начального сеанса пользователя, даже когда root, поэтому он появляется в этом журнале.
IP-адрес 218.87.109.156 не находится в DNS, а трассировка (из Оттавы, Канада) показывает:
w3@aardvark:~(0)$ tracepath 218.87.109.156
1?: [LOCALHOST] pmtu 1492
1: spark2y 0.739ms
1: spark2y 0.744ms
2: dsl-173-206-128-1.tor.primus.ca 31.017ms
3: 10.201.117.46 31.425ms asymm 5
4: 38.88.240.86 30.987ms
5: be4181.ccr31.yyz02.atlas.cogentco.com 30.872ms
6: be2993.ccr21.cle04.atlas.cogentco.com 38.281ms
7: be2717.ccr41.ord01.atlas.cogentco.com 45.373ms
8: sjo-b21-link.telia.net 92.369ms
9: be3035.ccr21.den01.atlas.cogentco.com 68.380ms
10: 202.97.50.77 96.352ms asymm 15
11: be3109.ccr21.sfo01.atlas.cogentco.com 96.099ms
12: be3179.ccr22.sjc01.atlas.cogentco.com 95.375ms
13: 202.97.57.26 233.831ms asymm 14
14: 202.97.82.126 278.546ms asymm 20
15: 117.44.130.118 250.081ms asymm 21
16: 111.74.206.105 249.725ms asymm 21
17: 117.44.130.146 245.893ms asymm 18
18: 202.97.57.26 232.033ms asymm 14
19: 202.97.39.58 241.135ms asymm 16
20: 111.74.207.46 268.148ms asymm 17
21: 218.87.109.156 246.090ms reached
Выполнение dig -x и tracepath остальной части IP-адресов остается как упражнение.
Я предполагаю, что вы атакованы. Если вы не находитесь за брандмауэром (а почему бы и нет?), Изучите пакет fail2ban или, если вы его не используете, прекратите выполнение sshd.
CRON - это системный планировщик заданий, в моей системе я вижу сотни из них в день.
Вы также можете изменить порт по умолчанию на другой нестандартный порт, если вам не нужен порт 22 в Интернете.
Даже если вы используете fail2ban, у вас все еще будет несколько неудачных попыток / день. Я никогда не оставляю порт по умолчанию открытым в Интернете. Для SSH как минимум.
Вы можете сделать это, отредактировав файл /etc/ssh/sshd_config. Должна быть строка, похожая на:
#Port 22 Удалите # спереди и измените 22 к вашему желаемому значению порта (от 1 до 65535)
Пример: Port 1337
Затем вы можете проверить правильность конфигурации (убедитесь, что нет лишних символов, или это может не запускается - это полезно, когда вы перезапускаете удаленный sshd, он может не перезагружаться должным образом и вам нужен доступ через другие маршруты). Тестирование с помощью команды: /usr/sbin/sshd -t
Помните: никакой вывод обычно означает отсутствие ошибки .
И вам нужно перезапустить службу sshd:
sudo systemctl restart sshd
или
sudo service sshd restart
или
sudo killall -HUP sshd
Затем вы можете ssh на свой сервер с помощью настраиваемого порта. Из другого терминала вы можете использовать:
ssh <serverHostname> -p <port>.
И для ленивых людей, подобных мне, если вы не хотите указывать этот порт все время, вы можете изменить порт по умолчанию таким же образом в файле /etc/ssh/ssh_config (это файл для команды ssh), поэтому вам не нужно постоянно добавлять параметр -p <port>.
-
1можете ли вы изменить свой ответ, чтобы объяснить, как я должен это делать? – yukashima huksay 6 December 2017 в 21:43
-
2
-
3Я сделал это и теперь в netstat -atn, я вижу, что tcp 0.0.0.0:1382 прослушивается, но если я хочу ssh, я получаю тайм-аут. – yukashima huksay 7 December 2017 в 21:16
-
4Аппарат напрямую подключен к Интернету? Возможно, вам потребуется создать правила переадресации портов в маршрутизаторе, если нет. Или, может быть, iptables настроен, и он блокирует его? Вы можете запустить iptables -L -n? – dubsauce 8 December 2017 в 21:35
-
5
Если у вас нет контроля / доступа на уровне штата на всех компьютерах / сетях, доступных вашему серверу, то поиск лица, стоящего за попытками входа в систему, является функционально невозможным. Тем не менее вы можете работать, чтобы упростить работу вашего сервера. см. «Как закрепить SSH-сервер?» и «Что можно сделать для защиты сервера Ubuntu?»
Все попытки входа в систему выполняются для пользователя root, поэтому он выглядит как простые попытки грубой силы через SSH.
Для публичного сервера вполне нормально иметь множество попыток грубой силы SSH день. Это факт жизни. Вы можете начать сообщать об этом интернет-провайдеру, которому принадлежит IP-адрес, но это бит-моль, и вы не будете иметь большого значения. Они используют скомпрометированные компьютеры по всему Интернету и / или учетным записям, на которых они подписались под ложными данными.
Что бы изменило ситуацию, если все решили отключить регистрацию root через SSH и / или потребовать ключ для входа в систему для root (или для всех). Пока вы совершили одно из этих действий, попытки грубой силы будут в основном неэффективными. Но, поскольку достаточно людей по-прежнему оставляют простой вход в root, и у него есть допустимый пароль, эти атаки продолжаются.
Еще одна вещь, которую рекомендуют некоторые люди, - это переключение вашего демона SSH на нестандартный номер порта, хотя Я предпочитаю не делать этого, потому что преимущество безопасности, которое оно приносит, не огромно, и мне нравится использовать стандартный порт 22.
Что касается вашего второго вопроса, это просто запуск Cron, который является программой, в которой выполняются запланированные задачи , Все системы имеют множество запланированных задач, настроенных по умолчанию системой. Поскольку cron может выполнять разные задачи в качестве разных пользователей, он использует pam_unix для обработки начального сеанса пользователя, даже когда root, поэтому он появляется в этом журнале.
IP-адрес 218.87.109.156 не находится в DNS, а трассировка (из Оттавы, Канада) показывает:
w3@aardvark:~(0)$ tracepath 218.87.109.156
1?: [LOCALHOST] pmtu 1492
1: spark2y 0.739ms
1: spark2y 0.744ms
2: dsl-173-206-128-1.tor.primus.ca 31.017ms
3: 10.201.117.46 31.425ms asymm 5
4: 38.88.240.86 30.987ms
5: be4181.ccr31.yyz02.atlas.cogentco.com 30.872ms
6: be2993.ccr21.cle04.atlas.cogentco.com 38.281ms
7: be2717.ccr41.ord01.atlas.cogentco.com 45.373ms
8: sjo-b21-link.telia.net 92.369ms
9: be3035.ccr21.den01.atlas.cogentco.com 68.380ms
10: 202.97.50.77 96.352ms asymm 15
11: be3109.ccr21.sfo01.atlas.cogentco.com 96.099ms
12: be3179.ccr22.sjc01.atlas.cogentco.com 95.375ms
13: 202.97.57.26 233.831ms asymm 14
14: 202.97.82.126 278.546ms asymm 20
15: 117.44.130.118 250.081ms asymm 21
16: 111.74.206.105 249.725ms asymm 21
17: 117.44.130.146 245.893ms asymm 18
18: 202.97.57.26 232.033ms asymm 14
19: 202.97.39.58 241.135ms asymm 16
20: 111.74.207.46 268.148ms asymm 17
21: 218.87.109.156 246.090ms reached
Выполнение dig -x и tracepath остальной части IP-адресов остается как упражнение.
Я предполагаю, что вы атакованы. Если вы не находитесь за брандмауэром (а почему бы и нет?), Изучите пакет fail2ban или, если вы его не используете, прекратите выполнение sshd.
CRON - это системный планировщик заданий, в моей системе я вижу сотни из них в день.
-
1Я думаю, вы не можете конкретно идентифицировать это как атаку, если у вас нет убедительных доказательств того, что существует много атак только от этого конкретного IP-адреса. Подумайте, что эти, вероятно, сервисные сканеры, пытающиеся найти точки эксплойта, чтобы заразить и контролировать ваш сервер, но не обязательно направлены только в вашей системе (для неудавшейся части входа SSH) – Thomas Ward♦ 6 December 2017 в 03:27