在Google云端控制台上查看我的实例信息时,我在串行控制台输出上收到数百个。这是怎么回事? (IP地址模糊)
sshd[21514]: Received disconnect from 123.456.7.890: 11: Bye Bye [preauth]
Jun 30 01:25:16 collabspot sshd[21516]: Invalid user florida from 123.456.7.890
Jun 30 01:25:16 collabspot sshd[21516]: input_userauth_request: invalid user florida [preauth]
Jun 30 01:25:16 collabspot sshd[21516]: Received disconnect from 123.456.7.890: 11: Bye Bye [preauth]
Jun 30 01:25:18 collabspot sshd[21518]: Invalid user florrie from 123.456.7.890
Jun 30 01:25:18 collabspot sshd[21518]: input_userauth_request: invalid user florrie [preauth]
似乎是按字母顺序尝试不同的用户名。我从来没有向任何人提供我的实例的IP地址。
答案 0 :(得分:4)
我猜你的实例的IP正遭受暴力SSH登录攻击。您已经隐藏了攻击的源IP地址,但是您可以使用whois 123.456.7.890找出网络块的所有者,该网络块可能是外国的ISP ...通常,IP地址注册商需要滥用联系人,但您可能会发现滥用联系人对这种流量无能为力。
由于GCE默认禁用密码登录以支持公钥验证,因此除非您明确启用密码验证并为至少一个用户设置密码,否则这些攻击不太可能成功。但是,它们很烦人。
如果您倾向于从少量IP地址连接到GCE,则可以删除允许从所有IP地址到端口22的流量的default-ssh防火墙规则,并将其替换为仅允许端口的目标规则22来自您的网络的TCP流量。例如,如果您的ISP使用3.4.6.0/23作为您的网络,并且您在家中从8.1.0.0/16连接,则可以运行以下命令以仅允许来自这两个范围的SSH连接:
gcutil deletefirewall default-ssh
gcutil addfirewall limited-ssh --allowed=tcp:ssh --allowed_ip_sources=3.4.6.0/23,8.1.0.0/16
如果您以后需要恢复default-ssh规则,则定义如下:
gcutil addfirewall default-ssh --allowed=tcp:ssh
答案 1 :(得分:1)
这只是端口扫描。我假设它们来自扫描IP范围的脚本。我可以在我的个人服务器机器上看到相同的内容多年了。除了确保没有打开连接的端口,这对你的系统来说不是必需的,并且经常寻找入侵者之外,你没有办法解决这个问题。