我的SSH连接未知

时间:2015-09-12 17:41:31

标签: ssh tcp

我想了解SSH服务器上的内容。 当我输入

netstat -an | grep -i ':22'

它出来了:

tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN     
tcp        0      0 192.168.0.1:22          192.168.0.3:49236       ESTABLISHED
tcp        0      0 192.168.0.1:22          43.229.53.72:16866      ESTABLISHED

我的本​​地IP实际上是192.168.0.3,我的服务器是192.168.0.1 我怎么解释43.229.53.72:16866?它似乎是一个中文地址。

who -a

给我

                        2015-09-09 02:05                62 id=si    term=0 sortie=0
           démarrage système 2015-09-09 02:05
           niveau d'exécution 2 2015-09-09 02:05                   dernier=S
                        2015-09-09 02:06              1890 id=l2    term=0 sortie=0
IDENTIFIANT   tty1         2015-09-09 02:06              2987 id=1
IDENTIFIANT   tty5         2015-09-09 02:06              2991 id=5
IDENTIFIANT   tty2         2015-09-09 02:06              2988 id=2
IDENTIFIANT   tty4         2015-09-09 02:06              2990 id=4
IDENTIFIANT   tty3         2015-09-09 02:06              2989 id=3
IDENTIFIANT   ttyAMA0      2015-09-09 02:06              2993 id=T0
IDENTIFIANT   tty6         2015-09-09 02:06              2992 id=6
pi       + pts/0        2015-09-12 19:17   .          4965 (192.168.0.3)
           pts/1        2015-09-12 18:59              3529 id=ts/1  term=0 sortie=0


cat /var/log/auth.log | grep '43.229.53.72'

43.229.53.72似乎尝试了很多次连接到我的ssh

Sep  8 21:55:21 raspberrypi sshd[30282]: Failed password for root from 43.229.53.72 port 39483 ssh2
Sep  8 21:55:23 raspberrypi sshd[30282]: Failed password for root from 43.229.53.72 port 39483 ssh2
Sep  8 21:55:25 raspberrypi sshd[30282]: Failed password for root from 43.229.53.72 port 39483 ssh2
Sep  8 21:55:25 raspberrypi sshd[30282]: Received disconnect from 43.229.53.72: 11:  [preauth]
Sep  8 21:55:25 raspberrypi sshd[30282]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.72  user=root

当然,他试图强行进入并获得成功。 如何将此地址踢出并列入黑名单以及如何防止将来出现这种情况?

1 个答案:

答案 0 :(得分:5)

首先请注意,建立 TCP连接并不意味着身份验证成功。

在公共IP上,机器人正在尝试连接并尝试使用一些常用密码和已知用户。你不必担心这一点,但你可以通过以下方式缓解这种现象:

  • 按照其他答案
  • 的建议安装并设置fail2ban
  • 禁用密码验证 - 机器人不要尝试使用公钥或其他方法
  • 禁用root登录 - 大多数机器人只尝试连接到root用户
  • 将您的服务移至22以外的其他端口 - 这隐藏了但也减轻了大部分连接
  • 安装" port-knocking"隐藏服务以进行未经授权访问的工具 - 例如fwknop