3

在 Google Cloud Console 上查看我的实例信息时,我在串行控制台输出上收到了数百个这样的信息。这是怎么回事?(IP地址被隐藏)

sshd[21514]: Received disconnect from 123.456.7.890: 11: Bye Bye [preauth]
Jun 30 01:25:16 collabspot sshd[21516]: Invalid user florida from 123.456.7.890
Jun 30 01:25:16 collabspot sshd[21516]: input_userauth_request: invalid user florida [preauth]
Jun 30 01:25:16 collabspot sshd[21516]: Received disconnect from 123.456.7.890: 11: Bye Bye [preauth]
Jun 30 01:25:18 collabspot sshd[21518]: Invalid user florrie from 123.456.7.890
Jun 30 01:25:18 collabspot sshd[21518]: input_userauth_request: invalid user florrie [preauth]

它似乎按字母顺序尝试不同的用户名。我从未向任何人提供过我的实例的 IP 地址。

4

2 回答 2

4

我猜您的实例的 IP 正在遭受暴力 SSH 登录攻击。您已经掩盖了攻击的源 IP 地址,但您可以使用它whois 123.456.7.890来找出网络块的所有者,这可能是外国的 ISP……通常,IP 地址注册商需要一个滥用联系人,但您可能会发现滥用联系人对这种流量没有多大帮助。

由于 GCE 默认禁用密码登录以支持公钥身份验证,因此除非您明确启用密码身份验证并为至少一个用户设置密码,否则这些攻击不太可能成功。不过,它们很烦人。

如果您倾向于从一小部分 IP 地址连接到 GCE,您可以删除default-ssh允许来自所有 IP 地址的流量到端口 22 的防火墙规则,并将其替换为只允许来自您的网络块的端口 22 TCP 流量的目标规则。例如,如果您的 ISP 为您的网络使用 3.4.6.0/23,并且您在家中从 8.1.0.0/16 连接,则可以运行以下命令以仅允许来自这两个范围的 SSH 连接:

gcutil deletefirewall default-ssh
gcutil addfirewall limited-ssh --allowed=tcp:ssh --allowed_ip_sources=3.4.6.0/23,8.1.0.0/16

如果您以后需要恢复default-ssh规则,定义如下所示:

gcutil addfirewall default-ssh --allowed=tcp:ssh
于 2013-07-06T01:19:47.690 回答
1

这只是端口扫描。我假设它们来自扫描 IP 范围的脚本。多年来,我可以在我的个人服务器机器上看到同样的情况。除了确保没有为连接打开的端口外,您无能为力,这对您的系统来说并不是真正必需的,并定期寻找入侵者。

于 2013-07-04T05:30:02.963 回答