今天,我检查了我的覆盆子(位于wrt54gl后的家庭网络中的私有IP地址)的auth.log。出乎意料的是,我看到了很多“ root用户密码失败”行。
SRC IP可以在SSH暴力攻击者列表中找到。
当我通过Internet连接到树莓派时,我通常会与路由器的公共IP地址建立ssh连接,并连接到树莓派的私有地址。
那么,有人怎么能直接连接到只有私人地址的设备呢?
eth0 Link encap:Ethernet Hardware Adresse b8:27:eb:e5:7a:5b
inet Adresse:192.168.0.5 Bcast:192.168.0.255 Maske:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
RX packets:2774178 errors:0 dropped:933 overruns:0 frame:0
TX packets:5544091 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenl▒nge:1000
RX bytes:457172801 (435.9 MiB) TX bytes:875979564 (835.3 MiB)
lo Link encap:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
UP LOOPBACK RUNNING MTU:65536 Metrik:1
RX packets:2695 errors:0 dropped:0 overruns:0 frame:0
TX packets:2695 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenl▒nge:0
RX bytes:725188 (708.1 KiB) TX bytes:725188 (708.1 KiB)
Jun 15 13:42:12 rpi sshd[15608]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.31 user=root
假设您使用端口转发,则采用与您相同的方法。如果您尝试从远程登录树莓派(即使使用了错误的密码),则在auth.log中应该会看到非常相似的一行。
当然,您将连接到分配给路由器外部接口的公用IP地址。我假设您在路由器中建立了端口转发,以便任何与您的公共IP地址上的特定端口的连接都将转发到树莓派。在这种情况下,我假设您将路由器中的端口22转发到了树莓派的端口22。
另一个IP地址后面的家伙走的方式是相同的,并且可能像
或者,也许他是手动完成并启动他的ssh客户端,连接到您的公共IP地址,端口22,该端口将被转发到树莓派,并仅尝试使用常见的用户名/密码组合(pi / raspberry,root / root,.. )。
为了避免这种情况,您可以
knockd
要使用它之前,请安装并敲开端口fail2ban
以阻止未经授权的IP地址(有关所提及方法的更详细概述,请参见此处。)
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句