3

Google Cloud Console でインスタンス情報を表示すると、シリアル コンソール出力にこれらの数百が表示されます。どうしたの?(IPアドレスは隠蔽)

sshd[21514]: Received disconnect from 123.456.7.890: 11: Bye Bye [preauth]
Jun 30 01:25:16 collabspot sshd[21516]: Invalid user florida from 123.456.7.890
Jun 30 01:25:16 collabspot sshd[21516]: input_userauth_request: invalid user florida [preauth]
Jun 30 01:25:16 collabspot sshd[21516]: Received disconnect from 123.456.7.890: 11: Bye Bye [preauth]
Jun 30 01:25:18 collabspot sshd[21518]: Invalid user florrie from 123.456.7.890
Jun 30 01:25:18 collabspot sshd[21518]: input_userauth_request: invalid user florrie [preauth]

アルファベット順に別のユーザー名を試しているようです。インスタンスの IP アドレスを誰にも提供したことがありません。

4

2 に答える 2

4

あなたのインスタンスの IP はブルート フォース SSH ログイン攻撃を受けていると思います。攻撃の送信元 IP アドレスを隠しましたがwhois 123.456.7.890、ネットブロックの所有者を見つけるために使用できます。これは外国の ISP である可能性があります... 通常、IP アドレス レジストラーは悪用の連絡先を必要としますが、あなたは虐待の連絡先は、このトラフィックではあまり役に立たないことに気付くかもしれません。

GCE は公開鍵認証を優先してデフォルトでパスワード ログインを無効にしているため、パスワード認証を明示的に有効にして少なくとも 1 人のユーザーにパスワードを設定しない限り、これらの攻撃が成功する可能性は低いです。しかし、彼らは迷惑です。

狭い範囲の IP アドレスから GCE に接続する傾向がある場合は、default-sshすべての IP アドレスからポート 22 へのトラフィックを許可するファイアウォール ルールを削除し、ネットブロックからのポート 22 の TCP トラフィックのみを許可するターゲット ルールに置き換えることができます。たとえば、ISP がネットワークに 3.4.6.0/23 を使用していて、自宅で 8.1.0.0/16 から接続する場合、次のコマンドを実行して、これら 2 つの範囲からの SSH 接続のみを許可できます。

gcutil deletefirewall default-ssh
gcutil addfirewall limited-ssh --allowed=tcp:ssh --allowed_ip_sources=3.4.6.0/23,8.1.0.0/16

後でルールを元に戻す必要がある場合default-ssh、定義は次のようになります。

gcutil addfirewall default-ssh --allowed=tcp:ssh
于 2013-07-06T01:19:47.690 に答える
1

これは単なるポートスキャンです。IP範囲をスキャンするスクリプトからのものだと思います。私の個人用サーバー マシンでも同じことが何年も前から見られます。システムに必要のないポートを接続用に開いていないことを確認し、侵入者を定期的に探すことを除いて、できることはあまりありません。

于 2013-07-04T05:30:02.963 に答える