güvenlik duvarı günlüklerinde engellenen gelen trafik

Ubuntu VPS'ime UFW güvenlik duvarı yükledim ve şimdi günlüğüm 23 numaralı bağlantı noktasında gelen trafik sıkışıklığını gösterir.

kernel: [  670.832245] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=106.104.138.28 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=43 ID=2909 PROTO=TCP SPT=27941 DPT=23 WINDOW=44045 RES=0x00 SYN URGP=0 
kernel: [  716.494214] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=106.104.138.28 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=44 ID=2909 PROTO=TCP SPT=27941 DPT=2323 WINDOW=44045 RES=0x00 SYN URGP=0 
kernel: [  716.957063] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=106.104.138.28 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=43 ID=2909 PROTO=TCP SPT=27941 DPT=23 WINDOW=44045 RES=0x00 SYN URGP=0 
kernel: [  746.837251] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=106.104.138.28 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=43 ID=2909 PROTO=TCP SPT=27941 DPT=23 WINDOW=44045 RES=0x00 SYN URGP=0 
kernel: [  752.049313] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=106.104.138.28 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=43 ID=2909 PROTO=TCP SPT=27941 DPT=23 WINDOW=44045 RES=0x00 SYN URGP=0 
kernel: [  771.616696] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=106.104.138.28 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=43 ID=2909 PROTO=TCP SPT=27941 DPT=23 WINDOW=44045 RES=0x00 SYN URGP=0 
kernel: [  855.170118] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=109.201.140.38 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=243 ID=54321 PROTO=TCP SPT=58674 DPT=81 WINDOW=65535 RES=0x00 SYN URGP=0 
kernel: [  862.272265] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=118.68.70.89 DST=xxx LEN=40 TOS
=0x00 PREC=0x00 TTL=237 ID=5721 PROTO=TCP SPT=15509 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0 
kernel: [  883.299636] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=176.8.70.68 DST=xxx LEN=40 TOS=
0x00 PREC=0x00 TTL=245 ID=51761 PROTO=TCP SPT=17540 DPT=23 WINDOW=21654 RES=0x00 SYN URGP=0 
kernel: [  908.720735] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=122.117.201.94 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=45 ID=65516 PROTO=TCP SPT=34958 DPT=23 WINDOW=37782 RES=0x00 SYN URGP=0 
kernel: [  951.441094] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=119.179.205.34 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=233 ID=37432 PROTO=TCP SPT=29267 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0 
kernel: [ 1019.290302] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=187.161.189.63 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=231 ID=33719 PROTO=TCP SPT=46167 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0 
kernel: [ 1097.190270] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=58.123.113.149 DST=xxx LEN=122
TOS=0x00 PREC=0x00 TTL=51 ID=0 DF PROTO=UDP SPT=47005 DPT=1900 LEN=102 
kernel: [ 1098.860511] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=125.111.4.204 DST=xxx LEN=40 TO
S=0x00 PREC=0xE0 TTL=234 ID=5380 PROTO=TCP SPT=20370 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0 
kernel: [ 1129.143276] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=148.75.152.245 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=239 ID=8596 PROTO=TCP SPT=1331 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0

Bu nedir ve nasıl durdurabilirim?

Port 23, telnet bağlantıları içindir. Telnet, başka bir makinede bir metin terminali açmak ve orada komutları çalıştırmak için kullanılan eski protokoldür. Yaşlı ve tamamen güvensiz.

Bir VPS'de olduğunuz için, dünyanın her yerinden birçok makine tarafından saldırıya uğramak oldukça basit. Bulabildikleri tüm makinelerde Telnet (ve SSH) bağlantılarını kalıcı olarak açmaya çalışıyorlar ve onlar hakkında yapabileceğiniz hiçbir şey yok. Yalnızca gerçekten ihtiyacınız olan hizmetleri çalıştırdığınızdan ve bu hizmetlerin iyi güvencede olduğundan emin olun. Özellikle, çok güçlü bir SSH şifresi kullanın ve tercihen SSH şifrelerini devre dışı bırakın ve ortak / özel bir anahtar çifti kullanın.

Günlük sizi rahatsız ediyorsa, güvenlik duvarı kuralını kolayca kaldırabilirsiniz. Sadece 23 numaralı bağlantı noktasını dinleyen bir program olmadığından emin olun, iyi olacaksınız.

Komut netstat -l -n -A inet, şu anda sunucunuzda açık olan tüm İnternet bağlantı noktalarını listeler. Temel bir sunucuda, açıkça belirtmeyi düşündüğünüz hizmetler için yalnızca 22 numaralı bağlantı noktanıza (SSH), 123 numaralı bağlantı noktasına (NTP) ve bağlantı noktalarına (örneğin, bir web sunucusu için bağlantı noktası 80 ve / veya 443) sahip olmanız gerekir.

Bu src-ip'e bakıldığında, bağlantılar kendi ağınızın dışına çıkıyor gibi görünüyor. Yapabileceğiniz pek bir şey yok, bu yüzden sadece güvenlik duvarlarınızı açık tutun ve bu taleplere cevap göndermeyin.

Benim iddiaya göre hi-jack'e yanlış yapılandırılmış modemler arıyorlar.

İnternete Hoşgeldiniz!

Dünyadaki herhangi biri, sunucunuza istedikleri herhangi bir porttan bağlanmayı deneyebilir ve ne olduğunu görebilir. Onları durduramazsınız, ancak elde ettikleri her şeyin "bağlantı reddedildi" mesajı olduğundan emin olmak için bir güvenlik duvarı kullanabilirsiniz:

firas@momiji ~ % telnet -4 itsuki.fkraiem.org 23
Trying 91.121.157.10...
telnet: Unable to connect to remote host: Connection refused

Yaptığınız şey bu gibi görünüyor, bu yüzden bu harika, işinize güvenle devam edebilirsiniz.