在dis logbuffer下有45.200.149.109在SSH登陆,是怎么回事?
- 0关注
- 0收藏,331浏览
问题描述:
%Sep 19 20:31:30:975 2024 S5700E#_CORE_IRF STP/6/STP_NOTIFIED_TC: Instance 0's port Bridge-Aggregation1 was notified a topology change.
%Sep 19 20:31:58:172 2024 S5700E#_CORE_IRF SSHS/6/SSHS_LOG: Authentication failed for user filter from 45.200.149.163 port 46394 because of invalid username or wrong password.
%Sep 19 20:31:58:348 2024 S5700E#_CORE_IRF SSHS/6/SSHS_LOG: Connection closed by 45.200.149.163.
%Sep 19 20:31:58:349 2024 S5700E#_CORE_IRF SSHS/6/SSHS_DISCONNECT: SSH user filter (IP: 45.200.149.163) disconnected from the server.
%Sep 19 20:33:52:331 2024 S5700E#_CORE_IRF STP/6/STP_NOTIFIED_TC: Instance 0's port Bridge-Aggregation1 was notified a topology change.
%Sep 19 20:36:35:268 2024 S5700E#_CORE_IRF SSHS/6/SSHS_LOG: Authentication failed for user user49 from 45.200.149.109 port 35498 because of invalid username or wrong password.
%Sep 19 20:36:38:405 2024 S5700E#_CORE_IRF SSHS/6/SSHS_LOG: Connection closed by 45.200.149.109.
%Sep 19 20:36:38:405 2024 S5700E#_CORE_IRF SSHS/6/SSHS_DISCONNECT: SSH user user49 (IP: 45.200.149.109) disconnected from the server.
%Sep 19 20:52:53:874 2024 S5700E#_CORE_IRF SSHS/6/SSHS_LOG: Authentication failed for user user from 45.200.149.161 port 45330 because of invalid username or wrong password.
%Sep 19 20:52:54:062 2024 S5700E#_CORE_IRF SSHS/6/SSHS_LOG: Connection closed by 45.200.149.161.
%Sep 19 20:52:54:062 2024 S5700E#_CORE_IRF SSHS/6/SSHS_DISCONNECT: SSH user user (IP: 45.200.149.161) disconnected from the server.
- 2024-09-19提问
- 举报
-
(0)
最佳答案
从您提供的日志信息来看,似乎有外部 IP 地址(如 45.200.149.109 和 45.200.149.163)尝试通过 SSH 登录到您的设备。
以下是日志中所记录的主要事件的分析:
SSH 登录尝试:
- 45.200.149.109 使用用户名
user49尝试登录,但由于用户名或密码无效而失败。 - 45.200.149.163 使用用户名
filter尝试登录,也因无效的用户名或密码而失败。
- 45.200.149.109 使用用户名
连接关闭:
- 登录尝试后,连接被关闭,表示该用户未能成功登录。
安全隐患:
- 这些日志表明有外部 IP 地址正在尝试进行未经授权的访问。请注意,这可能是恶意行为,如暴力破解攻击。
建议的应对措施:
检查访问控制:
- 确认您的 SSH 访问控制设置,确保只允许可信 IP 地址访问 SSH 服务。您可以在设备上设置 ACL(访问控制列表)来限制哪些 IP 地址可以进行 SSH 登录。
- 2024-09-20回答
- 评论(0)
- 举报
-
(0)
在交换机上使用ACL进行dny地址也不行,总是发现每隔一小时就出现一次。
rule 1 deny ip source 45.200.142.0 0.0.1.255
rule 2 deny ip source 45.200.144.0 0.0.3.255
rule 3 deny ip source 45.200.148.0 0.0.1.255
- 2024-09-19回答
- 评论(3)
- 举报
-
(0)
你这样deny人家也可以换IP的,而且acl是需要调用的,建议你写acl的时候先写permit哪些地址登录,然后最后deny all,然后再ssh server acl 3000调用就可以了。
你deny的acl怎么调用的
而且您限制的只是网段所以不一定是您限制的网段掩码位;您可以试试直接限制该公网地址
你这样deny人家也可以换IP的,而且acl是需要调用的,建议你写acl的时候先写permit哪些地址登录,然后最后deny all,然后再ssh server acl 3000调用就可以了。
需要对ssh服务进行ACL登录限制。建议ACL规则里写的时候先写允许哪些地址登录,然后最后再deny all。
调用到ssh服务上:ssh server acl 3000
这样就可以防止外网尝试密码登录了。
- 2024-09-20回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明