connectBot
开源且功能齐全的SSH客户端,界面简洁,支持证书密钥。
下载量超 500万
方便在 Android 手机上,连接 SSH 服务器,去运行命令。
Fail2ban 12小时内抓获的 IP
~
~
~
~
root@jpn:~# sudo fail2ban-client status sshd
Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 0
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 29
|- Total banned: 29
`- Banned IP list: 103.153.111.48 103.171.85.186 103.78
.171.114 12.156.67.18 134.122.121.56 14.103.107.29 14.103.11
2.141 14.103.114.92 140.246.7.151 143.92.52.47 150.241.116.2
22 154.221.28.214 161.82.233.179 179.109.96.118 180.100.199.
37 181.210.8.69 185.116.160.35 185.213.164.162 188.92.28.180
190.244.22.181 200.122.253.129 205.210.165.20 210.79.190.69
37.238.131.206 45.5.159.36 49.231.192.36 51.77.158.34 61.15
5.106.101 61.240.213.169
root@jpn:~# sudo tail -f /var/log/fail2ban.log
2025-01-28 05:31:08,916 fail2ban.actions [21801]: NOT
ICE [sshd] Restore Ban 190.244.22.181
2025-01-28 05:31:08,921 fail2ban.actions [21801]: NOT
ICE [sshd] Restore Ban 200.122.253.129
2025-01-28 05:31:08,927 fail2ban.actions [21801]: NOT
ICE [sshd] Restore Ban 205.210.165.20
2025-01-28 05:31:08,933 fail2ban.actions [21801]: NOT
ICE [sshd] Restore Ban 210.79.190.69
2025-01-28 05:31:08,938 fail2ban.actions [21801]: NOT
ICE [sshd] Restore Ban 37.238.131.206
2025-01-28 05:31:08,944 fail2ban.actions [21801]: NOT
ICE [sshd] Restore Ban 45.5.159.36
2025-01-28 05:31:08,949 fail2ban.actions [21801]: NOT
ICE [sshd] Restore Ban 49.231.192.36
2025-01-28 05:31:08,954 fail2ban.actions [21801]: NOT
ICE [sshd] Restore Ban 51.77.158.34
2025-01-28 05:31:08,959 fail2ban.actions
之前用 whois 搜索几个 IP 归属,来自中国的登录尝试的 IP 竟然引向 火山/山火 科技,一定是栽赃。
用 whois 查了5个 IP归属 , 2个来自国内(阿里云,山火/火山),其它是加拿大 数据中心,南美的数据中心,还有欧洲貌似也是。
更新被软件封禁的攻击 IP:38
Banned IP list: 103.153.111.48 103.171.85.186 103.78.171.114 12.156.67.18 134.122.121.56 14.103.107.29 14.103.112.141 14.103.114.92 140.246.7.151 143.92.52.47 150.241.116.222 154.221.28.214 161.82.233.179 179.109.96.118 180.100.199.37 181.210.8.69 185.116.160.35 185.213.164.162 188.92.28.180 190.244.22.181 200.122.253.129 205.210.165.20 210.79.190.69 37.238.131.206 45.5.159.36 49.231.192.36 51.77.158.34 61.155.106.101 61.240.213.169 164.90.199.99 27.254.137.144 134.209.162.179 222.107.156.227 74.213.114.201 119.59.101.98 14.103.170.168 157.7.200.65 36.104.147.6ip 分析:
以下来自 AI
让我帮您分析这些被封禁的 IP 地址,使用更完整的地理位置数据库来获取详细信息。
基于分析结果,我来为您总结这些被封禁 IP 的特点:
1. 地理分布特征:
- 中国大陆占比最高(约23.6%):
* 中国电信:7个IP(18.4%)
* 中国联通:1个IP(2.6%)
* 中国移动:1个IP(2.6%)
- 亚洲其他地区(约15.7%):
* 泰国:3个IP(7.9%)
* 韩国:1个IP(2.6%)
* 日本:1个IP(2.6%)
* 伊拉克:1个IP(2.6%)
- 欧美地区(约13.1%):
* 欧洲:3个IP(7.9%)
* 美国:1个IP(2.6%)
* 法国:1个IP(2.6%)
2. 云服务提供商:
- Digital Ocean:3个IP(7.9%),这表明有攻击者使用云服务器进行攻击
3. 未知地区:
- 12个IP(31.6%)无法准确定位,这可能是因为:
* 使用了代理或VPN服务
* IP地址分配信息不完整
* 使用了较小的ISP服务商
安全建议:
1. 针对性防护:
- 对中国电信网段(特别是14.103.x.x)建立更严格的监控规则
- 关注云服务提供商的IP,可能需要对Digital Ocean的IP增加额外验证
2. 访问控制策略:
- 考虑按地区设置差异化的访问策略
- 对未知来源的IP可以实施更严格的访问限制
3. 监控建议:
- 重点监控高频出现的网段(如中国电信、Digital Ocean)
- 对同一网段的多个IP要警惕可能的协同攻击
- 定期分析被封禁IP的地理分布变化,及时调整防护策略
![4 [危机13小时追踪一场GitHub投毒事件]](https://i-blog.csdnimg.cn/img_convert/992f521ef9bd989daf7b54b22e35c7d6.jpeg)
