V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
abseilair
V2EX  ›  Linux

为什么 lastb 的用户 IP 都是来自于 127.0.0.1 呢

  •  
  •   abseilair · 2020-05-03 16:32:27 +08:00 · 4228 次点击
    这是一个创建于 1664 天前的主题,其中的信息可能已经有所发展或是发生改变。

    首先我是个这方面的新手,可能很多问题问得不恰当。我最近开始关注服务的安全的问题,然后用 lastb 去查看了被拒绝的尝试,但是我发现里面的 IP 都来自于 127.0.0.1,难道是我的服务器已经被攻陷了吗?

    louisa   ssh:notty    127.0.0.1        Fri May  1 08:21 - 08:21  (00:00)
    root     ssh:notty    127.0.0.1        Fri May  1 08:21 - 08:21  (00:00)
    louisa   ssh:notty    127.0.0.1        Fri May  1 08:21 - 08:21  (00:00)
    abuse    ssh:notty    127.0.0.1        Fri May  1 08:21 - 08:21  (00:00)
    lee      ssh:notty    127.0.0.1        Fri May  1 08:21 - 08:21  (00:00)
    abuse    ssh:notty    127.0.0.1        Fri May  1 08:21 - 08:21  (00:00)
    lee      ssh:notty    127.0.0.1        Fri May  1 08:21 - 08:21  (00:00)
    root     ssh:notty    127.0.0.1        Fri May  1 08:21 - 08:21  (00:00)
    dpu      ssh:notty    127.0.0.1        Fri May  1 08:21 - 08:21  (00:00)
    dpu      ssh:notty    127.0.0.1        Fri May  1 08:21 - 08:21  (00:00)
    geoserve ssh:notty    127.0.0.1        Fri May  1 08:21 - 08:21  (00:00)
    geoserve ssh:notty    127.0.0.1        Fri May  1 08:21 - 08:21  (00:00)
    xml      ssh:notty    127.0.0.1        Fri May  1 08:21 - 08:21  (00:00)
    xml      ssh:notty    127.0.0.1        Fri May  1 08:21 - 08:21  (00:00)
    

    我的服务器是通过了路由器进行端口转发的。路由器转发的端口是一个不常用的端口。然后这台服务器是在实验室的一个局域网内的。看着也不像是被实验室内其他电脑在尝试破解。

    10 条回复    2022-03-13 21:40:47 +08:00
    LnTrx
        1
    LnTrx  
       2020-05-03 17:14:27 +08:00   ❤️ 1
    端口转发可能会改变 IP source 为路由器自己
    DMZ 一般不会
    msg7086
        2
    msg7086  
       2020-05-03 22:04:47 +08:00   ❤️ 1
    看上去是通过你服务器上运行的服务,本地连接 SSH 撸密码。
    abseilair
        3
    abseilair  
    OP
       2020-05-04 00:46:25 +08:00
    @talarax7 嗯。 我感觉应该也是不会改变 IP 的,我查了一下 `/var/log/auth.log` 看到成功访问的 IP 都是正常的。
    abseilair
        4
    abseilair  
    OP
       2020-05-04 00:49:12 +08:00
    @msg7086 请问一下,这个是不是意味着我的服务器已经被人破解了。
    msg7086
        5
    msg7086  
       2020-05-04 11:09:17 +08:00 via Android
    @abseilair 应该是还没有完全被破,所以才在试你的密码。应该是运行的某个低权限程序有洞,现在在尝试提权。
    eastern
        6
    eastern  
       2020-05-04 12:06:23 +08:00
    家里用 frp 映射出去被扫也是 127.0.0.1 的条目
    abseilair
        7
    abseilair  
    OP
       2020-05-04 12:53:59 +08:00
    @msg7086 谢谢,我先把 127.0.0.1 给禁了,只能慢慢找服务程序了。
    abseilair
        8
    abseilair  
    OP
       2020-05-04 12:55:23 +08:00
    @eastern 嗯,感觉暂时也没有 google 到相同的问题。只能先临时把 localhost 给禁了。我得再去看看局域网相关的知识
    Vanes
        9
    Vanes  
       2022-03-02 19:34:59 +08:00
    所以最后怎么解决的呀?能找出本地的哪个程序在攻击么?
    abseilair
        10
    abseilair  
    OP
       2022-03-13 21:40:47 +08:00
    @Vanes 过太久了,我忘了原先问啥提问了。但是从我的对话来看,应该是 frp 的问题。通过 frp 代理之后,公网访问的 ip 都是记录为 localhost 即 127.0.0.1 。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5290 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 08:43 · PVG 16:43 · LAX 00:43 · JFK 03:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.