Запуск общедоступного сайта wordpress, и каждые несколько минут я вижу такие записи в моем системном журнале на моем сервере ubuntu. (Я скрыл свой mac / ip-адрес в журналах ниже) Что здесь происходит?
Nov 27 20:00:58 kernel: [156727.115812] [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:hidden SRC=2.40.220.141 DST=**:**:**:hidden LEN=40 TOS=0x00 PREC=0x00 TTL=53 ID=56784 PROTO=TCP SPT=63030 DPT=7547 WINDOW=32852 RES=0x00 SYN URGP=0
Nov 27 20:01:22 kernel: [156751.426722] [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:hidden SRC=82.78.180.169 DST=**:**:**:hidden LEN=40 TOS=0x00 PREC=0x00 TTL=55 ID=1500 PROTO=TCP SPT=17375 DPT=23 WINDOW=22727 RES=0x00 SYN URGP=0
Nov 27 20:01:37 kernel: [156766.978914] [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:hidden SRC=195.154.181.110 DST=**:**:**:hidden LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=35970 PROTO=TCP SPT=52845 DPT=4937 WINDOW=1024 RES=0x00 SYN URGP=0
Nov 27 20:01:53 kernel: [156782.801964] [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:hidden SRC=119.177.186.133 DST=**:**:**:hidden LEN=40 TOS=0x00 PREC=0x00 TTL=47 ID=48838 PROTO=TCP SPT=41526 DPT=23 WINDOW=29917 RES=0x00 SYN URGP=0
Nov 27 20:02:41 kernel: [156830.201481] [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:hidden SRC=177.207.61.71 DST=**:**:**:hidden LEN=40 TOS=0x00 PREC=0x00 TTL=46 ID=3825 PROTO=TCP SPT=50321 DPT=7547 WINDOW=56458 RES=0x00 SYN URGP=0
Nov 27 20:04:17 kernel: [156926.284028] [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:hidden SRC=104.216.4.228 DST=**:**:**:hidden LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=7655 PROTO=TCP SPT=57031 DPT=8080 WINDOW=1024 RES=0x00 SYN URGP=0
Nov 27 20:04:30 kernel: [156939.465199] [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:hidden SRC=59.1.129.240 DST=**:**:**:hidden LEN=40 TOS=0x08 PREC=0x00 TTL=49 ID=7320 PROTO=TCP SPT=3183 DPT=23 WINDOW=6007 RES=0x00 SYN URGP=0
Nov 27 20:04:32 kernel: [156941.208844] [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:hidden SRC=77.86.57.9 DST=**:**:**:hidden LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=43928 PROTO=TCP SPT=41599 DPT=7547 WINDOW=18922 RES=0x00 SYN URGP=0
Nov 27 20:04:45 kernel: [156954.272382] [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:hidden SRC=46.44.4.175 DST=**:**:**:hidden LEN=44 TOS=0x00 PREC=0x00 TTL=248 ID=49549 PROTO=TCP SPT=57081 DPT=3389 WINDOW=1024 RES=0x00 SYN URGP=0
Nov 27 20:05:09 kernel: [156978.634250] [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:hidden SRC=61.240.144.66 DST=**:**:**:hidden LEN=40 TOS=0x00 PREC=0x00 TTL=236 ID=61341 PROTO=TCP SPT=56806 DPT=81 WINDOW=1024 RES=0x00 SYN URGP=0
Не могу комментировать из-за репутации, поэтому вот он в качестве ответа.
Я не думаю, что вам нужно что-то делать, fail2ban, похоже, выполняет свою работу по блокировке вредоносных хостов.
Я нашел то, что я считаю вредоносными запросами, в журналах своего тестового веб-сервера. Как видите, он исходит с одного из IP-адресов в вашем вопросе (я нашел эту страницу в поиске этого IP-адреса):
195.154.181.110 - - [01/Dec/2016 04:53:38] "GET / HTTP/1.1" 200 -
195.154.181.110 - - [01/Dec/2016 04:53:38] code 400, message Bad HTTP/0.9 request type ('\x16\x03\x01\x00^\x01\x00\x00Z\x03\x01X?\x9eÀ\x88Ⱦ\x00Ô\x92Ïà@©\x13¼\x81ß')
195.154.181.110 - - [01/Dec/2016 04:53:38] "\00^\00\00ZX?ÀȾ\00ÔÏà@©¼ß5ز/ReaÓËù\00\00\00/\005\00\00" HTTPStatus.BAD_REQUEST -
195.154.181.110 - - [01/Dec/2016 04:53:38] code 400, message Bad request syntax ('\x16\x03\x01\x00^\x01\x00\x00Z\x03\x01X?\x9eÀ¯\x1cÁ\x19ñ\x1bÑ\x82?2ì\x8d\xa0±83)D\x82h\x0cÏ?\x99\x00\x1d\x01%\x00\x00\x18\x00/\x005\x00\x05\x00')
195.154.181.110 - - [01/Dec/2016 04:53:38] "\00^\00\00ZX?À¯ÁñÑ?2ì ±83)Dh
Ï?\00%\00\00\00/\005\00\00" HTTPStatus.BAD_REQUEST -
195.154.181.110 - - [02/Dec/2016 20:27:45] "GET / HTTP/1.1" 200 -
195.154.181.110 - - [02/Dec/2016 20:27:45] code 400, message Bad request version ('o|AÁMÿü\x00\x00\x18\x00/\x005\x00\x05\x00')
195.154.181.110 - - [02/Dec/2016 20:27:45] "\00Z\00\00VXB;°YÝö¾k`wè¡~Q¯*¤?V o|AÁMÿü\00\00\00/\005\00\00" HTTPStatus.BAD_REQUEST -
195.154.181.110 - - [02/Dec/2016 20:27:45] code 400, message Bad HTTP/0.9 request type ('\x16\x03\x01\x00Z\x01\x00\x00V\x03\x01XB;°')
195.154.181.110 - - [02/Dec/2016 20:27:45] "\00Z\0
Похоже, ваша система блокирует доступ к диапазону IP-адресов. Установлены ли у вас fail2ban, denyhosts или что-то подобное, которые генерируют / собирают списки IP-адресов для блокировки?
В Интернете всегда есть множество серверов, на которых выполняется сканирование портов. Обычно они ищут открытые службы и уязвимые серверы, чтобы использовать их в качестве недоступных источников атак, например