将内网机器通过frp映射到公网后,内网主机受到大量ssh爆破攻击,攻击来源为frp的服务端,仅在内网机器上无法追踪到真实的攻击来源的ip。下面记录了在frp服务端监控指定端口的入站数据,找到真正的攻击来源。
1. iptables 记录所有访问2130端口(内网ssh映射到frps的端口)的连接并写入日志
iptables -A INPUT -p tcp --dport 2130 -j LOG --log-prefix="[ssh-to-130] "
2. 将日志重定向到单独文件。在/etc/rsyslog.d/路径下新建配置文件 ssh2130.conf 文件内容如下
:msg,contains,"[ssh-to-130]" /var/log/ssh2130.log
3. 重启rsyslog,加载配置
/etc/init.d/rsyslog restart
4. 日志文件拆分与清理 。在etc/logrotate.d/路径下新建配置文件 ssh2130,文件内容如下
/var/log/ssh2130.log { daily rotate 7 compress missingok }
每天重新生成日志,并保留最近7天日志