首先我是个这方面的新手，可能很多问题问得不恰当。我最近开始关注服务的安全的问题，然后用 lastb 去查看了被拒绝的尝试，但是我发现里面的 IP 都来自于 127.0.0.1，难道是我的服务器已经被攻陷了吗？

louisa   ssh:notty    127.0.0.1        Fri May  1 08:21 - 08:21  (00:00)
root     ssh:notty    127.0.0.1        Fri May  1 08:21 - 08:21  (00:00)
louisa   ssh:notty    127.0.0.1        Fri May  1 08:21 - 08:21  (00:00)
abuse    ssh:notty    127.0.0.1        Fri May  1 08:21 - 08:21  (00:00)
lee      ssh:notty    127.0.0.1        Fri May  1 08:21 - 08:21  (00:00)
abuse    ssh:notty    127.0.0.1        Fri May  1 08:21 - 08:21  (00:00)
lee      ssh:notty    127.0.0.1        Fri May  1 08:21 - 08:21  (00:00)
root     ssh:notty    127.0.0.1        Fri May  1 08:21 - 08:21  (00:00)
dpu      ssh:notty    127.0.0.1        Fri May  1 08:21 - 08:21  (00:00)
dpu      ssh:notty    127.0.0.1        Fri May  1 08:21 - 08:21  (00:00)
geoserve ssh:notty    127.0.0.1        Fri May  1 08:21 - 08:21  (00:00)
geoserve ssh:notty    127.0.0.1        Fri May  1 08:21 - 08:21  (00:00)
xml      ssh:notty    127.0.0.1        Fri May  1 08:21 - 08:21  (00:00)
xml      ssh:notty    127.0.0.1        Fri May  1 08:21 - 08:21  (00:00)

我的服务器是通过了路由器进行端口转发的。路由器转发的端口是一个不常用的端口。然后这台服务器是在实验室的一个局域网内的。看着也不像是被实验室内其他电脑在尝试破解。

端口转发可能会改变 IP source 为路由器自己
DMZ 一般不会

看上去是通过你服务器上运行的服务，本地连接 SSH 撸密码。

嗯。 我感觉应该也是不会改变 IP 的，我查了一下 `/var/log/auth.log` 看到成功访问的 IP 都是正常的。

请问一下，这个是不是意味着我的服务器已经被人破解了。

应该是还没有完全被破，所以才在试你的密码。应该是运行的某个低权限程序有洞，现在在尝试提权。

家里用 frp 映射出去被扫也是 127.0.0.1 的条目

谢谢，我先把 127.0.0.1 给禁了，只能慢慢找服务程序了。

嗯，感觉暂时也没有 google 到相同的问题。只能先临时把 localhost 给禁了。我得再去看看局域网相关的知识