Случайные массивные файлы журнала брандмауэра на SuSE

267
Rick Jolly

Иногда в течение короткого периода времени мой /var/log/firewallфайл журнала SuSE Enterprise 10 заполняется идентичными записями, кроме идентификатора. Вот выдержка:

Jan 15 11:21:13 IKCSWeb kernel: SFW2-IN-ACC-RELATED IN=eth1 OUT= MAC=00:19:bb:2e:85:42:00:17:c5:d8:2e:2c:08:00 SRC=59.64.166.81 DST=207.194.99.122 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=7810 DF PROTO=TCP SPT=24093 DPT=22 WINDOW=137 RES=0x00 ACK URGP=0  Jan 15 11:21:13 IKCSWeb kernel: SFW2-IN-ACC-RELATED IN=eth1 OUT= MAC=00:19:bb:2e:85:42:00:17:c5:d8:2e:2c:08:00 SRC=59.64.166.81 DST=207.194.99.122 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=56845 DF PROTO=TCP SPT=24093 DPT=22 WINDOW=137 RES=0x00 ACK URGP=0  Jan 15 11:21:13 IKCSWeb kernel: SFW2-IN-ACC-RELATED IN=eth1 OUT= MAC=00:19:bb:2e:85:42:00:17:c5:d8:2e:2c:08:00 SRC=59.64.166.81 DST=207.194.99.122 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=48949 DF PROTO=TCP SPT=24093 DPT=22 WINDOW=137 RES=0x00 ACK URGP=0

Я новичок. Есть идеи, что вызывает это?

0

1 ответ на вопрос

2
cybernard

Случайные интернет люди, пытающиеся ssh в ваш компьютер. DPT = 22, который является портом ssh по умолчанию. SRC = 59.64.166.81

https://www.db-ip.com/59.64.166.81

Проверка Whois IP-адрес принадлежит Китаю. Случайные люди постоянно сканируют Интернет, пытаясь выяснить, могут ли они войти в систему других людей. Это фаза разведки, первая фаза, перед атакой. Я записал десятки тысяч таких, особенно из Китая.

Пока вы либо:

  1. Отключить SSH
  2. Надежный SSH-пароль и / или сертификат
  3. Актуальная версия ssh

Они не будут получать.

Вам лучше добавить правило в брандмауэр, чтобы блокировать без входа в систему. Я забыл название инструмента брандмауэра Suse, но он использует iptables на серверной части.

Это предполагает, что eth0 - это ваше интернет-соединение.

iptables -I INPUT 1 -i eth0 --dport 22 -j DROP

Я рекомендую встроенный в webmin инструмент межсетевого экрана.

Это отличная информация. Спасибо. У меня проблема в том, что диск недостаточно велик для ежедневного хранения этих записей в ГБ. Могу ли я отфильтровать идентичные записи (идентичные кроме идентификатора)? Rick Jolly 7 лет назад 0
Вам лучше добавить правило в брандмауэр, чтобы блокировать без входа в систему. cybernard 7 лет назад 0
@RickJolly Вы также можете переместить `sshd` в нестандартный (то есть`! = 22`) порт. Злоумышленники обычно сканируют наиболее вероятные порты. Kamil Maciorowski 7 лет назад 0
@cybernard правило, чтобы черный список определенных IP-адресов, или белый список наших IP-адресов? Rick Jolly 7 лет назад 0
Белый список, безусловно, путь. Существует 4 миллиарда IP-адресов, и вы можете разрешить не более нескольких сотен. Сколько вы хотите разрешить? cybernard 7 лет назад 0
Мне нужно только разрешить горстку, но некоторые ips динамичны, так что поддерживать будет сложно. Rick Jolly 7 лет назад 0
Используйте whois, чтобы найти их диапазон и разрешить это. Например, с 192.168.0.1 по 192.168.0.255 просто выражается в 192.168.0.1/24 и выполняется. cybernard 7 лет назад 0
@RickJolly Проблема в том, что графический интерфейс SuSE (удобный и скрытый) ** брандмауэр yast ** разрешает доступ только к 10% функционально iptables. Я забыл, насколько примитивен этот инструмент, и если вы его не используете, вам нужно настроить другую систему, например cron, для сохранения / загрузки правил брандмауэра. Если вы используете встроенный в webmin инструмент брандмауэра, вы можете, по крайней мере, неуклюже получить доступ ко всем параметрам. cybernard 7 лет назад 0

Похожие вопросы