o que esta atividade representa - procurando no log syslog, kernlog & ufw

Question

o que esta atividade representa - procurando no log syslog, kernlog & ufw

#1 resposta do heemayl (1 votos)

1

Acabei de notar que o meu syslog, kern log & amp; ufw log tem enteries similares, todos são preenchidos com endereços IP de bloqueio, aqui estou apenas colocando algumas linhas do syslog. Alguém pode dizer que tipo de atividade está acontecendo aqui? Alguém está tentando acessar o servidor sem permissão?

Jun 12 06:48:54 myservername kernel: [54265.822092] [UFW BLOCK] IN=eth0 OUT= MAC=04:01:fa:50:b3:01:3c:8a:b0:0d:3f:f0:08:00 SRC=184.105.139.78 DST=my.ser.ver.ip LEN=42 TOS=0x00 PREC=0x00 TTL=59 ID=32866 DF PROTO=UDP SPT=38445 DPT=69 LEN=22 
Jun 12 06:54:35 myservername kernel: [54606.549986] [UFW BLOCK] IN=eth0 OUT= MAC=04:01:fa:50:b3:01:3c:8a:b0:0d:3f:f0:08:00 SRC=118.101.17.53 DST=my.ser.ver.ip LEN=52 TOS=0x00 PREC=0x00 TTL=56 ID=1220 DF PROTO=TCP SPT=35765 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0 
Jun 12 06:56:07 myservername kernel: [54698.851346] [UFW BLOCK] IN=eth0 OUT= MAC=04:01:fa:50:b3:01:3c:8a:b0:0d:6f:f0:08:00 SRC=122.3.85.251 DST=my.ser.ver.ip LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=9255 DF PROTO=TCP SPT=58323 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Jun 12 06:56:28 myservername kernel: [54719.844352] [UFW BLOCK] IN=eth0 OUT= MAC=04:01:fa:50:b3:01:3c:8a:b0:0d:6f:f0:08:00 SRC=122.3.85.251 DST=my.ser.ver.ip LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=9258 DF PROTO=TCP SPT=58323 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Jun 12 06:57:16 myservername kernel: [54767.431166] [UFW BLOCK] IN=eth0 OUT= MAC=04:01:fa:50:b3:01:3c:8a:b0:0d:3f:f0:08:00 SRC=14.169.232.99 DST=my.ser.ver.ip LEN=29 TOS=0x00 PREC=0x00 TTL=50 ID=44305 DF PROTO=UDP SPT=46454 DPT=53413 LEN=9 
Jun 12 06:57:18 myservername kernel: [54769.427951] [UFW BLOCK] IN=eth0 OUT= MAC=04:01:fa:50:b3:01:3c:8a:b0:0d:3f:f0:08:00 SRC=14.169.232.99 DST=my.ser.ver.ip LEN=29 TOS=0x00 PREC=0x00 TTL=50 ID=44306 DF PROTO=UDP SPT=46454 DPT=53413 LEN=9 
Jun 12 07:05:00 myservername kernel: [55231.882804] [UFW BLOCK] IN=eth0 OUT= MAC=04:01:fa:50:b3:01:3c:8a:b0:0d:3f:f0:08:00 SRC=188.36.0.150 DST=my.ser.ver.ip LEN=52 TOS=0x00 PREC=0x00 TTL=51 ID=62193 DF PROTO=TCP SPT=59285 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0 
Jun 12 07:06:06 myservername kernel: [55297.871881] [UFW BLOCK] IN=eth0 OUT= MAC=04:01:fa:50:b3:01:3c:8a:b0:0d:3f:f0:08:00 SRC=181.29.79.38 DST=my.ser.ver.ip LEN=52 TOS=0x02 PREC=0x00 TTL=45 ID=12680 DF PROTO=TCP SPT=52294 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0 
Jun 12 07:09:03 myservername kernel: [55474.598492] [UFW BLOCK] IN=eth0 OUT= MAC=04:01:fa:50:b3:01:3c:8a:b0:0d:3f:f0:08:00 SRC=185.94.111.1 DST=my.ser.ver.ip LEN=28 TOS=0x00 PREC=0x00 TTL=243 ID=54321 PROTO=UDP SPT=51929 DPT=17 LEN=8 b0:0d:6f:f0:08:00 SRC=188.214.128.22 DST=my.ser.ver.ip LEN=431 TOS=0x00 PREC=0x00 TTL=51 ID=0 DF PROTO=UDP SPT=6459 DPT=5060 LEN=411 
Jun 12 07:09:56 myservername kernel: [55527.386590] [UFW BLOCK] IN=eth0 OUT= MAC=04:01:fa:50:b3:01:3c:8a:b0:0d:3f:f0:08:00 SRC=88.248.173.76 DST=my.ser.ver.ip LEN=60 TOS=0x00 PREC=0x00 TTL=48 ID=63734 DF PROTO=TCP SPT=46480 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Jun 12 07:09:59 myservername kernel: [55530.344008] [UFW BLOCK] IN=eth0 OUT= MAC=04:01:fa:50:b3:01:3c:8a:b0:0d:3f:f0:08:00 SRC=88.248.173.76 DST=my.ser.ver.ip LEN=60 TOS=0x00 PREC=0x00 TTL=48 ID=63735 DF PROTO=TCP SPT=46480 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Jun 12 07:11:01 myservername kernel: [55592.482239] [UFW BLOCK] IN=eth0 OUT= MAC=04:01:fa:50:b3:01:3c:8a:b0:0d:3f:f0:08:00 SRC=91.229.52.67 DST=my.ser.ver.ip LEN=52 TOS=0x00 PREC=0x00 TTL=50 ID=9704 DF PROTO=TCP SPT=54204 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0

os logs continuam sendo preenchidos, apenas para colocar alguns dos endereços IP no SRC dos logs:

116.102.232.245
78.189.90.35
184.105.247.211
85.96.174.23
91.200.12.123
116.5.103.204
209.126.120
180.97.239.30
62.38.251.88
119.82.252.71
184.105.139.78
46.43.111.187
1.53.1.9
116.102.232.245
207.244.70.169
139.162.32.199
81.17.21.218
59.94.217.136
187.22.126.42
95.77.132.106

A DPT varia de 23, 53413, 523, 1433, 5060, 3306, 2425 1080, etc. 23 & amp; 53413 aparecem mais repetidamente nos registros.

por lawsome 12.06.2016 / 09:52

1 resposta

Manipulando arquivo aberto (tipo mime) com Python [closed] Indicador de brilho no ícone do painel ausente

score 1 · Accepted Answer

Bem-vindo à Internet !!

Isso é alguém DDOS-ing para o seu endereço IP em várias portas e tentando encontrar uma porta insegura eles podem aproveitar. A partir dos logs, posso ver vários endereços IP com várias portas, por ex. 17 (qtd), 23 (telnet), 69 (tftp) e provavelmente muitos mais.

Ainda bem que todos os ataques estão sendo bloqueados pelo firewall, pelo menos está claro no pedaço que você forneceu. Certifique-se de percorrer os logs na íntegra.

Se você não tiver nenhum serviço desnecessário em execução e todos os serviços em execução estiverem protegidos adequadamente, não há muito com o que se preocupar. Isso é normal no mundo de hoje, na maioria dos dias eu os recebo também.

Observe também que é uma boa ideia garantir a limitação da taxa usando algo como fail2ban . Pelo menos, certifique-se de que as medidas de segurança nativas para todos os serviços estão em vigor.