tráfego de entrada bloqueado nos logs do firewall

Question

tráfego de entrada bloqueado nos logs do firewall

#1 resposta do Adrien Beau (3 votos)
#2 resposta do Ville (1 votos)
#3 resposta do fkraiem (1 votos)

3

Acabei de instalar o firewall do UFW no meu Ubuntu VPS, e agora meu log mostra muito tráfego de entrada na porta 23. Assim:

kernel: [  670.832245] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=106.104.138.28 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=43 ID=2909 PROTO=TCP SPT=27941 DPT=23 WINDOW=44045 RES=0x00 SYN URGP=0 
kernel: [  716.494214] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=106.104.138.28 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=44 ID=2909 PROTO=TCP SPT=27941 DPT=2323 WINDOW=44045 RES=0x00 SYN URGP=0 
kernel: [  716.957063] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=106.104.138.28 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=43 ID=2909 PROTO=TCP SPT=27941 DPT=23 WINDOW=44045 RES=0x00 SYN URGP=0 
kernel: [  746.837251] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=106.104.138.28 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=43 ID=2909 PROTO=TCP SPT=27941 DPT=23 WINDOW=44045 RES=0x00 SYN URGP=0 
kernel: [  752.049313] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=106.104.138.28 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=43 ID=2909 PROTO=TCP SPT=27941 DPT=23 WINDOW=44045 RES=0x00 SYN URGP=0 
kernel: [  771.616696] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=106.104.138.28 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=43 ID=2909 PROTO=TCP SPT=27941 DPT=23 WINDOW=44045 RES=0x00 SYN URGP=0 
kernel: [  855.170118] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=109.201.140.38 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=243 ID=54321 PROTO=TCP SPT=58674 DPT=81 WINDOW=65535 RES=0x00 SYN URGP=0 
kernel: [  862.272265] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=118.68.70.89 DST=xxx LEN=40 TOS
=0x00 PREC=0x00 TTL=237 ID=5721 PROTO=TCP SPT=15509 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0 
kernel: [  883.299636] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=176.8.70.68 DST=xxx LEN=40 TOS=
0x00 PREC=0x00 TTL=245 ID=51761 PROTO=TCP SPT=17540 DPT=23 WINDOW=21654 RES=0x00 SYN URGP=0 
kernel: [  908.720735] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=122.117.201.94 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=45 ID=65516 PROTO=TCP SPT=34958 DPT=23 WINDOW=37782 RES=0x00 SYN URGP=0 
kernel: [  951.441094] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=119.179.205.34 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=233 ID=37432 PROTO=TCP SPT=29267 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0 
kernel: [ 1019.290302] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=187.161.189.63 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=231 ID=33719 PROTO=TCP SPT=46167 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0 
kernel: [ 1097.190270] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=58.123.113.149 DST=xxx LEN=122
TOS=0x00 PREC=0x00 TTL=51 ID=0 DF PROTO=UDP SPT=47005 DPT=1900 LEN=102 
kernel: [ 1098.860511] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=125.111.4.204 DST=xxx LEN=40 TO
S=0x00 PREC=0xE0 TTL=234 ID=5380 PROTO=TCP SPT=20370 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0 
kernel: [ 1129.143276] [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:e6:7f:12:5e:f8:f0:c1:28:31:08:00 SRC=148.75.152.245 DST=xxx LEN=40 T
OS=0x00 PREC=0x00 TTL=239 ID=8596 PROTO=TCP SPT=1331 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0

O que é isso e como posso pará-lo?

ufw

por Letizia Rossi 15.12.2016 / 13:24

3 respostas

1

Olhando para o src-ip, as conexões parecem estar fora da sua própria rede. Não há muito o que fazer, portanto, mantenha seus firewalls ativos e não envie respostas para essas solicitações.

Minha aposta é que eles estão procurando por modems mal configurados para oi-jack.

por Ville 15.12.2016 / 13:34

1

Bem-vindo à Internet!

Qualquer pessoa no mundo pode tentar se conectar ao seu servidor em qualquer porta de que goste e ver o que acontece. Você não pode pará-los, mas pode usar um firewall para ter certeza de que tudo o que eles recebem é uma mensagem de "conexão recusada", assim:

firas@momiji ~ % telnet -4 itsuki.fkraiem.org 23
Trying 91.121.157.10...
telnet: Unable to connect to remote host: Connection refused

Isso parece ser o que você está fazendo, então é ótimo, você pode continuar com segurança com seus negócios.

por fkraiem 15.12.2016 / 13:36

Tags ufw

O que aconteceu com meus ícones do Dash? Não é possível desbloquear a partir do Ubuntu launcher 14.04

score 3 · Accepted Answer

A porta 23 é para conexões telnet. Telnet é o protocolo antigo para abrir um terminal de texto em outra máquina e executar comandos lá. Velho e totalmente inseguro.

Como você está em um VPS, você está sendo atacado por muitas máquinas de todo o mundo. Eles tentam permanentemente abrir conexões Telnet (e SSH) em todas as máquinas que podem encontrar, e não há nada que você possa fazer sobre elas. Apenas certifique-se de executar apenas serviços de que realmente precisa e de que esses serviços estejam bem protegidos. Em particular, use uma senha SSH muito strong e, de preferência, desative as senhas SSH e use um par de chaves pública / privada.

Se o log incomoda, você pode simplesmente remover a regra de firewall. Apenas certifique-se de não ter nenhum programa escutando na porta 23, e você ficará bem.

O comando netstat -l -n -A inet listará todas as portas da Internet que estão atualmente abertas em seu servidor. Em um servidor básico, você deve ter apenas a porta 22 (SSH), a porta 123 (NTP) e as portas para os serviços que você pretende oferecer explicitamente (por exemplo, porta 80 e / ou 443 para um servidor da Web).