Arquivos de log de firewall massivos ocasionais no SuSE

Question

Arquivos de log de firewall massivos ocasionais no SuSE

#1 resposta do (2 votos)

0

Ocasionalmente, durante um curto período de segundos, meu arquivo de log SuSE Enterprise 10 /var/log/firewall preenche com entradas idênticas, exceto para o id. Aqui está um trecho:

Jan 15 11:21:13 IKCSWeb kernel: SFW2-IN-ACC-RELATED IN=eth1 OUT= MAC=00:19:bb:2e:85:42:00:17:c5:d8:2e:2c:08:00 SRC=59.64.166.81 DST=207.194.99.122 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=7810 DF PROTO=TCP SPT=24093 DPT=22 WINDOW=137 RES=0x00 ACK URGP=0 
Jan 15 11:21:13 IKCSWeb kernel: SFW2-IN-ACC-RELATED IN=eth1 OUT= MAC=00:19:bb:2e:85:42:00:17:c5:d8:2e:2c:08:00 SRC=59.64.166.81 DST=207.194.99.122 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=56845 DF PROTO=TCP SPT=24093 DPT=22 WINDOW=137 RES=0x00 ACK URGP=0 
Jan 15 11:21:13 IKCSWeb kernel: SFW2-IN-ACC-RELATED IN=eth1 OUT= MAC=00:19:bb:2e:85:42:00:17:c5:d8:2e:2c:08:00 SRC=59.64.166.81 DST=207.194.99.122 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=48949 DF PROTO=TCP SPT=24093 DPT=22 WINDOW=137 RES=0x00 ACK URGP=0

Sou um novato. Alguma ideia do que está causando isso?

logging firewall linux suse

por Rick Jolly 17.01.2017 / 19:24

1 resposta

Tags logging firewall linux suse

A desativação dos LEDs de luz de fundo do teclado do laptop melhora a duração da bateria? Versionando arquivos específicos de texto / código (R) no Windows

score 2 · Accepted Answer

Pessoas aleatórias da Internet que tentam usar o ssh no seu PC. O DPT = 22, que é a porta ssh padrão. SRC = 59.64.166.81

link

Verificando quem é o endereço IP pertence à china. Pessoas aleatórias escaneiam a internet o tempo todo na tentativa de ver se podem fazer o login no computador de outras pessoas. Esta é a fase de reconhecimento, primeira fase, antes do ataque. Eu gravei dezenas de milhares deles, especialmente da China.

Contanto que você:

Desativar ssh
Senha e / ou certificado ssh strong
Versão atualizada do ssh

Eles não estarão recebendo.

É melhor adicionar uma regra ao seu firewall para bloquear sem registro. Eu esqueci o nome da ferramenta de firewall Suse, mas ele usa o iptables no back-end.

Isso pressupõe que a eth0 é sua conexão com a Internet.

iptables -I INPUT 1 -i eth0 --dport 22 -j DROP

Eu recomendo a ferramenta de firewall integrada à ferramenta webmin.