[+] prośba o sprawdzenie logów w /var/log/messages

Zagadnienia bezpieczeństwa w systemie
kudzu
Posty: 51
Rejestracja: 19 lipca 2012, 19:54
Lokalizacja: Kraków

[+] prośba o sprawdzenie logów w /var/log/messages

Post autor: kudzu »

Witam ponownie.
Dopiero co uporałem się z konfiguracją firewalla, a już potrzebuję kolejnej pomocy.
Takie mam logi z ostatnich kilku minut:

Kod: Zaznacz cały

Sep 26 23:25:35 orangepipcplus rsyslogd-2007: action 'action 17' suspended, next retry is Mon Sep 26 23:27:05 2016 [try http://www.rsyslog.com/e/2007 ]
Sep 26 23:26:05 orangepipcplus kernel: [ 4273.074411] IPTables-Dropped: IN=ppp0 OUT= MAC= SRC=116.31.116.36 DST=MOJ.IP LEN=60 TOS=0x10 PREC=0x00 TTL=50 ID=40226 DF PROTO=TCP SPT=58774 DPT=22 WINDOW=29200 RES=0x00 SYN URGP=0 
Sep 26 23:26:35 orangepipcplus kernel: [ 4302.953403] IPTables-Dropped: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:JAKIS:MAC:1 SRC=0.0.0.0 DST=255.255.255.255 LEN=576 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=556 
Sep 26 23:27:06 orangepipcplus kernel: [ 4333.779271] IPTables-Dropped: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:JAKIS:MAC:1 SRC=0.0.0.0 DST=255.255.255.255 LEN=576 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=556 
Sep 26 23:27:06 orangepipcplus rsyslogd-2007: action 'action 17' suspended, next retry is Mon Sep 26 23:28:36 2016 [try http://www.rsyslog.com/e/2007 ]
Sep 26 23:27:35 orangepipcplus kernel: [ 4363.611933] IPTables-Dropped: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:JAKIS:MAC:2 SRC=0.0.0.0 DST=255.255.255.255 LEN=576 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=556 
Sep 26 23:28:05 orangepipcplus kernel: [ 4393.026364] IPTables-Dropped: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:JAKIS:MAC:2 SRC=0.0.0.0 DST=255.255.255.255 LEN=576 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=556 
Sep 26 23:28:37 orangepipcplus kernel: [ 4424.989262] IPTables-Dropped: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:JAKIS:MAC:3 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=308 
Sep 26 23:28:37 orangepipcplus rsyslogd-2007: action 'action 17' suspended, next retry is Mon Sep 26 23:30:07 2016 [try http://www.rsyslog.com/e/2007 ]
Sep 26 23:29:06 orangepipcplus kernel: [ 4454.065428] IPTables-Dropped: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:JAKIS:MAC:3 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=308 
Sep 26 23:29:35 orangepipcplus kernel: [ 4483.141611] IPTables-Dropped: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:JAKIS:MAC:3 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=308 
Sep 26 23:30:06 orangepipcplus kernel: [ 4514.044121] IPTables-Dropped: IN=ppp0 OUT= MAC= SRC=116.31.116.36 DST=MOJ.IP LEN=60 TOS=0x10 PREC=0x00 TTL=52 ID=37764 DF PROTO=TCP SPT=17215 DPT=22 WINDOW=29200 RES=0x00 SYN URGP=0 
Sep 26 23:30:35 orangepipcplus kernel: [ 4543.195344] IPTables-Dropped: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:JAKIS:MAC:4 SRC=0.0.0.0 DST=255.255.255.255 LEN=576 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=556 
Sep 26 23:30:35 orangepipcplus rsyslogd-2007: action 'action 17' suspended, next retry is Mon Sep 26 23:32:05 2016 [try http://www.rsyslog.com/e/2007 ]
Sep 26 23:31:05 orangepipcplus kernel: [ 4573.295644] IPTables-Dropped: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:JAKIS:MAC:4 SRC=0.0.0.0 DST=255.255.255.255 LEN=576 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=556 
Sep 26 23:31:35 orangepipcplus kernel: [ 4602.968112] IPTables-Dropped: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:JAKIS:MAC:5 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=308 
Sep 26 23:32:07 orangepipcplus kernel: [ 4635.037481] IPTables-Dropped: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:JAKIS:MAC:5 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=308 
Sep 26 23:32:07 orangepipcplus rsyslogd-2007: action 'action 17' suspended, next retry is Mon Sep 26 23:33:37 2016 [try http://www.rsyslog.com/e/2007 ]
Sep 26 23:32:35 orangepipcplus kernel: [ 4663.290732] IPTables-Dropped: IN=ppp0 OUT= MAC= SRC=116.31.116.36 DST=MOJ.IP LEN=60 TOS=0x10 PREC=0x00 TTL=52 ID=30621 DF PROTO=TCP SPT=31857 DPT=22 WINDOW=29200 RES=0x00 SYN URGP=0 
Czy to są normalne sytuacje czy ktoś zawzięcie mnie męczy? Dodam, że jeden z IP znalazłem tutaj.
Ostatnio zmieniony 28 września 2016, 10:10 przez kudzu, łącznie zmieniany 1 raz.
Awatar użytkownika
dedito
Moderator
Posty: 3512
Rejestracja: 18 listopada 2013, 21:07
Lokalizacja: Gliwice

Re: prośba o sprawdzenie logów w /var/log/messages

Post autor: dedito »

Te IP 116.31.116.36 widać, że próbuje łączyć się z portem 22 czyli SSH. No ale firewall ładnie go blokuje także ja bym się tu nie przejmował jakimś chińskim robocikiem, normalnie powinien odpuścić po iluś tam razach, ale widać ma skopane skrypty.
Inne rzeczy to są wyłącznie z eth0 wysyłane na adres rozgłoszeniowy zapewne z jakiegoś klienta DHCP od strony eth0, coś tam szuka serwera DHCP..
kudzu
Posty: 51
Rejestracja: 19 lipca 2012, 19:54
Lokalizacja: Kraków

Re: prośba o sprawdzenie logów w /var/log/messages

Post autor: kudzu »

A rsyslog 'action 17'? Szukałem tego w sieci ale nie trafiłem na jednoznaczną i zrozumiałą dla mnie odpowiedź.

Kurczę, do logów DD-WRT nie zaglądałem i nie miałem świadomości, jak można być atakowanym...
Awatar użytkownika
dedito
Moderator
Posty: 3512
Rejestracja: 18 listopada 2013, 21:07
Lokalizacja: Gliwice

Re: prośba o sprawdzenie logów w /var/log/messages

Post autor: dedito »

Tu jest jakaś wskazówka (nie wczytywałem się) -> https://blog.dantup.com/2016/04/removin ... an-jessie/
Zakładam, że masz orangepi.
Awatar użytkownika
Yampress
Administrator
Posty: 6365
Rejestracja: 09 sierpnia 2007, 21:41
Lokalizacja: PL

Re: prośba o sprawdzenie logów w /var/log/messages

Post autor: Yampress »

No przecież należy zawsze zmienić port dzia łania ssh. na 4 albo 5 cyfrowy. I wtedy jest cisza z takmi rzeczami...
kudzu
Posty: 51
Rejestracja: 19 lipca 2012, 19:54
Lokalizacja: Kraków

Re: prośba o sprawdzenie logów w /var/log/messages

Post autor: kudzu »

Yampress pisze:No przecież należy zawsze zmienić port dzia łania ssh. na 4 albo 5 cyfrowy. I wtedy jest cisza z takmi rzeczami...
Nawet, jeśli ssh nie wypuszczam na świat? Obecnie port 22 mam dostępny jedynie przez eth1, a to jest mój PC.
Awatar użytkownika
lizard
Beginner
Posty: 287
Rejestracja: 08 lutego 2016, 18:47

Re: prośba o sprawdzenie logów w /var/log/messages

Post autor: lizard »

Jeżeli kudzu nic nie zmienił w swoim firewallu ze swojego poprzedniego wątku, to w logach jest informacja o odrzuconych pakietach. Też mam w logach próby połączenia na portach ssh, telnet, http, https i paru innych wysokich, a otwarty jest tylko jeden.
kudzu
Posty: 51
Rejestracja: 19 lipca 2012, 19:54
Lokalizacja: Kraków

Re: prośba o sprawdzenie logów w /var/log/messages

Post autor: kudzu »

lizard pisze:Jeżeli kudzu nic nie zmienił w swoim firewallu ze swojego poprzedniego wątku, to w logach jest informacja o odrzuconych pakietach.
Tak, wiem, tylko nie spodziewałem się, że będzie taki ruch!

Yampress ma rację - zmienię domyślny port dla ssh. Jeżeli kiedyś wypuszczę ssh na świat, to nie będe musiał przekierowywać portu w zaporze i będzie mimo wszystko bezpieczniej.
Awatar użytkownika
lizard
Beginner
Posty: 287
Rejestracja: 08 lutego 2016, 18:47

Re: prośba o sprawdzenie logów w /var/log/messages

Post autor: lizard »

Mimo zmiany portu ssh i tak będziesz mieć w logach próby połączeń na porcie 22.

Zmiana domyślnych portów to security by obscurity. Włącz logowanie przez ssh wyłącznie przez klucze ssh i poczytaj o fail2ban.
Awatar użytkownika
Xela
Posty: 42
Rejestracja: 08 września 2016, 01:54

Re: prośba o sprawdzenie logów w /var/log/messages

Post autor: Xela »

jest jeszcze konfiguracja hosts.allow/hosts.deny jak masz oczywiście możliwość przypisania konkretnych hostów po adresie to dobrze się sprawdza
http://linuxmdv.cba.pl/etc_hosts.php
Zablokowany