Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

[+] prośba o sprawdzenie logów w /var/log/messages

https://www.debian.pl/viewtopic.php?t=34166

Strona 1 z 2

[+] prośba o sprawdzenie logów w /var/log/messages

: 26 września 2016, 23:51
autor: kudzu
Witam ponownie.
Dopiero co uporałem się z konfiguracją firewalla, a już potrzebuję kolejnej pomocy.
Takie mam logi z ostatnich kilku minut:

Kod: Zaznacz cały

Sep 26 23:25:35 orangepipcplus rsyslogd-2007: action 'action 17' suspended, next retry is Mon Sep 26 23:27:05 2016 [try http://www.rsyslog.com/e/2007 ]
Sep 26 23:26:05 orangepipcplus kernel: [ 4273.074411] IPTables-Dropped: IN=ppp0 OUT= MAC= SRC=116.31.116.36 DST=MOJ.IP LEN=60 TOS=0x10 PREC=0x00 TTL=50 ID=40226 DF PROTO=TCP SPT=58774 DPT=22 WINDOW=29200 RES=0x00 SYN URGP=0 
Sep 26 23:26:35 orangepipcplus kernel: [ 4302.953403] IPTables-Dropped: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:JAKIS:MAC:1 SRC=0.0.0.0 DST=255.255.255.255 LEN=576 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=556 
Sep 26 23:27:06 orangepipcplus kernel: [ 4333.779271] IPTables-Dropped: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:JAKIS:MAC:1 SRC=0.0.0.0 DST=255.255.255.255 LEN=576 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=556 
Sep 26 23:27:06 orangepipcplus rsyslogd-2007: action 'action 17' suspended, next retry is Mon Sep 26 23:28:36 2016 [try http://www.rsyslog.com/e/2007 ]
Sep 26 23:27:35 orangepipcplus kernel: [ 4363.611933] IPTables-Dropped: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:JAKIS:MAC:2 SRC=0.0.0.0 DST=255.255.255.255 LEN=576 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=556 
Sep 26 23:28:05 orangepipcplus kernel: [ 4393.026364] IPTables-Dropped: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:JAKIS:MAC:2 SRC=0.0.0.0 DST=255.255.255.255 LEN=576 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=556 
Sep 26 23:28:37 orangepipcplus kernel: [ 4424.989262] IPTables-Dropped: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:JAKIS:MAC:3 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=308 
Sep 26 23:28:37 orangepipcplus rsyslogd-2007: action 'action 17' suspended, next retry is Mon Sep 26 23:30:07 2016 [try http://www.rsyslog.com/e/2007 ]
Sep 26 23:29:06 orangepipcplus kernel: [ 4454.065428] IPTables-Dropped: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:JAKIS:MAC:3 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=308 
Sep 26 23:29:35 orangepipcplus kernel: [ 4483.141611] IPTables-Dropped: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:JAKIS:MAC:3 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=308 
Sep 26 23:30:06 orangepipcplus kernel: [ 4514.044121] IPTables-Dropped: IN=ppp0 OUT= MAC= SRC=116.31.116.36 DST=MOJ.IP LEN=60 TOS=0x10 PREC=0x00 TTL=52 ID=37764 DF PROTO=TCP SPT=17215 DPT=22 WINDOW=29200 RES=0x00 SYN URGP=0 
Sep 26 23:30:35 orangepipcplus kernel: [ 4543.195344] IPTables-Dropped: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:JAKIS:MAC:4 SRC=0.0.0.0 DST=255.255.255.255 LEN=576 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=556 
Sep 26 23:30:35 orangepipcplus rsyslogd-2007: action 'action 17' suspended, next retry is Mon Sep 26 23:32:05 2016 [try http://www.rsyslog.com/e/2007 ]
Sep 26 23:31:05 orangepipcplus kernel: [ 4573.295644] IPTables-Dropped: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:JAKIS:MAC:4 SRC=0.0.0.0 DST=255.255.255.255 LEN=576 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=556 
Sep 26 23:31:35 orangepipcplus kernel: [ 4602.968112] IPTables-Dropped: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:JAKIS:MAC:5 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=308 
Sep 26 23:32:07 orangepipcplus kernel: [ 4635.037481] IPTables-Dropped: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:JAKIS:MAC:5 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=308 
Sep 26 23:32:07 orangepipcplus rsyslogd-2007: action 'action 17' suspended, next retry is Mon Sep 26 23:33:37 2016 [try http://www.rsyslog.com/e/2007 ]
Sep 26 23:32:35 orangepipcplus kernel: [ 4663.290732] IPTables-Dropped: IN=ppp0 OUT= MAC= SRC=116.31.116.36 DST=MOJ.IP LEN=60 TOS=0x10 PREC=0x00 TTL=52 ID=30621 DF PROTO=TCP SPT=31857 DPT=22 WINDOW=29200 RES=0x00 SYN URGP=0
Czy to są normalne sytuacje czy ktoś zawzięcie mnie męczy? Dodam, że jeden z IP znalazłem tutaj.

Re: prośba o sprawdzenie logów w /var/log/messages

: 27 września 2016, 09:23
autor: dedito
Te IP 116.31.116.36 widać, że próbuje łączyć się z portem 22 czyli SSH. No ale firewall ładnie go blokuje także ja bym się tu nie przejmował jakimś chińskim robocikiem, normalnie powinien odpuścić po iluś tam razach, ale widać ma skopane skrypty.
Inne rzeczy to są wyłącznie z eth0 wysyłane na adres rozgłoszeniowy zapewne z jakiegoś klienta DHCP od strony eth0, coś tam szuka serwera DHCP..

Re: prośba o sprawdzenie logów w /var/log/messages

: 27 września 2016, 09:41
autor: kudzu
A rsyslog 'action 17'? Szukałem tego w sieci ale nie trafiłem na jednoznaczną i zrozumiałą dla mnie odpowiedź.

Kurczę, do logów DD-WRT nie zaglądałem i nie miałem świadomości, jak można być atakowanym...

Re: prośba o sprawdzenie logów w /var/log/messages

: 27 września 2016, 09:46
autor: dedito
Tu jest jakaś wskazówka (nie wczytywałem się) -> https://blog.dantup.com/2016/04/removin ... an-jessie/
Zakładam, że masz orangepi.

Re: prośba o sprawdzenie logów w /var/log/messages

: 27 września 2016, 10:24
autor: Yampress
No przecież należy zawsze zmienić port dzia łania ssh. na 4 albo 5 cyfrowy. I wtedy jest cisza z takmi rzeczami...

Re: prośba o sprawdzenie logów w /var/log/messages

: 27 września 2016, 10:29
autor: kudzu
Yampress pisze:No przecież należy zawsze zmienić port dzia łania ssh. na 4 albo 5 cyfrowy. I wtedy jest cisza z takmi rzeczami...
Nawet, jeśli ssh nie wypuszczam na świat? Obecnie port 22 mam dostępny jedynie przez eth1, a to jest mój PC.

Re: prośba o sprawdzenie logów w /var/log/messages

: 27 września 2016, 11:05
autor: lizard
Jeżeli kudzu nic nie zmienił w swoim firewallu ze swojego poprzedniego wątku, to w logach jest informacja o odrzuconych pakietach. Też mam w logach próby połączenia na portach ssh, telnet, http, https i paru innych wysokich, a otwarty jest tylko jeden.

Re: prośba o sprawdzenie logów w /var/log/messages

: 27 września 2016, 11:28
autor: kudzu
lizard pisze:Jeżeli kudzu nic nie zmienił w swoim firewallu ze swojego poprzedniego wątku, to w logach jest informacja o odrzuconych pakietach.
Tak, wiem, tylko nie spodziewałem się, że będzie taki ruch!

Yampress ma rację - zmienię domyślny port dla ssh. Jeżeli kiedyś wypuszczę ssh na świat, to nie będe musiał przekierowywać portu w zaporze i będzie mimo wszystko bezpieczniej.

Re: prośba o sprawdzenie logów w /var/log/messages

: 27 września 2016, 12:40
autor: lizard
Mimo zmiany portu ssh i tak będziesz mieć w logach próby połączeń na porcie 22.

Zmiana domyślnych portów to security by obscurity. Włącz logowanie przez ssh wyłącznie przez klucze ssh i poczytaj o fail2ban.

Re: prośba o sprawdzenie logów w /var/log/messages

: 27 września 2016, 14:43
autor: Xela
jest jeszcze konfiguracja hosts.allow/hosts.deny jak masz oczywiście możliwość przypisania konkretnych hostów po adresie to dobrze się sprawdza
http://linuxmdv.cba.pl/etc_hosts.php
Strefa czasowa UTC+02:00
Strona 1 z 2

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl