Gelegentliche massive Firewall-Protokolldateien auf SuSE

387
Rick Jolly

Gelegentlich /var/log/firewallfüllt sich meine SuSE Enterprise 10- Protokolldatei über einen kurzen Zeitraum von Sekunden mit identischen Einträgen mit Ausnahme der ID. Hier ist ein Auszug:

Jan 15 11:21:13 IKCSWeb kernel: SFW2-IN-ACC-RELATED IN=eth1 OUT= MAC=00:19:bb:2e:85:42:00:17:c5:d8:2e:2c:08:00 SRC=59.64.166.81 DST=207.194.99.122 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=7810 DF PROTO=TCP SPT=24093 DPT=22 WINDOW=137 RES=0x00 ACK URGP=0  Jan 15 11:21:13 IKCSWeb kernel: SFW2-IN-ACC-RELATED IN=eth1 OUT= MAC=00:19:bb:2e:85:42:00:17:c5:d8:2e:2c:08:00 SRC=59.64.166.81 DST=207.194.99.122 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=56845 DF PROTO=TCP SPT=24093 DPT=22 WINDOW=137 RES=0x00 ACK URGP=0  Jan 15 11:21:13 IKCSWeb kernel: SFW2-IN-ACC-RELATED IN=eth1 OUT= MAC=00:19:bb:2e:85:42:00:17:c5:d8:2e:2c:08:00 SRC=59.64.166.81 DST=207.194.99.122 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=48949 DF PROTO=TCP SPT=24093 DPT=22 WINDOW=137 RES=0x00 ACK URGP=0

Ich bin ein Neuling. Irgendeine Idee, was verursacht das?

0

1 Antwort auf die Frage

2
cybernard

Zufällige Internet-Leute, die versuchen, ssh in Ihren PC zu integrieren. Der DPT = 22 ist der Standard-SSH-Port. SRC = 59,64,166,81

https://www.db-ip.com/59.64.166.81

Die Überprüfung der IP-Adresse von Whois gehört zu China. Zufällige Personen scannen ständig das Internet, um zu prüfen, ob sie sich am Computer anderer Personen anmelden können. Dies ist die Rekonfigurationsphase, erste Phase vor dem Angriff. Ich habe Zehntausende davon aufgenommen, besonders aus China.

Solange Sie entweder:

  1. Deaktivieren Sie ssh
  2. Starkes SSH-Passwort und / oder Zertifikat
  3. Aktuelle Version von ssh

Sie werden nicht bekommen.

Es ist besser, wenn Sie Ihrer Firewall eine Regel hinzufügen, die ohne Protokollierung blockiert wird. Ich habe den Namen des Suse-Firewall-Tools vergessen, aber es verwendet iptables im Backend.

Dies setzt voraus, dass eth0 Ihre Internetverbindung ist.

iptables -I INPUT 1 -i eth0 --dport 22 -j DROP

Ich empfehle das integrierte Firewall-Tool für das Webmin-Tool.

Das ist eine großartige Information. Vielen Dank. Ein Problem, das ich habe, ist, dass die Festplatte nicht groß genug ist, um diese Protokolleinträge täglich in GB zu speichern. Kann ich identische Einträge herausfiltern (identisch mit der ID)? Rick Jolly vor 7 Jahren 0
Es ist besser, wenn Sie Ihrer Firewall eine Regel hinzufügen, die ohne Protokollierung blockiert wird. cybernard vor 7 Jahren 0
@ RickJolly Sie können `sshd 'auch an einen nicht standardmäßigen Port (dh!! = 22) verschieben. Angreifer scannen in der Regel die wahrscheinlichsten Ports. Kamil Maciorowski vor 7 Jahren 0
@cybernard eine Regel, um bestimmte IPs auf die schwarze Liste zu setzen oder unsere IP-Adressen auf die Whitelist zu setzen? Rick Jolly vor 7 Jahren 0
White Listing ist definitiv der Weg zu gehen. Es gibt 4 Milliarden IP-Adressen, und Sie sollten höchstens ein paar Hundert einplanen. Wie viele möchtest du zulassen? cybernard vor 7 Jahren 0
Ich muss nur eine Handvoll zulassen, aber einige Ips sind dynamisch, daher ist es schwierig, sie aufrechtzuerhalten. Rick Jolly vor 7 Jahren 0
Verwenden Sie whois, um ihren Bereich nachzuschlagen und dies zuzulassen. Zum Beispiel wird 192.168.0.1 bis 192.168.0.255 einfach bei 192.168.0.1/24 ausgedrückt und fertig. cybernard vor 7 Jahren 0
@ RickJolly Das Problem ist, dass die SuSE-GUI (benutzerfreundlich und gedummt) ** yast-Firewall ** nur Zugriff auf etwa 10% des tatsächlichen Funktionsumfangs von iptables ermöglicht. Ich habe vergessen, wie primitiv dieses Tool ist, und wenn Sie es nicht verwenden, müssen Sie ein anderes System wie cron einrichten, um Ihre Firewall-Regeln zu speichern / laden. Wenn Sie das in webmin integrierte Firewall-Tool verwenden, können Sie zumindest ungeschickt auf alle Optionen zugreifen. cybernard vor 7 Jahren 0

Verwandte Probleme