เอา UFW Block ออกจาก kern.log และ sys.log


11

ใช้ Nginx, Wordpress และ Ubuntu 16

ฉันถูกโจมตีอย่างต่อเนื่องกับข้อความเหล่านี้ใน kern.log , syslog and ufw.log

Nov 28 21:02:28 kernel: [246817.450026] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22334 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Nov 28 21:02:31 kernel: [246820.443191] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22335 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Nov 28 21:02:33 kernel: [246822.448520] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=195.154.181.110 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=6401 PROTO=TCP SPT=52845 DPT=8709 WINDOW=1024 RES=0x00 SYN URGP=0 
Nov 28 21:02:37 kernel: [246826.438721] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22336 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Nov 28 21:03:26 kernel: [246875.605969] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=89.163.146.88 DST=xx.xx LEN=444 TOS=0x00 PREC=0x00 TTL=59 ID=45590 DF PROTO=UDP SPT=5149 DPT=5060 LEN=424 
Nov 28 21:03:41 kernel: [246890.099144] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=82.81.171.85 DST=xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=56 ID=19683 PROTO=TCP SPT=63561 DPT=2323 WINDOW=58193 RES=0x00 SYN URGP=0 
Nov 28 21:03:46 kernel: [246895.517766] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=94.102.49.174 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=249 ID=2066 PROTO=TCP SPT=51511 DPT=8000 WINDOW=1024 RES=0x00 SYN URGP=0 
Nov 28 21:03:49 kernel: [246898.714239] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=61.240.144.65 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=236 ID=31567 PROTO=TCP SPT=46807 DPT=8009 WINDOW=1024 RES=0x00 SYN URGP=0 
Nov 28 21:04:14 kernel: [246923.959948] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=163.172.91.185 DST=xx.xx LEN=40 TOS=0x08 PREC=0x00 TTL=243 ID=54321 PROTO=TCP SPT=47175 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0 
Nov 28 21:04:31 kernel: [246940.250298] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=78.168.185.115 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=51 ID=62125 PROTO=TCP SPT=52008 DPT=7547 WINDOW=13555 RES=0x00 SYN URGP=0 
  1. เนื่องจากสิ่งเหล่านี้เข้าสู่ระบบแล้วใน ufw.log ฉันจะหยุดไม่ให้ปรากฏที่ kern.log และ syslog ได้อย่างไร

  2. มีสิ่งที่ฉันต้องทำเพื่อป้องกันการโจมตีเหล่านี้หรือเป็นเรื่องปกติสำหรับเซิร์ฟเวอร์เพื่อประสบการณ์?

คำตอบ:


13

ตัวเลือกการกำหนดค่าUFWสลับการเปิด / ปิดการบันทึกเท่านั้น (หรือระบุระดับการบันทึกที่กำหนดเอง):

logging on|off|LEVEL

สลับการบันทึก แพ็คเก็ตที่บันทึกไว้ใช้LOG_KERNสิ่งอำนวยความสะดวก syslog ระบบที่กำหนดค่าไว้สำหรับ rsyslog การสนับสนุนอาจเข้าสู่ระบบ /var/log/ufw.logด้วย ระบุเปลี่ยนการเข้าสู่ระบบสำหรับระบุLEVEL ระดับเริ่มต้นคือการเข้าสู่ระบบLEVELlow

หากคุณใช้การติดตั้ง Ubuntu มาตรฐานคุณมีrsyslogdส่วนขยายซึ่งสามารถกำหนดค่า (และโดยค่าเริ่มต้น) เพื่อสร้างไฟล์บันทึกแยกเหล่านี้ได้

ใน Ubuntu 16.04 การกำหนดค่าการบันทึก UFW ควรอยู่ใน/etc/rsyslog.d/20-ufw.conf:

# Log kernel generated UFW log messages to file
:msg,contains,"[UFW " /var/log/ufw.log

# Uncomment the following to stop logging anything that matches the last rule.
# Doing this will stop logging kernel generated UFW log messages to the file
# normally containing kern.* messages (eg, /var/log/kern.log)
#& ~

ตามที่ความคิดเห็นอธิบายไว้คุณควรยกเลิกหมายเหตุบรรทัดสุดท้าย & ~ถ้ามีไม่ได้เป็นหนึ่งเพียงแค่เพิ่ม

ตรงกันข้ามแสดงความคิดเห็นออกสาเหตุที่สายการกำหนดค่าอื่นเข้าสู่ระบบเท่านั้นที่จะ/syslogkern.log


2:การใช้ไฟร์วอลล์เพื่อบล็อกการโจมตีอย่างที่คุณทำอยู่เป็นวิธีที่ถูกต้องในการจัดการกับสถานการณ์


2
ขอบคุณมันใช้งานได้สำหรับฉัน! เพียงแค่บันทึกย่อที่คุณต้องรีสตาร์ท rsyslog เพื่อให้มีผล: sudo service rsyslog restart
jacklin

สำเนา 20-ufw.conf ของฉันมีคำสั่ง "& stop" แทน ความแตกต่างที่สำคัญ? ไม่ได้ลงชื่อเข้าใช้ syslog หรือ kern.log อีกต่อไป
icelava
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.