有很多行是正常的吗/var/log/kern.log关于 UFW 块?
例如:
8 月 29 日 22:13:13 myvps 内核:[1980808.931708] [UFW BLOCK] IN=venet0 OUT= MAC= SRC=60.173.8.240 DST=me LEN=40 TOS=0x00 PREC=0x00 TTL=106 ID=256 PROTO=TCP SPT=6000 DPT=9999 WINDOW=16384 RES=0x00 SYN URGP=0
8 月 29 日 22:13:13 myvps 内核:[1980808.931742] [UFW BLOCK] IN=venet0 OUT= MAC= SRC=60.173.8.240 DST=me LEN=40 TOS=0x00 PREC=0x00 TTL=106 ID=256 PROTO=TCP SPT=6000 DPT=8000 WINDOW=16384 RES=0x00 SYN URGP=0
8 月 29 日 22:13:13 myvps 内核:[1980808.933696] [UFW BLOCK] IN=venet0 OUT= MAC= SRC=60.173.8.240 DST=me LEN=40 TOS=0x00 PREC=0x00 TTL=106 ID=256 PROTO=TCP SPT=6000 DPT=9000 WINDOW=16384 RES=0x00 SYN URGP=0
8 月 29 日 22:29:00 myvps 内核:[1981755.608423] [UFW BLOCK] IN=venet0 OUT=MAC=SRC=124.232.142.220 DST=me LEN=59 TOS=0x00 PREC=0x00 TTL=239 ID=54321 PROTO=UDP SPT=39150 DPT=53 LEN=39
8 月 29 日 22:32:41 vps91426 内核:[1981977.005619] [UFW BLOCK] IN=venet0 OUT= MAC= SRC=222.186.15.95 DST=me LEN=40 TOS=0x00 PREC=0x00 TTL=102 ID=256 PROTO=TCP SPT=6000 DPT=3306 WINDOW=16384 RES=0x00 SYN URGP=0
8 月 29 日 22:39:55 myvps 内核:[1982410.798059] [UFW BLOCK] IN=venet0 OUT=MAC=SRC=46.36.37.186 DST=me LEN=57 TOS=0x00 PREC=0x00 TTL=244 ID=54321 PROTO=UDP SPT=52085 DPT=19 LEN=37
8 月 29 日 22:40:34 myvps 内核:[1982450.374159] [UFW BLOCK] IN=venet0 OUT= MAC= SRC=192.230.122.1 DST=me LEN=164 TOS=0x00 PREC=0x00 TTL=53 ID=60675 DF PROTO=UDP SPT=53 DPT=47363 LEN=144
8 月 29 日 22:44:36 myvps 内核:[1982692.086596] [UFW BLOCK] IN=venet0 OUT= MAC= SRC=192.230.121.3 DST=me LEN=92 TOS=0x00 PREC=0x00 TTL=59 ID=0 DF PROTO=UDP SPT=53 DPT=47363 LEN=72
8 月 29 日 22:46:35 myvps 内核:[1982810.854290] [UFW BLOCK] IN=venet0 OUT= MAC= SRC=192.230.122.3 DST=me LEN=166 TOS=0x00 PREC=0x00 TTL=49 ID=37584 DF PROTO=UDP SPT=53 DPT=47363 LEN=146
等等等等。
我怎样才能禁止这种情况?
而且在/var/log/apache2/access.log我有几行:
212.224.87.174 - - [29/8/2014:17:35:28 +0200] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1” 400 415 “-” “-”
222.209.158.105 - - [28/8月/2014:11:50:54 +0200] “获取http://hotel.qunar.com/render/hoteldiv.jsp?&__jscallback=XQScript_4HTTP/1.1" 404 379 "http://hotel.qunar.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML,如 Gecko) Chrome/35.0.1916.114 Safari/537.36"
54.167.171.94 - - [28/Aug/2014:14:46:27 +0200] "HEAD / HTTP/1.1" 200 243 "-" "云映射实验。联系[电子邮件保护]“
198.11.235.59 - - [28/8月/2014:20:20:07 +0200] "HEAD / HTTP/1.0" 200 262 "-" "-"
115.29.140.19 - - [28/8月/2014:20:53:14 +0200] “获取http://www.ly.com/HTTP/1.1” 200 432 “-” “Mozilla/5.0(Windows NT 6.1;WOW64;rv:29.0)Gecko/20100101 Firefox/29.0”
我担心他们正在扫描我的服务器的端口,然后尝试发送垃圾邮件或做其他事情。
我已经安装了:
Fail2ban、UFW(禁止除 FTP 21、80、更改端口的 SSH 和端口 Webmin 之外的所有端口)或更好的 IPtables?、PSAD、禁用根并启用私钥和公钥、更改端口 SSH(并使用 UFW 拒绝端口 22)。
在 Fail2ban 中我添加了规则 apache-w00tw00t:
[apache-w00tw00t]
enabled = true
port = http,https
filter = apache-w00tw00t
action = iptables[name=Apache-w00tw00t,port=80,protocol=tcp]
mail-whois-lines[name=%(__name__)s, dest=%(destemail)s, logpath=%(logpath)s]
logpath = /var/log/apache2*/access*.log
maxretry = 1
bantime = 86400
但也许不起作用......
mod_security 无法安装它,它给了我错误。
是否需要安装其他模块才能在服务器上获得良好的安全性?或者安装适用于 Debian 7 的“一体化”程序?
提前非常感谢
答案1
8 月 29 日 22:13:13 myvps 内核:[1980808.931708] [UFW BLOCK] IN=venet0 OUT= MAC= SRC=60.173.8.240 DST=me LEN=40 TOS=0x00 PREC=0x00 TTL=106 ID=256 PROTO=TCP SPT=6000 DPT=9999 WINDOW=16384 RES=0x00 SYN URGP=0
我在日志中看到了 syn
TCP Syn 是一种 DoS(拒绝服务)攻击。它会消耗 Linux 服务器上的资源。攻击者从 TCP 连接握手开始发送 SYN 数据包,然后从未完成打开连接的过程。这会导致大量半开连接。Linux 内核可以轻松阻止此类攻击。
查看当前配置
# cat /proc/sys/net/ipv4/tcp_syncookies
启用 tcp syn 保护检查这
还,
lsof | grep "9000 (LISTEN)"
上面的命令应该为您提供有关哪个进程使用该端口的信息。
安装 lsof
sudo apt-get install lsof