Ssh

iptables 問題

  • December 14, 2009

我目前受到 SSH 攻擊。

攻擊本質上非常奇怪,攻擊者使用殭屍網路電腦並將它們用作個人登錄嘗試(請參閱日誌片段):

Dec 11 08:30:51 rhea sshd

$$ 16267 $$

:來自 78.43.82.153 Dec 11 08:35:24 rhea sshd的無效使用者 maureen$$ 20012 $$: 無效的使用者 maurizio 從 201.244.188.202

Dec 11 08:44:46 rhea sshd$$ 27711 $$:從 211.140.12.46

Dec 11 08:49:10 rhea sshd開始的使用者最大值無效$$ 31383 $$:從 190.144.47.82

Dec 11 08:58:19 rhea sshd開始的使用者最大值無效$$ 6659 $$:從 69.250.227.138

Dec 11 09:07:28 rhea sshd開始的使用者最大值無效$$ 14249 $$:無效的使用者格言從 93.63.231.55

Dec 11 09:12:03 rhea sshd$$ 18127 $$: 來自 79.188.240.210 的使用者最大值無效

我願意過濾所有對埠 22 的訪問(即只允許我指定的 IP 連接),以及我幾天前所做的(阻止所有到埠 22 的連接,但來自我自己) . 我想要做的是記錄所有沒有接受規則的連接來記錄和刪除它 - 這樣我就可以跟踪機器人中的所有電腦,而不是讓他們有機會嘗試登錄。 我所擁有的是這樣的:

-A INPUT -s my.addr(s) -j ACCEPT

-A INPUT -p tcp -m tcp –dport 22 -j DROP

更新

我已將此添加到我的 iptables 中:

$$ 0:0 $$-A INPUT -m limit –limit 5/min -p tcp -m tcp –dport 22 -j LOG –log-level 4 –log-prefix “** DoS **”

並使用

http://www .cyberciti.biz/tips/force-iptables-to-log-messages-to-a-different-log-file.html

但是,要設置單獨的文件,我只能在 dmesg 中查看記錄的數據。

但是,要設置一個單獨的文件,我只能在 dmesg 中看到記錄的數據。

來自netfilter子系統的消息通過 kenerl 日誌記錄機制進行記錄。這會顯示在 dmesg 輸出中,並且通常也會通過klogd.

如果您正在執行rsyslogor syslog-ng,這些通常會原生讀取核心日誌數據。

消息使用“kern”工具顯示在 syslog 中,因此在傳統的 syslog.conf 文件中,您可以執行以下操作:

kern.* /var/log/kernel-messages

(但請注意,這將為您提供所有核心消息,而不僅僅是 netfilter)。

rsyslog 和 syslog-ng 都提供模式匹配工具,讓您更精細地控制日誌消息的去向。

引用自:https://serverfault.com/questions/93451