iptables 問題

我目前受到 SSH 攻擊。

攻擊本質上非常奇怪，攻擊者使用殭屍網路電腦並將它們用作個人登錄嘗試（請參閱日誌片段）：

Dec 11 08:30:51 rhea sshd

$$ 16267 $$

：來自 78.43.82.153 Dec 11 08:35:24 rhea sshd的無效使用者 maureen$$ 20012 $$: 無效的使用者 maurizio 從 201.244.188.202

Dec 11 08:44:46 rhea sshd$$ 27711 $$：從 211.140.12.46

Dec 11 08:49:10 rhea sshd開始的使用者最大值無效$$ 31383 $$：從 190.144.47.82

Dec 11 08:58:19 rhea sshd開始的使用者最大值無效$$ 6659 $$：從 69.250.227.138

Dec 11 09:07:28 rhea sshd開始的使用者最大值無效$$ 14249 $$：無效的使用者格言從 93.63.231.55

Dec 11 09:12:03 rhea sshd$$ 18127 $$: 來自 79.188.240.210 的使用者最大值無效

我願意過濾所有對埠 22 的訪問（即只允許我指定的 IP 連接），以及我幾天前所做的（阻止所有到埠 22 的連接，但來自我自己） . 我想要做的是記錄所有沒有接受規則的連接來記錄和刪除它 - 這樣我就可以跟踪機器人中的所有電腦，而不是讓他們有機會嘗試登錄。 我所擁有的是這樣的：

-A INPUT -s my.addr(s) -j ACCEPT

-A INPUT -p tcp -m tcp –dport 22 -j DROP

更新

我已將此添加到我的 iptables 中：

$$ 0:0 $$-A INPUT -m limit –limit 5/min -p tcp -m tcp –dport 22 -j LOG –log-level 4 –log-prefix “** DoS **”

並使用

http://www .cyberciti.biz/tips/force-iptables-to-log-messages-to-a-different-log-file.html

但是，要設置單獨的文件，我只能在 dmesg 中查看記錄的數據。

但是，要設置一個單獨的文件，我只能在 dmesg 中看到記錄的數據。

來自netfilter子系統的消息通過 kenerl 日誌記錄機制進行記錄。這會顯示在 dmesg 輸出中，並且通常也會通過klogd.

如果您正在執行rsyslogor syslog-ng，這些通常會原生讀取核心日誌數據。

消息使用“kern”工具顯示在 syslog 中，因此在傳統的 syslog.conf 文件中，您可以執行以下操作：

kern.* /var/log/kernel-messages

（但請注意，這將為您提供所有核心消息，而不僅僅是 netfilter）。

rsyslog 和 syslog-ng 都提供模式匹配工具，讓您更精細地控制日誌消息的去向。

引用自：https://serverfault.com/questions/93451