iptables 問題
我目前受到 SSH 攻擊。
攻擊本質上非常奇怪,攻擊者使用殭屍網路電腦並將它們用作個人登錄嘗試(請參閱日誌片段):
Dec 11 08:30:51 rhea sshd
$$ 16267 $$
:來自 78.43.82.153 Dec 11 08:35:24 rhea sshd的無效使用者 maureen$$ 20012 $$: 無效的使用者 maurizio 從 201.244.188.202
Dec 11 08:44:46 rhea sshd$$ 27711 $$:從 211.140.12.46
Dec 11 08:49:10 rhea sshd開始的使用者最大值無效$$ 31383 $$:從 190.144.47.82
Dec 11 08:58:19 rhea sshd開始的使用者最大值無效$$ 6659 $$:從 69.250.227.138
Dec 11 09:07:28 rhea sshd開始的使用者最大值無效$$ 14249 $$:無效的使用者格言從 93.63.231.55
Dec 11 09:12:03 rhea sshd$$ 18127 $$: 來自 79.188.240.210 的使用者最大值無效
我願意過濾所有對埠 22 的訪問(即只允許我指定的 IP 連接),以及我幾天前所做的(阻止所有到埠 22 的連接,但來自我自己) . 我想要做的是記錄所有沒有接受規則的連接來記錄和刪除它 - 這樣我就可以跟踪機器人中的所有電腦,而不是讓他們有機會嘗試登錄。 我所擁有的是這樣的:
-A INPUT -s my.addr(s) -j ACCEPT
-A INPUT -p tcp -m tcp –dport 22 -j DROP
更新
我已將此添加到我的 iptables 中:
$$ 0:0 $$-A INPUT -m limit –limit 5/min -p tcp -m tcp –dport 22 -j LOG –log-level 4 –log-prefix “** DoS **”
並使用
http://www .cyberciti.biz/tips/force-iptables-to-log-messages-to-a-different-log-file.html
但是,要設置單獨的文件,我只能在 dmesg 中查看記錄的數據。
但是,要設置一個單獨的文件,我只能在 dmesg 中看到記錄的數據。
來自
netfilter
子系統的消息通過 kenerl 日誌記錄機制進行記錄。這會顯示在 dmesg 輸出中,並且通常也會通過klogd
.如果您正在執行
rsyslog
orsyslog-ng
,這些通常會原生讀取核心日誌數據。消息使用“kern”工具顯示在 syslog 中,因此在傳統的 syslog.conf 文件中,您可以執行以下操作:
kern.* /var/log/kernel-messages
(但請注意,這將為您提供所有核心消息,而不僅僅是 netfilter)。
rsyslog 和 syslog-ng 都提供模式匹配工具,讓您更精細地控制日誌消息的去向。