Forum Datorer och system Server Tråd Inlägg

Konstiga Brandväggs Loggar

1
Skriv svar
Permalänk
Medlem

Konstiga Brandväggs Loggar

Hej,

Jag kör Debian och Apache för att hosta mina hemsidor. Jag använder mig av UFW som brandvägg som en extra mjukvaru skydd. Nu är det så att mina loggar ständigt fylls (spammas) med meddelanden likt nedan. Är det någon duktig som kan hjälpa mig att förstå va de innebär?

Aug 25 14:29:27 Obsidian kernel: [634584.394943] [UFW BLOCK] IN=eth0 OUT= MAC=00:0c:29:74:a2:9e:c6:3d:c7:91:10:53:08:00 SRC=31.208.17.40 DST=192.168.1.32 LEN=52 TOS=0x00 PREC=0x00 TTL=62 ID=49759 DF PROTO=TCP SPT=993 DPT=53044 WINDOW=122 RES=0x00 ACK URGP=0
Aug 25 14:29:27 Obsidian kernel: [634584.394978] [UFW BLOCK] IN=eth0 OUT= MAC=00:0c:29:74:a2:9e:00:0c:29:49:44:4a:08:00 SRC=31.208.17.40 DST=192.168.1.32 LEN=52 TOS=0x00 PREC=0x00 TTL=61 ID=49759 DF PROTO=TCP SPT=993 DPT=53044 WINDOW=122 RES=0x00 ACK URGP=0
Aug 25 14:29:27 Obsidian kernel: [634584.405773] [UFW BLOCK] IN=eth0 OUT= MAC=00:0c:29:74:a2:9e:c6:3d:c7:91:10:53:08:00 SRC=31.208.17.40 DST=192.168.1.32 LEN=52 TOS=0x00 PREC=0x00 TTL=62 ID=0 DF PROTO=TCP SPT=993 DPT=53045 WINDOW=122 RES=0x00 ACK URGP=0
Aug 26 01:35:52 Obsidian kernel: [674569.618883] [UFW BLOCK] IN=eth0 OUT= MAC=00:0c:29:74:a2:9e:c6:3d:c7:91:10:53:08:00 SRC=176.70.212.127 DST=192.168.1.32 LEN=40 TOS=0x00 PREC=0x00 TTL=113 ID=6650 DF PROTO=TCP SPT=50431 DPT=80 WINDOW=16542 RES=0x00 ACK FIN URGP=0
Aug 26 01:35:52 Obsidian kernel: [674569.618931] [UFW BLOCK] IN=eth0 OUT= MAC=00:0c:29:74:a2:9e:00:0c:29:49:44:4a:08:00 SRC=176.70.212.127 DST=192.168.1.32 LEN=40 TOS=0x00 PREC=0x00 TTL=112 ID=6650 DF PROTO=TCP SPT=50431 DPT=80 WINDOW=16542 RES=0x00 ACK FIN URGP=0
Aug 26 01:35:52 Obsidian kernel: [674569.658780] [UFW BLOCK] IN=eth0 OUT= MAC=00:0c:29:74:a2:9e:c6:3d:c7:91:10:53:08:00 SRC=176.70.212.127 DST=192.168.1.32 LEN=40 TOS=0x00 PREC=0x00 TTL=113 ID=6651 DF PROTO=TCP SPT=50441 DPT=80 WINDOW=16505 RES=0x00 ACK FIN URGP=0
Aug 27 08:35:58 Obsidian kernel: [786175.661529] [UFW BLOCK] IN=eth0 OUT= MAC=00:0c:29:74:a2:9e:c6:3d:c7:91:10:53:08:00 SRC=213.67.237.244 DST=192.168.1.32 LEN=40 TOS=0x00 PREC=0x00 TTL=116 ID=31937 DF PROTO=TCP SPT=64161 DPT=80 WINDOW=16425 RES=0x00 ACK FIN URGP=0
Aug 27 08:35:58 Obsidian kernel: [786175.661564] [UFW BLOCK] IN=eth0 OUT= MAC=00:0c:29:74:a2:9e:00:0c:29:49:44:4a:08:00 SRC=213.67.237.244 DST=192.168.1.32 LEN=40 TOS=0x00 PREC=0x00 TTL=115 ID=31937 DF PROTO=TCP SPT=64161 DPT=80 WINDOW=16425 RES=0x00 ACK FIN URGP=0
Aug 27 08:35:58 Obsidian kernel: [786176.168185] [UFW BLOCK] IN=eth0 OUT= MAC=00:0c:29:74:a2:9e:c6:3d:c7:91:10:53:08:00 SRC=213.67.237.244 DST=192.168.1.32 LEN=40 TOS=0x00 PREC=0x00 TTL=116 ID=31947 DF PROTO=TCP SPT=64161 DPT=80 WINDOW=16425 RES=0x00 ACK FIN URGP=0

Senast redigerat
Visa signatur

Desktop: Win7 @ CPU: AMD X4 640 @ 3.5GHz RAM: 16GB DDR3
Server: ESXi @ CPU: AMD FX8120 @ 3.8GHz RAM: 32GB DDR3
Laptop: Lenovo G500 Win8 @ CPU: Intel i5 2.6GHz RAM: 8GB DDR3
NAS: Synology DS211j HDD: 2 x 2TB RAID1
Webb: http://www.ciph.se/

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Ciph:

Hej,

Jag kör Debian och Apache för att hosta mina hemsidor. Jag använder mig av UFW som brandvägg som en extra mjukvaru skydd. Nu är det så att mina loggar ständigt fylls (spammas) med meddelanden likt nedan. Är det någon duktig som kan hjälpa mig att förstå va de innebär?

Aug 27 08:35:58 Obsidian kernel: [786176.168185] [UFW BLOCK] IN=eth0 OUT= MAC=00:0c:29:74:a2:9e:c6:3d:c7:91:10:53:08:00 SRC=213.67.237.244 DST=192.168.1.32 LEN=40 TOS=0x00 PREC=0x00 TTL=116 ID=31947 DF PROTO=TCP SPT=64161 DPT=80 WINDOW=16425 RES=0x00 ACK FIN URGP=0

Gå till inlägget

så nån utifrån försöker komma in? vet inte hur det funkar med UFW men har du ställt in på tyst/silent? vissa brandväggar sänder tillbaks ett meddelande till avsändarn att porten är blokerad. inte så bra om det är spiders/bots som scannar allt. får dom svar så börjar du scanna varje port! dom kan blockera allt blir lite som att sitta i en ddos attack. :C

Visa signatur

hej Achmed Länken till bästa tråden #15549644

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av jonatan80:

så nån utifrån försöker komma in? vet inte hur det funkar med UFW men har du ställt in på tyst/silent? vissa brandväggar sänder tillbaks ett meddelande till avsändarn att porten är blokerad. inte så bra om det är spiders/bots som scannar allt. får dom svar så börjar du scanna varje port! dom kan blockera allt blir lite som att sitta i en ddos attack. :C

Gå till inlägget

Tack för svar. Har som sagt ingen aning om vad dessa loggar betyder. Dock är det olika IP adresser på loggarna. Vet inte riktigt vad det är för spiders/bots du pratar om, är det vanliga webcrawlers gör dem inget annat än att "scanna" mina hemsidor. Det här om "Dom kan blockera allt blir lite som att sitta i en ddos attack" förstår jag tyvärr inte heller va du pratar om och va det har för grund.

Visa signatur

Desktop: Win7 @ CPU: AMD X4 640 @ 3.5GHz RAM: 16GB DDR3
Server: ESXi @ CPU: AMD FX8120 @ 3.8GHz RAM: 32GB DDR3
Laptop: Lenovo G500 Win8 @ CPU: Intel i5 2.6GHz RAM: 8GB DDR3
NAS: Synology DS211j HDD: 2 x 2TB RAID1
Webb: http://www.ciph.se/

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Ciph:

Tack för svar. Har som sagt ingen aning om vad dessa loggar betyder. Dock är det olika IP adresser på loggarna. Vet inte riktigt vad det är för spiders/bots du pratar om, är det vanliga webcrawlers gör dem inget annat än att "scanna" mina hemsidor. Det här om "Dom kan blockera allt blir lite som att sitta i en ddos attack" förstår jag tyvärr inte heller va du pratar om och va det har för grund.

Gå till inlägget

vet bara att innan ja stängde av att det går att ''pinga'' ens IP så hade ja blokerad internet 10-20sek varje time var omöjligt att ta sig ut kollade i loggen på routern. var från vändigt många IP nummer.. då har ja ändå 10Mbit. var flera tusen anrop per sekund.

Visa signatur

hej Achmed Länken till bästa tråden #15549644

Redigera
Citera flera Citera
Permalänk
Avstängd
Skrivet av jonatan80:

vet bara att innan ja stängde av att det går att ''pinga'' ens IP så hade ja blokerad internet 10-20sek varje time var omöjligt att ta sig ut kollade i loggen på routern. var från vändigt många IP nummer.. då har ja ändå 10Mbit. var flera tusen anrop per sekund.

Gå till inlägget

Eh, men isåfall blev du ju ddosad?
Vad har det med TS att göra?

Skickades från m.sweclockers.com

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Skuggan74:

Eh, men isåfall blev du ju ddosad?
Vad har det med TS att göra?

Skickades från m.sweclockers.com

Gå till inlägget

ja stängde av att man kan pinga routern.. nu har ja inte haft avbrott på över 1år.

Visa signatur

hej Achmed Länken till bästa tråden #15549644

Redigera
Citera flera Citera
Permalänk
Avstängd
Skrivet av jonatan80:

ja stängde av att man kan pinga routern.. nu har ja inte haft avbrott på över 1år.

Gå till inlägget

Men din router tar ändå emot pingen så det hjälper ju inte att stänga av om du inte har väldigt begränsad hastighet upp som gjorde att ditt internet dök. Tex ADSL borde ju vara väldigt känsligt för icmp flooding.

Skickades från m.sweclockers.com

Redigera
Citera flera Citera
Permalänk
Medlem

Jag vill som sagt veta vad loggarna ovan betyder. Jag har inget problem med tappad anslutning, IMCP flooding eller någon DDoS attack. UFW är inte min primära brandvägg, jag sitter bakom en router med OpenWrt (vilket har en väldigt kraftig brandvägg och avancerade funktion och filtrering inbyggt) utöver det har jag även en Untangle UTM som filtrerar all trafik.

Visa signatur

Desktop: Win7 @ CPU: AMD X4 640 @ 3.5GHz RAM: 16GB DDR3
Server: ESXi @ CPU: AMD FX8120 @ 3.8GHz RAM: 32GB DDR3
Laptop: Lenovo G500 Win8 @ CPU: Intel i5 2.6GHz RAM: 8GB DDR3
NAS: Synology DS211j HDD: 2 x 2TB RAID1
Webb: http://www.ciph.se/

Redigera
Citera flera Citera
Permalänk
Medlem

Kan vara ett timing problem. Vad har du för MTU på eth0 i webbservern och i resten av nätet?
Kan prova att lägga till en "-m state --state INVALID -j DROP" för att se om dom droppas...

Redigera
Citera flera Citera
Permalänk
Medlem

Kan bidra med att säga att det är bredband2, tele2 och telia som är operatör för de tre ip du anget. Själv har jag massa asiatiska adresser (främst) som försöker ssh:a in i min server. Men då ligger ssh på standardporten. Här kan man ju fundera mer. De 7 nedre raderna är port 80 som destination. De tre övre har 993 som källa vilket är imap.

Redigera
Citera flera Citera
Permalänk
Medlem

Pfsense och m0n0wall har en standardinställning i brandväggsloggarna som säger åt den att inte visa sånt som är blockat av "default rule". Det är väldigt mycket som snabbt fyller brandväggsloggarna som dyker upp där och det rekommenderas att bara visa dessa poster i debug-syfte. Gissar att din brandvägg visar dessa och att det är därför det spammar loggarna.

https://doc.pfsense.org/index.php/Firewall_Logs#Disable_Defau...

Visa signatur

Tack och lov för internetsladden i hårddisken.

Redigera
Citera flera Citera
Permalänk
Medlem

Tackar så mycket för svar, nu har jag lite att gå på. Jag håller på att invänta ett nytt nätverkskort till min server dator, därefter blir det nog att skippa UFW och sätta upp en Pfsense VM istället i min ESXi server.

Visa signatur

Desktop: Win7 @ CPU: AMD X4 640 @ 3.5GHz RAM: 16GB DDR3
Server: ESXi @ CPU: AMD FX8120 @ 3.8GHz RAM: 32GB DDR3
Laptop: Lenovo G500 Win8 @ CPU: Intel i5 2.6GHz RAM: 8GB DDR3
NAS: Synology DS211j HDD: 2 x 2TB RAID1
Webb: http://www.ciph.se/

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara