Что такое столбец SRC в / var / log / syslog?
Я выполнил эту команду
cat /var/log/syslog | grep SRC= | awk '{print $1,$2, $3, $12}'
Я увидел тысяч IP-адресов
Apr 24 23:15:47 SRC=79.124.62.86
Apr 24 23:15:59 SRC=192.241.221.145
Apr 24 23:16:18 SRC=193.27.228.62
Apr 24 23:16:38 SRC=5.51.177.42
Apr 24 23:16:59 SRC=79.124.62.86
Apr 24 23:17:21 SRC=79.124.62.86
Apr 24 23:17:40 SRC=1.14.43.72
Apr 24 23:18:06 SRC=104.206.128.50
Apr 24 23:18:34 SRC=78.128.113.162
Apr 24 23:18:41 SRC=121.196.155.112
Apr 24 23:19:10 SRC=79.124.62.86
Apr 24 23:19:30 SRC=79.124.62.86
Apr 24 23:19:40 SRC=78.128.113.222
Apr 24 23:20:00 SRC=45.135.232.24
Apr 24 23:20:21 SRC=79.124.62.86
Apr 24 23:20:46 SRC=79.124.62.86
Я не смог найти какое-либо отношение этих IP-адресов в моем /var/log/auth.log
Пытаются ли эти хакеры / боты проникнуть в мой ящик?
1 ответ
По какой-то причине вы спрятали практически всю полезную информацию из своего вопроса. Однако, да, в основном это были бы хакеры/боты, ищущие уязвимости. Некоторые записи будут легитимными и, скорее всего, относятся к TCP-сессиям, где Ваша машина думает, что соединение было закрыто и забыто, но удаленная машина думает, что это не так.
Эти записи в журнале, вероятно, взяты из правил журнала iptables. Если вы используете UFW, знайте, что это всего лишь обложка для iptables. Обратите внимание, что 7 из 16 вашего списка примеров из 79.124.62.86. Пожалуйста, знайте, что конкретная подсеть является одной из многих очень плохих. Это из моего набора правил для iptables, где я DROP всю подсеть:
doug@s15:~$ sudo iptables -xvnL
Chain INPUT (policy DROP 14 packets, 1478 bytes)
pkts bytes target prot opt in out source destination
...
2584 103392 DROP all -- enp1s0 * 79.124.0.0/18 0.0.0.0/0
...
Соблюдайте правило было попаданием 2584 раза.
EDIT: Кстати, я использую следующий метод для поиска худших игроков предыдущего дня (не считая тех, которые я уже специально DROP):
doug@s15:~$ tail -20000 /var/log/syslog.1 | sed 's/ /\n/g' | grep "SRC=" | cut -d"." -f1,2,3,4 | sort | uniq -c | sort -g | tail -4
265 SRC=51.38.110.114
392 SRC=195.230.23.151
621 SRC=98.166.24.100
855 SRC=130.211.9.161
doug@s15:~$ tail -20000 /var/log/syslog.1 | sed 's/ /\n/g' | grep "SRC=" | cut -d"." -f1,2,3 | sort | uniq -c | sort -g | tail -4
392 SRC=195.230.23
429 SRC=162.142.125
621 SRC=98.166.24
855 SRC=130.211.9
doug@s15:~$ tail -20000 /var/log/syslog.1 | sed 's/ /\n/g' | grep "SRC=" | cut -d"." -f1,2 | sort | uniq -c | sort -g | tail -4
429 SRC=162.142
486 SRC=192.241
621 SRC=98.166
855 SRC=130.211
Примечание: я использую хвост, потому что часто ищу только последние несколько сотен строк.
Пожалуйста, для вашего следующего вопроса, дайте нам больше информации для работы.