Skocz do zawartości
Learner

Logi - prośba o wytłumaczenie

Polecane posty

Witam, jestem początkującym administratorem. W skrócie - uczę się.

Zainstalowałem sobie na moim VPS logcheck, w którym skonfigurowane mam raporty z logów:

/var/log/syslog
/var/log/auth.log
/var/log/mysql.log
/var/log/nginx/access.log

O ile dobrze pamiętam auth.log był tam domyślnie wpisany, a w emailach, które do mnie przychodzą w nagłówku widnieje wpis " E: File could not be read: /var/log/auth.log ". Co chyba oznacza, że logcheck nie ma dostępu do tego pliku i dlatego nie może go przeczytać?

 

Syslog - nie rozumiem tych wpisów i prosiłbym o ich wyjaśnienie:

May 15 21:02:03 vps sm-mta[3458]: STARTTLS=client, relay=gmail-smtp-in.l.google.com., version=TLSv1/SSLv3, verify=FAIL, cipher=ECDHE-RSA-AES128-GCM-SHA256, bits=128/128
May 15 21:02:40 vps kernel: [ 2013.771659] Shorewall:net-loc:REJECT:IN=eth0 OUT= MAC=XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX SRC=XXX.XXX.XXX.XXX DST=XX.XXX.XX.XX LEN=443 TOS=0x00 PREC=0x00 TTL=47 ID=0 DF PROTO=UDP SPT=5081 DPT=5060 LEN=423
May 15 21:02:41 vps kernel: [ 2014.772596] Shorewall:net-loc:REJECT:IN=eth0 OUT= MAC=XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX SRC=XXX.XXX.XXX.XXX DST=XX.XXX.XX.XX LEN=40 TOS=0x00 PREC=0x00 TTL=242 ID=43667 PROTO=TCP SPT=48256 DPT=13721 WINDOW=1024 RES=0x00 SYN URGP=0
May 15 21:03:10 vps kernel: [ 2044.305560] Shorewall:net-loc:REJECT:IN=eth0 OUT= MAC=XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX SRC=XXX.XXX.XXX.XXX DST=XX.XXX.XX.XX LEN=40 TOS=0x00 PREC=0x00 TTL=242 ID=16568 PROTO=TCP SPT=48256 DPT=14784 WINDOW=1024 RES=0x00 SYN URGP=0

Pierwszy wpis zapewne ma związek ze złą weryfikacją TLS/SSL. Jednak niczego więcej na ten temat nie mogę się domyślić i byłbym wdzięczny o nakierowanie/wytłumaczenie.

 

Kolejne trzy wpisy (tych wpisów mam w każdym emailu po około 100) to jak mniemam odrzucenie połączenia z jakiegoś adresu IP (czy dobrze rozumiem, że to mogę być netboty szukające dziur?)

 

nginx/access.log

 

Wpisy tego typu rozumiem jako ewidentną próbę włamania:

208.109.106.228 - - [08/May/2016:18:02:03 +0200] "GET /phpmyadmin/index.php?pma_username=root&pma_password=vocation&server=1&lang=de-utf-8&convcharset=iso-8859-1 HTTP/1.1" 301 178 "-" "-"

Rozumiem to w ten sposób: bot z adresu IP: 208.109.106.228 próbuje się zalogować do phpmyadmin'a, jako, że adres jakiego użył nie istnieje został przekierowany (301) na inny adres, tak więc próba się nie udała.

Rozumiem, że dla bezpieczeństwa od razu powinienem zablokować ten adres IP na moim firewallu.

 

Inne wpisy wyglądają następująco:

194.33.75.112 - - [15/May/2016:21:11:05 +0200] "GET / HTTP/1.1" 301 178 "-" "curl/7.17.1 (mips-unknown-linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3"
194.28.115.233 - - [15/May/2016:21:22:14 +0200] "GET / HTTP/1.1" 301 178 "-" "Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1"

Domyślam się, że w tych logach pojawiać się będą również zachowania zwykłych użytkowników moich stron (czy może się mylę i pojawiają się tu tylko niebezpieczne wpisy?) jak więc rozpoznać złe zachowanie od dobrego zachowania?

 

Pierwszego wpisu totalnie nie rozumiem, nie rozumiem co ktoś z adresu ip:194.33.75.112 robił na jednej z moich stron... jedyne co rozumiem to to, że zrobił to w głównym katalogu strony (" / ") oraz, że został przekierowany (301). Mógłby mi ktoś przybliżyć całą resztę? ("curl/7.17.1 (mips-unknown-linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3")

 

Drugi wpis podobnie do pierwszego informuje mnie, że ktoś z adresu IP XXX został przeniesiony (301) z głównego katalogu (" / ") oraz że korzystał z Windowsa z Firefox'em.

 

Czy wpisy podobne tym wyżej to coś normalnego informujące mnie np. o przekierowaniach z http na https czy to coś na co powinienem reagować chcąc utrzymać bezpieczeństwo mojego serwera?

 

Z góry dziękuję za wyrozumiałość i pomoc.

 

Pozdrawiam.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Naprawdę na tak dużym forum nie znajdzie się nikt chętny podzieleniem się ułamkiem swojej wiedzy?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

No to od początku:

 

O ile dobrze pamiętam auth.log był tam domyślnie wpisany, a w emailach, które do mnie przychodzą w nagłówku widnieje wpis " E: File could not be read: /var/log/auth.log ". Co chyba oznacza, że logcheck nie ma dostępu do tego pliku i dlatego nie może go przeczytać?

Tak, to dokładnie oznacza.

 

Pierwszy wpis zapewne ma związek ze złą weryfikacją TLS/SSL. Jednak niczego więcej na ten temat nie mogę się domyślić i byłbym wdzięczny o nakierowanie/wytłumaczenie.

Kolejne trzy wpisy (tych wpisów mam w każdym emailu po około 100) to jak mniemam odrzucenie połączenia z jakiegoś adresu IP (czy dobrze rozumiem, że to mogę być netboty szukające dziur?)

Wpis o gmailu - tak. Wpisy z shorewalla - skanery portów.

 

Rozumiem to w ten sposób: bot z adresu IP: 208.109.106.228 próbuje się zalogować do phpmyadmin'a, jako, że adres jakiego użył nie istnieje został przekierowany (301) na inny adres, tak więc próba się nie udała. Rozumiem, że dla bezpieczeństwa od razu powinienem zablokować ten adres IP na moim firewallu.

Najbezpieczniej - zmienić folder na jakiś, na który nie wpadnie bot (losowe literki bądź subdomena).

 

Domyślam się, że w tych logach pojawiać się będą również zachowania zwykłych użytkowników moich stron (czy może się mylę i pojawiają się tu tylko niebezpieczne wpisy?) jak więc rozpoznać złe zachowanie od dobrego zachowania.

Tak, w access.log pojawiają się wszystkie działania użytkowników. Niestety ten plik rozrasta się do dużych rozmiarów, ja osobiście mam go wyłączonego. Z tym curlem wyszukaj po wzorcach w Google.

 

Jeżeli chcesz dbać o bezpieczeństwo swoich stron - przede wszystkim aktualizuj skrypty, które posiadasz (pewnie masz jakiegoś Wordpressa), korzystaj z jakiegoś parsera logów dla WWW (np. fail2ban - od razu będzie Ci banował, jeżeli zrobisz mu ładne regexy).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Najbezpieczniej - zmienić folder na jakiś, na który nie wpadnie bot (losowe literki bądź subdomena)

 

Ja preferuje nieco lepsze rozwiązanie - schować phpma za basic authem i upewnić się ze fail2ban czy inny podobny daemon czyta logi i odpowiednio reaguje. Jak jakiś bocik znajdzie /phpmyadmin to i tak nie wejdzie, jak spróbuje bruteforce'a to go odetniemy zanim narobi szkody, a tak taki bocik będzie próbował różnych kombinacji niepotrzebnie zajmując zasoby maszyny - lepiej zlokalizować i zabić niż unikać konfrontacji. Poza tym taki basic auth z odpowiednio długim hasłem niczym się nie różni od losowych znaków dostępu do phpma, a dodatkowo potęguje bezpieczeństwo bo jeszcze trzeba prawidłowego loginu. Nawet bez fail2bana przeprawa przez to będzie wymagała ogromnej cierpliwości i jest większa szansa, że zmienisz serwer niż, że bot złamie kombinację loginu + hasła (ale po co marnować zasoby jak można wyciąć po 5 próbach ;)).

Edytowano przez Archi (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×