У меня есть VPS, и каждый день я получаю очень переполненные Logwatch.
Я не эксперт по Debian, поэтому не знаю, нормально ли это и мне следует беспокоиться.
Есть мнения?
################### Logwatch 7.4.0 (03/01/11) ####################
Processing Initiated: Wed Apr 15 06:25:28 2020
Date Range Processed: yesterday
( 2020-Apr-14 )
Period is day.
Detail Level of Output: 0
Type of Output/Format: mail / text
Logfiles for Host: ***.***.**
##################################################################
--------------------- fail2ban-messages Begin ------------------------
Banned services with Fail2Ban: Bans:Unbans
ssh: [495:500]
---------------------- fail2ban-messages End -------------------------
--------------------- httpd Begin ------------------------
Connection attempts using mod_proxy:
113.128.105.226 -> www.baidu.com:443: 1 Time(s)
119.118.30.23 -> www.ipip.net:443: 1 Time(s)
223.12.78.165 -> cn.bing.com:443: 1 Time(s)
45.13.93.90 -> ip.ws.126.net:443: 1 Time(s)
A total of 993 sites probed the server
100.18.10.141
101.165.194.135
102.115.161.115
103.214.12.244
103.80.239.154
104.191.118.29
104.192.236.93
106.180.4.213
107.141.74.125
108.17.75.210
108.70.82.189
109.112.38.174
109.116.190.21
109.117.136.112
109.118.88.47
[...]
---------------------- httpd End -------------------------
--------------------- iptables firewall Begin ------------------------
Listed by source hosts:
Logged 4735 packets on interface eth0
From 2.25.218.189 - 16 packets to tcp(443)
From 2.32.62.225 - 8 packets to tcp(443)
From 2.34.179.95 - 4 packets to tcp(443)
From 2.36.160.255 - 4 packets to tcp(443)
From 2.37.140.177 - 1 packet to tcp(443)
From 2.39.41.23 - 10 packets to tcp(443)
From 2.45.1.230 - 3 packets to tcp(443)
From 2.45.152.99 - 2 packets to tcp(443)
From 2.102.45.174 - 2 packets to tcp(443)
From 2.132.43.242 - 1 packet to tcp(80)
From 2.177.207.154 - 1 packet to tcp(443)
From 2.178.237.89 - 1 packet to tcp(80)
From 2.180.124.124 - 1 packet to tcp(22)
From 2.181.21.231 - 3 packets to tcp(80)
From 2.181.67.150 - 3 packets to tcp(22)
From 2.186.1.136 - 2 packets to tcp(80)
From 2.186.43.121 - 1 packet to tcp(443)
[...]
---------------------- iptables firewall End -------------------------
--------------------- pam_unix Begin ------------------------
sshd:
Authentication Failures:
root (222.186.190.17): 180 Time(s)
unknown (78.107.220.5): 82 Time(s)
unknown (139.217.218.255): 48 Time(s)
root (9.213.155.104.bc.googleusercontent.com): 47 Time(s)
root (206.189.164.136): 41 Time(s)
unknown (134.209.228.253): 41 Time(s)
root (125.74.47.230): 38 Time(s)
root (163.172.178.167): 36 Time(s)
root (ns3003413.ip-5-196-75.eu): 36 Time(s)
root (106.12.2.81): 35 Time(s)
root (184.13.240.142): 35 Time(s)
unknown (9.213.155.104.bc.googleusercontent.com): 35 Time(s)
[...]
Invalid Users:
Unknown Account: 2879 Time(s)
---------------------- pam_unix End -------------------------
--------------------- SSHD Begin ------------------------
Illegal users from:
undef: 1441 times
1.53.158.156: 1 time
1.214.156.163: 43 times
2.184.4.3: 46 times
3.133.0.24 (ec2-3-133-0-24.us-east-2.compute.amazonaws.com): 31 times
5.135.94.191 (ip191.ip-5-135-94.eu): 36 times
5.135.181.53 (ns3120718.ip-5-135-181.eu): 27 times
5.147.173.226 (ip-5-147-173-226.unitymediagroup.de): 1 time
[...]
Login attempted when not in AllowUsers list:
backup : 18 Time(s)
bin : 32 Time(s)
daemon : 5 Time(s)
games : 3 Time(s)
irc : 1 Time(s)
list : 1 Time(s)
lp : 1 Time(s)
mail : 2 Time(s)
man : 1 Time(s)
messagebus : 3 Time(s)
mysql : 26 Time(s)
news : 3 Time(s)
nobody : 2 Time(s)
postfix : 1 Time(s)
proxy : 1 Time(s)
root : 4881 Time(s)
sshd : 3 Time(s)
sync : 3 Time(s)
sys : 5 Time(s)
uucp : 3 Time(s)
www-data : 6 Time(s)
---------------------- SSHD End -------------------------
###################### Logwatch End #########################
Это смесь сканирования и атаки (ищите недельные баллы, смотрите, как проверяются обычные имена пользователей / службы). Таким образом проверяется каждый сервер, подключенный к Интернету, и этого невозможно избежать, если предлагаемые вами услуги являются общедоступными.
Это не относится к Debian, это связано со службами на вашем сервере.
Что вы можете сделать - и у вас уже есть для ssh, - это попытаться ограничить количество попыток, которые должны выполняться этим сканированием, прежде чем его заблокируют (fail2ban). Вы также можете проверить, используете ли вы mod_proxy
, поскольку некоторые зонды проверяли, настроен ли у вас открытый прокси (но безуспешно).
Хотя я не вижу ничего тревожного в вашем отчете, вам придется научиться его читать, если случится что-то плохое. Если есть часть, которую вы не понимаете (большая часть не требует пояснений), не стесняйтесь спрашивать.