Gav*_*vin 1 security ubuntu hacking logging ufw
我有一台运行 Ubuntu 10.04LTS 的服务器(我知道它太旧了),在过去的几周里,它有时对网络流量没有响应,并且需要在早上第一件事(办公室开放时的上午 9 点)进行硬重置.
我查看了 kern.log 并注意到了一个模式。
发生这种情况后,通常会有来自传入外部 ip 地址的 UFW 块、CIFS VFS 错误、来自不同 ip 地址的另一个 UFW 块,然后在重新启动之前不会记录任何内容。我不确定这是否意味着服务器崩溃并停止记录,或者日志是否已关闭或清理。
外部 IP 地址每次都不同。
示例日志:
Feb 19 01:46:43 Server1 kernel: [139893.285676] [UFW BLOCK] IN=eth0 OUT= MAC=00:26:b9:2e:79:5c:3c:81:d8:44:41:00:08:00 SRC=50.30.32.186 DST=10.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=107 ID=2976 DF PROTO=TCP SPT=57588 DPT=80 WINDOW=8192 RES=0x00 CWR ECE SYN URGP=0
Feb 19 02:57:20 Server1 kernel: [144130.370015] CIFS VFS: No response for cmd 50 mid 52893
Feb 19 02:57:21 Server1 kernel: [144130.760010] CIFS VFS: No response to cmd 4 mid 52894
Feb 19 02:57:21 Server1 kernel: [144130.760015] CIFS VFS: Send error in Close = -11
Feb 19 03:36:47 Server1 kernel: [146497.272912] [UFW BLOCK] IN=eth0 OUT= MAC=00:26:b9:2e:79:5c:3c:81:d8:44:41:00:08:00 SRC=86.108.49.79 DST=10.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=109 ID=29914 DF PROTO=TCP SPT=65452 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Feb 19 09:00:56 Server1 kernel: [165946.155435] [UFW BLOCK] IN=eth0 OUT= MAC=00:26:b9:2e:79:5c:00:21:9b:29:91:aa:08:00 SRC=169.254.164.54 DST=10.0.0.1 LEN=89 TOS=0x00 PREC=0x00 TTL=255 ID=24 PROTO=UDP SPT=64676 DPT=53 LEN=69
这看起来像是企图/成功的攻击,还是服务器本身的问题?
更新
看起来普遍的共识是这不是攻击而是错误。当我专注于安全漏洞时,我忽略了今天早上提到的这一点,重新启动服务器并没有解决所有问题,我需要进行更多故障排除。在此期间,我将服务器插入交换机上的另一个端口,不久之后一切正常。刚刚再次测试了端口,它似乎已经死了。这会导致停止记录到 kern.log 的原因和错误吗?