Hallo,
Immer wieder gibt es massenhaft diese Einträge in kern.log, messages und syslog. Dann stoppt es wieder und geht aber einige Zeit später wieder los.
Feb 8 16:04:51 x kernel: [1897347.768354] Shorewall:net-fw:DROP:IN=eth0 OUT= MAC=03:15:15:9e:47:80:50:87:89:08:65:9d:15:00 SRC="" DST=180.123.140.130 LEN=36 TOS=0x00 PREC=0x00 TTL=244 ID=29193 PROTO=UDP SPT=38898 DPT=123 LEN=16
Feb 9 06:25:05 x kernel: [1948961.127239] Shorewall:net-fw:DROP:IN=eth0 OUT= MAC=03:15:15:9e:47:80:50:87:89:08:65:9d:15:00 SRC="" DST=180.123.140.130 LEN=36 TOS=0x00 PREC=0x00 TTL=244 ID=34742 PROTO=UDP SPT=11622 DPT=123 LEN=16
Feb 9 06:25:05 x kernel: [1948961.136888] Shorewall:net-fw:DROP:IN=eth0 OUT= MAC=03:15:15:9e:47:80:50:87:89:08:65:9d:15:00 SRC="" DST=180.123.140.130 LEN=36 TOS=0x00 PREC=0x00 TTL=244 ID=4875 PROTO=UDP SPT=7201 DPT=123 LEN=16
Feb 9 06:25:05 x kernel: [1948961.136904] Shorewall:net-fw:DROP:IN=eth0 OUT= MAC=03:15:15:9e:47:80:50:87:89:08:65:9d:15:00 SRC="" DST=180.123.140.130 LEN=36 TOS=0x00 PREC=0x00 TTL=244 ID=28067 PROTO=UDP SPT=7201 DPT=123 LEN=16
Feb 9 06:25:05 x kernel: [1948961.139137] Shorewall:net-fw:DROP:IN=eth0 OUT= MAC=03:15:15:9e:47:80:50:87:89:08:65:9d:15:00 SRC="" DST=180.123.140.130 LEN=36 TOS=0x00 PREC=0x00 TTL=244 ID=21418 PROTO=UDP SPT=53119 DPT=123 LEN=16
Feb 9 06:25:05 x kernel: [1948961.139148] Shorewall:net-fw:DROP:IN=eth0 OUT= MAC=03:15:15:9e:47:80:50:87:89:08:65:9d:15:00 SRC="" DST=180.123.140.130 LEN=36 TOS=0x00 PREC=0x00 TTL=244 ID=47537 PROTO=UDP SPT=53119 DPT=123 LEN=16
Es ist auch immer UDP und Port 123 (NTP). Sogar die LEN ist immer gleich. Die IP ändert sich aber bei jeder Attacke.
Eigentlich muss ich mir ja keine Sorgen machen, weil die shorewall alles dropped, oder? (Wegen den NTP Angriffen habe ich schon "disable monitor" in /etc/ntp.conf konfiguriert um dieses Sicherheitproblem auszuschließen: https://wiki.univie.ac.at/display/CERT/Tag+Vuln.ntpd_monlist )
Das Problem ist aber, dass die Logs kern.log, messages und syslog GB-Größe erreichen. Mein /var/log ist auf 10GB insgesamt begrenzt. Wie kann ich dem Logging beibringen, dass es weniger mitloggt? (Ist das der richtige Weg?) In /etc/shorewall/policy habe ich schon von "info" auf "warning" das log level hochgesetzt, aber ohne Erfolg.
lg, birgit
12:42:26 # cat /etc/shorewall/policy
#
# Shorewall version 4 - Policy File
#
# For information about entries in this file, type "man shorewall-policy"
#
# The manpage is also online at
#
###############################################################################
#SOURCE DEST POLICY LOG LIMIT: CONNLIMIT:
# LEVEL BURST MASK
#sollte eventuell geschlossen werden, denn wozu soll fw überall hindürfen?
$FW all ACCEPT
lan all DROP info
net all DROP warning
#muss am Ende stehen
all all REJECT info
12:43:11 # cat /etc/shorewall/rules
#
# Shorewall version 4 - Rules File
#
# For information on the settings in this file, type "man shorewall-rules"
#
# The manpage is also online at
#
######################################################################################################################################################################################################
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/ MARK CONNLIMIT TIME HEADERS SWITCH HELPER
# PORT PORT(S) DEST LIMIT GROUP
?SECTION ALL
?SECTION ESTABLISHED
?SECTION RELATED
?SECTION INVALID
?SECTION UNTRACKED
?SECTION NEW
Invalid(DROP) net $FW tcp
Invalid(DROP) net $FW udp
Ping(ACCEPT) lan $FW
#SMB(ACCEPT) lan $FW
ActiveDir(ACCEPT) lan $FW
DNS(ACCEPT) lan $FW
ACCEPT lan $FW tcp 1024
|