主页 / server / 问题

问题[ufw](server)

Martin Hope
Sandeep Kumar
Asked: 2024-02-01 13:13:57 +0800 CST
  • 5

我刚刚注意到我的 ubuntu 服务器 22.04 中大量随机请求被 UFW 阻止

9:34 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=193.254.3.18 DST=[MY_SERVER_LOCAL_IP] LEN=60 TOS=0x00 PREC=0x00 TTL=51 ID=56991 DF PROTO=TCP SPT=53380 DPT=22 WINDOW=29200 RES=0x00 SYN URGP=0 kernel
9:34 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=66.175.220.229 DST=[MY_SERVER_LOCAL_IP] LEN=40 TOS=0x00 PREC=0x00 TTL=241 ID=30851 PROTO=TCP SPT=51982 DPT=7707 WINDOW=1024 RES=0x00 SYN URGP=0    kernel
9:34 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=66.175.220.229 DST=[MY_SERVER_LOCAL_IP] LEN=40 TOS=0x00 PREC=0x00 TTL=242 ID=45967 PROTO=TCP SPT=51982 DPT=7382 WINDOW=1024 RES=0x00 SYN URGP=0    kernel
9:33 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=198.235.24.92 DST=[MY_SERVER_LOCAL_IP] LEN=44 TOS=0x00 PREC=0x60 TTL=250 ID=54321 PROTO=TCP SPT=50707 DPT=20000 WINDOW=65535 RES=0x00 SYN URGP=0   kernel
9:33 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=167.94.138.138 DST=[MY_SERVER_LOCAL_IP] LEN=44 TOS=0x00 PREC=0x00 TTL=43 ID=28554 PROTO=TCP SPT=40419 DPT=1200 WINDOW=1024 RES=0x00 SYN URGP=0 kernel
9:33 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=27.121.102.61 DST=[MY_SERVER_LOCAL_IP] LEN=52 TOS=0x02 PREC=0x00 TTL=118 ID=7739 DF PROTO=TCP SPT=51796 DPT=3306 WINDOW=8192 RES=0x00 CWR ECE SYN URGP=0   kernel
9:32 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=94.102.61.35 DST=[MY_SERVER_LOCAL_IP] LEN=166 TOS=0x00 PREC=0x00 TTL=247 ID=54321 PROTO=UDP SPT=42600 DPT=49155 LEN=146    kernel
9:32 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=65.49.1.74 DST=[MY_SERVER_LOCAL_IP] LEN=29 TOS=0x00 PREC=0x00 TTL=56 ID=55861 DF PROTO=UDP SPT=47489 DPT=19 LEN=9  kernel
9:32 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=146.88.241.199 DST=[MY_SERVER_LOCAL_IP] LEN=84 TOS=0x08 PREC=0x40 TTL=242 ID=54321 PROTO=UDP SPT=1701 DPT=1701 LEN=64  kernel
9:31 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=112.37.142.191 DST=[MY_SERVER_LOCAL_IP] LEN=32 TOS=0x00 PREC=0x00 TTL=46 ID=0 DF PROTO=UDP SPT=10758 DPT=123 LEN=12    kernel
9:31 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=14.225.67.147 DST=[MY_SERVER_LOCAL_IP] LEN=40 TOS=0x00 PREC=0x00 TTL=245 ID=60161 PROTO=TCP SPT=59527 DPT=51389 WINDOW=1024 RES=0x00 SYN URGP=0    kernel
9:31 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=173.230.140.35 DST=[MY_SERVER_LOCAL_IP] LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=25347 PROTO=TCP SPT=51934 DPT=5743 WINDOW=1024 RES=0x00 SYN URGP=0    kernel
9:30 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=35.203.211.190 DST=[MY_SERVER_LOCAL_IP] LEN=44 TOS=0x00 PREC=0x60 TTL=250 ID=54321 PROTO=TCP SPT=50268 DPT=9642 WINDOW=65535 RES=0x00 SYN URGP=0   kernel
9:30 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=220.126.92.34 DST=[MY_SERVER_LOCAL_IP] LEN=40 TOS=0x00 PREC=0x00 TTL=53 ID=6162 PROTO=TCP SPT=5460 DPT=37215 WINDOW=12660 RES=0x00 SYN URGP=0  kernel
9:30 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=162.142.125.254 DST=[MY_SERVER_LOCAL_IP] LEN=44 TOS=0x00 PREC=0x00 TTL=41 ID=65319 PROTO=TCP SPT=6973 DPT=7112 WINDOW=1024 RES=0x00 SYN URGP=0 kernel
9:29 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=222.110.11.183 DST=[MY_SERVER_LOCAL_IP] LEN=32 TOS=0x00 PREC=0x00 TTL=53 ID=0 DF PROTO=UDP SPT=123 DPT=123 LEN=12  kernel
9:29 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=103.254.71.236 DST=[MY_SERVER_LOCAL_IP] LEN=40 TOS=0x00 PREC=0x00 TTL=235 ID=36298 PROTO=TCP SPT=56453 DPT=59206 WINDOW=1024 RES=0x00 SYN URGP=0   kernel
9:29 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=79.124.62.130 DST=[MY_SERVER_LOCAL_IP] LEN=40 TOS=0x00 PREC=0xE0 TTL=246 ID=1337 PROTO=TCP SPT=57174 DPT=50349 WINDOW=1024 RES=0x00 SYN URGP=0 kernel
9:28 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=162.216.150.7 DST=[MY_SERVER_LOCAL_IP] LEN=44 TOS=0x18 PREC=0xA0 TTL=59 ID=52322 PROTO=TCP SPT=52909 DPT=1023 WINDOW=1024 RES=0x00 SYN URGP=0  kernel
9:28 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=35.203.211.130 DST=[MY_SERVER_LOCAL_IP] LEN=44 TOS=0x18 PREC=0xA0 TTL=59 ID=51060 PROTO=TCP SPT=56494 DPT=14025 WINDOW=1024 RES=0x00 SYN URGP=0    kernel
9:28 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=125.142.6.219 DST=[MY_SERVER_LOCAL_IP] LEN=32 TOS=0x00 PREC=0x00 TTL=53 ID=0 DF PROTO=UDP SPT=123 DPT=123 LEN=12   kernel
9:27 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=91.191.209.198 DST=[MY_SERVER_LOCAL_IP] LEN=40 TOS=0x00 PREC=0xE0 TTL=247 ID=53471 PROTO=TCP SPT=41936 DPT=3981 WINDOW=1024 RES=0x00 SYN URGP=0    kernel
9:27 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=167.94.138.138 DST=[MY_SERVER_LOCAL_IP] LEN=44 TOS=0x00 PREC=0x00 TTL=43 ID=13258 PROTO=TCP SPT=53397 DPT=102 WINDOW=1024 RES=0x00 SYN URGP=0  kernel
9:27 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=146.88.241.44 DST=[MY_SERVER_LOCAL_IP] LEN=53 TOS=0x08 PREC=0x40 TTL=242 ID=54321 PROTO=UDP SPT=43322 DPT=27017 LEN=33 kernel
9:26 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=5.252.195.36 DST=[MY_SERVER_LOCAL_IP] LEN=60 TOS=0x00 PREC=0xE0 TTL=56 ID=22080 DF PROTO=TCP SPT=46672 DPT=22 WINDOW=64240 RES=0x00 SYN URGP=0 kernel
9:26 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=45.128.232.212 DST=[MY_SERVER_LOCAL_IP] LEN=40 TOS=0x00 PREC=0xE0 TTL=247 ID=54321 PROTO=TCP SPT=38716 DPT=8080 WINDOW=65535 RES=0x00 SYN URGP=0   kernel
9:26 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=211.114.69.184 DST=[MY_SERVER_LOCAL_IP] LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=58836 PROTO=TCP SPT=16329 DPT=37215 WINDOW=4833 RES=0x00 SYN URGP=0    kernel
9:25 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=148.245.128.156 DST=[MY_SERVER_LOCAL_IP] LEN=60 TOS=0x08 PREC=0x20 TTL=44 ID=56354 DF PROTO=TCP SPT=42167 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0   kernel
9:25 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=107.170.254.26 DST=[MY_SERVER_LOCAL_IP] LEN=40 TOS=0x00 PREC=0x00 TTL=241 ID=54321 PROTO=TCP SPT=41797 DPT=53 WINDOW=65535 RES=0x00 SYN URGP=0 kernel
9:25 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=169.197.150.7 DST=[MY_SERVER_LOCAL_IP] LEN=514 TOS=0x08 PREC=0x20 TTL=51 ID=40048 DF PROTO=TCP SPT=443 DPT=55724 WINDOW=11 RES=0x00 ACK PSH FIN URGP=0 kernel
9:25 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=169.197.150.7 DST=[MY_SERVER_LOCAL_IP] LEN=142 TOS=0x08 PREC=0x20 TTL=51 ID=29710 DF PROTO=TCP SPT=443 DPT=55684 WINDOW=11 RES=0x00 ACK PSH FIN URGP=0 kernel
9:25 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=169.197.150.7 DST=[MY_SERVER_LOCAL_IP] LEN=514 TOS=0x08 PREC=0x20 TTL=51 ID=40047 DF PROTO=TCP SPT=443 DPT=55724 WINDOW=11 RES=0x00 ACK PSH FIN URGP=0 kernel
9:25 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=169.197.150.7 DST=[MY_SERVER_LOCAL_IP] LEN=142 TOS=0x08 PREC=0x20 TTL=51 ID=29709 DF PROTO=TCP SPT=443 DPT=55684 WINDOW=11 RES=0x00 ACK PSH FIN URGP=0 kernel
9:25 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=169.197.150.7 DST=[MY_SERVER_LOCAL_IP] LEN=103 TOS=0x08 PREC=0x20 TTL=51 ID=29708 DF PROTO=TCP SPT=443 DPT=55684 WINDOW=11 RES=0x00 ACK PSH FIN URGP=0 kernel
9:25 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=169.197.150.7 DST=[MY_SERVER_LOCAL_IP] LEN=514 TOS=0x08 PREC=0x20 TTL=51 ID=40042 DF PROTO=TCP SPT=443 DPT=55724 WINDOW=11 RES=0x00 ACK PSH URGP=0 kernel
9:24 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=103.147.13.154 DST=[MY_SERVER_LOCAL_IP] LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=2502 PROTO=TCP SPT=56556 DPT=58263 WINDOW=1024 RES=0x00 SYN URGP=0    kernel
9:24 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=91.92.246.221 DST=[MY_SERVER_LOCAL_IP] LEN=40 TOS=0x00 PREC=0x00 TTL=245 ID=54321 PROTO=TCP SPT=40648 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0  kernel
9:24 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=103.248.123.164 DST=[MY_SERVER_LOCAL_IP] LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=33488 DF PROTO=TCP SPT=62458 DPT=7680 WINDOW=64240 RES=0x00 SYN URGP=0   kernel
9:23 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=104.26.9.145 DST=[MY_SERVER_LOCAL_IP] LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=20558 DF PROTO=TCP SPT=443 DPT=58691 WINDOW=8 RES=0x00 ACK FIN URGP=0    kernel
9:23 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=50.116.18.173 DST=[MY_SERVER_LOCAL_IP] LEN=40 TOS=0x00 PREC=0x00 TTL=239 ID=44438 PROTO=TCP SPT=52052 DPT=8752 WINDOW=1024 RES=0x00 SYN URGP=0 kernel
9:23 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=218.159.32.73 DST=[MY_SERVER_LOCAL_IP] LEN=40 TOS=0x00 PREC=0x00 TTL=53 ID=840 PROTO=TCP SPT=52967 DPT=37215 WINDOW=41607 RES=0x00 SYN URGP=0  kernel
9:23 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=8.18.47.7 DST=[MY_SERVER_LOCAL_IP] LEN=142 TOS=0x08 PREC=0x20 TTL=51 ID=41799 DF PROTO=TCP SPT=443 DPT=4551 WINDOW=11 RES=0x00 ACK PSH FIN URGP=0  kernel
9:23 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=104.22.55.232 DST=[MY_SERVER_LOCAL_IP] LEN=79 TOS=0x00 PREC=0x00 TTL=58 ID=7223 DF PROTO=TCP SPT=443 DPT=57935 WINDOW=8 RES=0x00 ACK PSH FIN URGP=0    kernel
9:23 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=104.22.55.232 DST=[MY_SERVER_LOCAL_IP] LEN=79 TOS=0x00 PREC=0x00 TTL=58 ID=7222 DF PROTO=TCP SPT=443 DPT=57935 WINDOW=8 RES=0x00 ACK PSH FIN URGP=0    kernel
9:23 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=104.22.55.232 DST=[MY_SERVER_LOCAL_IP] LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=7221 DF PROTO=TCP SPT=443 DPT=57935 WINDOW=8 RES=0x00 ACK FIN URGP=0    kernel
9:23 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=104.22.55.232 DST=[MY_SERVER_LOCAL_IP] LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=7220 DF PROTO=TCP SPT=443 DPT=57935 WINDOW=8 RES=0x00 ACK FIN URGP=0    kernel
9:23 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=104.22.51.98 DST=[MY_SERVER_LOCAL_IP] LEN=79 TOS=0x00 PREC=0x00 TTL=58 ID=33630 DF PROTO=TCP SPT=443 DPT=4305 WINDOW=8 RES=0x00 ACK PSH FIN URGP=0 kernel
9:23 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=104.22.51.98 DST=[MY_SERVER_LOCAL_IP] LEN=79 TOS=0x00 PREC=0x00 TTL=58 ID=33629 DF PROTO=TCP SPT=443 DPT=4305 WINDOW=8 RES=0x00 ACK PSH FIN URGP=0 kernel
9:23 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=104.22.51.98 DST=[MY_SERVER_LOCAL_IP] LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=33628 DF PROTO=TCP SPT=443 DPT=4305 WINDOW=8 RES=0x00 ACK FIN URGP=0 kernel
9:23 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=104.22.51.98 DST=[MY_SERVER_LOCAL_IP] LEN=40 TOS=0x00 PREC=0x00 TTL=58 ID=33627 DF PROTO=TCP SPT=443 DPT=4305 WINDOW=8 RES=0x00 ACK FIN URGP=0 kernel
9:23 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=8.18.47.7 DST=[MY_SERVER_LOCAL_IP] LEN=142 TOS=0x08 PREC=0x20 TTL=51 ID=41798 DF PROTO=TCP SPT=443 DPT=4551 WINDOW=11 RES=0x00 ACK PSH FIN URGP=0  kernel
9:23 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=199.45.155.16 DST=[MY_SERVER_LOCAL_IP] LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=51357 DF PROTO=TCP SPT=55214 DPT=3306 WINDOW=42340 RES=0x00 SYN URGP=0  kernel
9:23 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=8.18.47.7 DST=[MY_SERVER_LOCAL_IP] LEN=142 TOS=0x08 PREC=0x20 TTL=51 ID=41797 DF PROTO=TCP SPT=443 DPT=4551 WINDOW=11 RES=0x00 ACK PSH FIN URGP=0  kernel
9:22 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=79.124.56.186 DST=[MY_SERVER_LOCAL_IP] LEN=44 TOS=0x00 PREC=0xE0 TTL=247 ID=63928 PROTO=TCP SPT=50255 DPT=7865 WINDOW=1025 RES=0x00 SYN URGP=0 kernel
9:22 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=79.124.56.186 DST=[MY_SERVER_LOCAL_IP] LEN=44 TOS=0x00 PREC=0xE0 TTL=247 ID=62166 PROTO=TCP SPT=50239 DPT=2665 WINDOW=1025 RES=0x00 SYN URGP=0 kernel
9:22 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=79.124.56.186 DST=[MY_SERVER_LOCAL_IP] LEN=44 TOS=0x00 PREC=0xE0 TTL=247 ID=62867 PROTO=TCP SPT=50239 DPT=9213 WINDOW=1025 RES=0x00 SYN URGP=0 kernel
9:21 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=15.235.196.36 DST=[MY_SERVER_LOCAL_IP] LEN=105 TOS=0x00 PREC=0x00 TTL=53 ID=29418 DF PROTO=UDP SPT=443 DPT=50852 LEN=85    kernel
9:21 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=172.233.142.191 DST=[MY_SERVER_LOCAL_IP] LEN=40 TOS=0x00 PREC=0x00 TTL=242 ID=40311 PROTO=TCP SPT=52062 DPT=9683 WINDOW=1024 RES=0x00 SYN URGP=0   kernel
9:21 AM [UFW BLOCK] IN=eno1 OUT= MAC=[MY_SERVER_MAC_ADDRESS] SRC=71.6.146.186 DST=[MY_SERVER_LOCAL_IP] LEN=44 TOS=0x08 PREC=0x20 TTL=118 ID=8270 PROTO=TCP SPT=29011 DPT=5900 WINDOW=6847 RES=0x00 SYN URGP=0   kernel

当用谷歌搜索它时,发现该帖子提到仅来自同一 IP 的重复请求,但这些请求具有不同的 IP 和端口。

自过去几个月以来,我刚刚开始使用我的 Ubuntu 服务器 22.04,所以不太了解这里实际发生的情况。任何帮助将不胜感激。

  • 这些来自随机机器人的请求是否会攻击我的服务器?
  • 我的下一步应该是什么?
ufw
Martin Hope
Chiwda
Asked: 2022-02-14 04:05:30 +0800 CST
  • 0

我在 Debian 上运行 Apache。

以下是我的 apache 错误日志中的条目示例。问题 1:服务器是否受到攻击(我每小时看到大约 30-40 个此类条目)。我假设这些是对我的服务器的攻击或至少是对我的服务器的探测。

[Sun Feb 13 16:37:54.013622 2022] [:error] [pid 16071] [client 106.193.114.87:19356] PHP 注意:未定义的变量:/var/www/example.com/page-sidebar-both 中的 error_msg。 php 在第 57 行,引用者:https ://example.com/podbanks/abresult.php?ab=ab18&lg=English

[Sun Feb 13 16:38:01.289976 2022] [:error] [pid 16109] [client 106.193.114.87:19358] PHP 注意:未定义的变量:result_msg in /var/www/example.com/abc/defg.php on第 210 行,引用者:https ://example.com/result.php?ab=ab18&lg=English

[Sun Feb 13 16:38:01.290048 2022] [:error] [pid 16109] [client 103.77.154.37:1842] PHP 注意:未定义变量:/var/www/example.com/pods/dashboard.php 中的状态第 210 行,引用者: https ://example.com/result.php?ab=AB18&lg=English

[Sun Feb 13 16:38:26.788827 2022] [:error] [pid 15961] [client 54.90.210.118:36104] PHP 注意:未定义变量:BaseURL in /var/www/example.com/biz.php on line 63

(页面和变量是有效的,但端口号很奇怪)。

问题 2:如果这些是攻击,我可以用 UFW 阻止它们吗?我目前有:

To                         Action      From
--                         ------      ----
WWW Full                   ALLOW       Anywhere
3306                       ALLOW       Anywhere
22                         ALLOW       Anywhere
8081                       ALLOW       Anywhere
1185                       ALLOW       Anywhere
WWW Full (v6)              ALLOW       Anywhere (v6)
3306 (v6)                  ALLOW       Anywhere (v6)
22 (v6)                    ALLOW       Anywhere (v6)
8081 (v6)                  ALLOW       Anywhere (v6)
1185 (v6)                  ALLOW       Anywhere (v6)

8081                       ALLOW OUT   Anywhere
8081 (v6)                  ALLOW OUT   Anywhere (v6)

考虑到上述情况,以下这些步骤是否有效且完整?

ufw disable
ufw default deny incoming
ufw default allow outgoing
ufw allow OpenSSH
ufw allow WWW Full
ufw allow 1185
ufw allow 3306
ufw enable

(第 1 行是为了确保我不会被锁定 - 我正在使用 PuTTY)

问题3:如果只在本地使用MySQL,真的需要开启3306吗?我只通过受密码和会话保护的 php 查询来访问数据库。

问题 4:我需要 8081 端口吗?它是由“WWW Full”自动添加的吗?

debian apache-2.4 ufw
Martin Hope
Вукашин Лекић
Asked: 2022-01-31 07:31:47 +0800 CST
  • 0

最近我用 ufw 搞砸了 22 端口,但我仍然有 sftp 的 root 访问权限。我尝试编辑/etc/ufw/ufw.conf和设置ENABLED=no,但即使重新启动后我仍然无法连接。有什么建议吗?我也知道端口 25566 已打开,我可以以某种方式将 ssh 更改为该端口吗?

我也用腻子得到了这个:

错误

更新:我使用端口 2226(sftp 端口)登录 ssh 并禁用了 ufw。我仍然无法使用端口 22 登录

看起来问题不在 ufw 中,也看起来没有服务在端口 22 上运行,有什么建议吗? 截屏

ftp ssh ufw
Martin Hope
Adam Larsson
Asked: 2022-01-30 06:43:48 +0800 CST
  • 0

我遇到的问题是 fail2ban 没有将被禁止的 IP 添加到 iptables。

这是错误;

2022-01-29 15:13:48,499 fail2ban.actions        [2608]: NOTICE  [man] Restore Ban 212.192.246.26
2022-01-29 15:13:48,513 fail2ban.utils          [2608]: ERROR   7f9281692660 -- exec: iptables -w -N f2b-man
iptables -w -A f2b-man -j RETURN
iptables -w -I INPUT -p tcp -m multiport --dports all -j f2b-man
2022-01-29 15:13:48,514 fail2ban.utils          [2608]: ERROR   7f9281692660 -- stderr: 'iptables: Chain already exists.'
2022-01-29 15:13:48,514 fail2ban.utils          [2608]: ERROR   7f9281692660 -- stderr: "iptables v1.8.4 (legacy): invalid port/service `all' specified"
2022-01-29 15:13:48,514 fail2ban.utils          [2608]: ERROR   7f9281692660 -- stderr: "Try `iptables -h' or 'iptables --help' for more information."
2022-01-29 15:13:48,514 fail2ban.utils          [2608]: ERROR   7f9281692660 -- returned 2
2022-01-29 15:13:48,514 fail2ban.actions        [2608]: ERROR   Failed to execute ban jail 'man' action 'iptables-multiport' info 'ActionInfo({'ip': '212.192.246.26', 'family': 'inet4', 'fid': <function Actions.ActionInfo.<lambda> at 0x7f9280d62e50>, 'raw-ticket': <function Actions.ActionInfo.<lambda> at 0x7f9280d63550>})': Error starting action Jail('man')/iptables-multiport: 'Script error'

所以 iptables 不喜欢;

iptables -w -I INPUT -p tcp -m multiport --dports all -j f2b-man

--dport all 显然是问题所在,所以我的问题是为什么?为什么fail2ban会给出错误的命令,以及如何纠正它?

编辑:在没有网络计划的情况下运行 Ubuntu 服务器 20.04.3。

ubuntu iptables fail2ban ufw
Martin Hope
Artur Cichosz
Asked: 2022-01-07 09:19:13 +0800 CST
  • 0

我有两个专用服务器:“web”(YYY.YYY.YYY.YYY)和“monitor”(XXX.XXX.XXX.XXX)。两者都在一个大众主机(hetzner)的同一个网络中。

现在在“网络”上,我运行了 3 个普罗米修斯指标端点:裸机主机上的 docker-engine (9323) 和 neo4j (2004)、telegraf (9273) 作为 docker 容器。两个 docker 容器都将其输出端口正确映射到主机,因此在“web”上执行的以下调用有效:

lynx http://YYY.YYY.YYY.YYY:9323/metrics => OK
lynx http://YYY.YYY.YYY.YYY:9273/metrics => OK
lynx http://YYY.YYY.YYY.YYY:2004/metrics => OK

但是从“监视器”服务器调用这些端点仅适用于熊金属服务 docker-engine (9323)

lynx http://YYY.YYY.YYY.YYY:9323/metrics => OK
lynx http://YYY.YYY.YYY.YYY:9273/metrics => timeout
lynx http://YYY.YYY.YYY.YYY:2004/metrics => timeout

UFW 状态详细信息提供以下内容

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), deny (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
[...]
9323/tcp                   ALLOW IN    XXX.XXX.XXX.XXX
9273/tcp                   ALLOW IN    XXX.XXX.XXX.XXX
2004/tcp                   ALLOW IN    XXX.XXX.XXX.XXX
[...]

这些 IP 没有其他规则,也没有适用于子网、接口等的一般规则。所有其他规则都适用于离散端口,例如 22、80、443 等。

奇怪的是,它在几个小时前就起作用了。与此同时,我在这里对此进行了一些试验https://medium.com/@pitapun_44686/what-is-the-best-practice-of-docker-ufw-under-ubuntu-69e11c826b31并将以下块附加到/etc/ufw/after.rules 的最后

*filter
:ufw-user-forward - [0:0]
:DOCKER-USER - [0:0]
-A DOCKER-USER -j RETURN -s 10.0.0.0/8
-A DOCKER-USER -j RETURN -s 172.16.0.0/12
-A DOCKER-USER -j RETURN -s 192.168.0.0/16
-A DOCKER-USER -j ufw-user-forward
-A DOCKER-USER -j DROP -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 192.168.0.0/16
-A DOCKER-USER -j DROP -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 10.0.0.0/8
-A DOCKER-USER -j DROP -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 172.16.0.0/12
-A DOCKER-USER -j DROP -p udp -m udp --dport 0:32767 -d 192.168.0.0/16
-A DOCKER-USER -j DROP -p udp -m udp --dport 0:32767 -d 10.0.0.0/8
-A DOCKER-USER -j DROP -p udp -m udp --dport 0:32767 -d 172.16.0.0/12
-A DOCKER-USER -j RETURN
COMMIT

现在我将其注释掉并重新启动了ufw。那些端口 9273 和 2004 仍然无法访问,所以这不是原因。

我将 ufw 日志级别配置为高,但我看不到任何连接 attepmtps 或从主机 XXX.XXX.XXX.XXX 丢弃的数据包。

尝试 telnet 进入一个工作端口(telnet YYY.YYY.YYY.YYY 9323)我可以在 ufw 日志中看到通信,但对于其他两个端口则看不到。

[UFW AUDIT] SRC=XXX.XXX.XXX.XXX DST=YYY.YYY.YYY.YYY DPT=9323 =>
[UFW AUDIT] SRC=YYY.YYY.YYY.YYY DST=XXX.XXX.XXX.XXX SPT=9323

我使用 ansible "ufw" 模块配置了 ufw。

还有什么其他原因?到底是怎么回事?:-)

由于“可疑”活动(频繁通信),主机网络是否会在这些服务器之间施加某种过滤器?它也发生了,我今天在 YYY.YYY.YYY.YYY 上从 XXX.XXX.XXX.XXX 到端口 80/443 运行了一些过多的 artillery.io 测试,但是这个假设并不能解释为什么只有这两个端口不起作用了。

最终测试,在 YYY.YYY.YYY.YYY 上关闭 ufw 也没有帮助。端口 9273 和 2004 不可访问,9323 可访问。

这是iptables -L -v -n https://pastebin.com/HWeJGXb9的输出

debian docker docker-compose ufw
Martin Hope
Adam Larsson
Asked: 2022-01-06 03:42:04 +0800 CST
  • 0

假设我想在 tun0 接口端口 443 上允许我自己的外部 IP。

为什么不

sudo ufw allow from 217.xxx.xxx.xxx proto tcp to tun0 port 443

工作(也不是在 tun0 上)

sudo ufw allow from 217.xxx.xxx.xxx proto tcp to any port 443

作品?

所有其他答案(在本网站上)都允许任何,我不希望这样。

firewall linux ubuntu ufw
Martin Hope
F. E.
Asked: 2021-10-16 03:54:23 +0800 CST
  • 0

我在虚拟服务器(Ubuntu 20.4)Dokuwiki(2020-07-29 “Hogfather”)上安装了 SMTP 插件(最后更新于 2020-11-21)。我的页面使用 certbot 进行了 HTTPS 加密。

我想将 dokuwiki 的 SMTP 插件与我的提供商的现有邮件服务器一起使用。我填写了必要的凭据:用户名、SMTP 服务器地址、端口 465 和 SSL。

我从启用了 UFW 的 dokuwiki 收到此调试消息:

与 SMTP 通信时出现意外问题:无法打开 SMTP 端口。SMTP 日志:

设置:服务器设置:身份验证设置:将发送一条消息连接到 mysmtp.mailout.server.de 在 465

当我停用 UFW (sudo ufw disable) 时,dokuwiki 会发送电子邮件。

所以我认为我的UFW规则太严格了:

sudo ufw 状态编号

结果是:

状态:活跃

 To Action From
 - ------ ----
[1] OpenSSH ALLOW IN Anywhere
[2] Apache Full ALLOW IN Anywhere
[3] 21 / tcp ALLOW IN Anywhere

我忘记了什么或不明白什么?

smtp ufw
Martin Hope
Tinstar
Asked: 2021-08-01 11:16:48 +0800 CST
  • 0

我今天早上重新启动了我的 Ubuntu 服务器,因为我遇到了似乎是内存不足的错误(偶尔会发生,还不足以尝试修复它)。但是现在,我的网站(以前运行良好)不再可以从浏览器访问。

设置:我正在运行一个 NuxtJS 站点,使用 pm2 来守护它,并使用 nginx 作为反向代理。我有一个 post-receive git 挂钩,这样我就可以推送到我的远程 git repo,然后重建应用程序并重新启动 pm2 实例。

我只能从服务器内部的终端窗口内访问我的站点。Lynx、wget 和 cURL 都可以工作,甚至可以遵循 301 重定向到 HTTPS。当我请求域本身时,它们正在工作,而不仅仅是被反向代理的 localhost:3000。如,curl https://my-domain.org工作。如果我尝试从任何其他终端窗口卷曲/lynx/etc,它只会等到超时。与浏览器相同 - 等待超时。

以下是我尝试/查看的内容:

  • 我正在使用 UFW,所以我检查了防火墙是否是问题所在。但是 80、443 和 8080 都设置为 ALLOW。
  • 我尝试查看是否 nginx 没有以某种方式在听,所以我尝试了sudo lsof -i -P -n | grep LISTEN. 这是它的输出:
nginx     2896     root    6u  IPv4 668673557      0t0  TCP *:443 (LISTEN)
nginx     2896     root    7u  IPv4 668673558      0t0  TCP *:80 (LISTEN)
nginx     2897 www-data    6u  IPv4 668673557      0t0  TCP *:443 (LISTEN)
nginx     2897 www-data    7u  IPv4 668673558      0t0  TCP *:80 (LISTEN)
nginx     2898 www-data    6u  IPv4 668673557      0t0  TCP *:443 (LISTEN)
nginx     2898 www-data    7u  IPv4 668673558      0t0  TCP *:80 (LISTEN)
  • 我尝试检查 nginx 的 access.log。我所有的 curl/wget/Lynx 请求都正常显示,但没有一个浏览器请求出现。我还查看了error.log,得到了这个:
2021/07/31 11:51:52 [emerg] 885#885: bind() to 0.0.0.0:443 failed (98: Address already in use)
2021/07/31 11:51:52 [emerg] 885#885: bind() to 0.0.0.0:80 failed (98: Address already in use)
2021/07/31 11:51:52 [emerg] 885#885: bind() to 0.0.0.0:443 failed (98: Address already in use)
2021/07/31 11:51:52 [emerg] 885#885: bind() to 0.0.0.0:80 failed (98: Address already in use)
2021/07/31 11:51:52 [emerg] 885#885: still could not bind()

到目前为止,我还没有找到任何解决方案。我只是感到困惑,因为无论发生什么变化,它都因重新启动而改变。任何想法都非常感谢。

编辑添加一些输出:

sudo systemctl status nginx

● nginx.service - A high performance web server and a reverse proxy server
   Loaded: loaded (/lib/systemd/system/nginx.service; enabled; vendor preset: enabled)
   Active: active (running) since Sat 2021-07-31 15:05:53 EDT; 27min ago
  Process: 6834 ExecStop=/sbin/start-stop-daemon --quiet --stop --retry QUIT/5 --pidfile /run/nginx.pid (code=exited, status
  Process: 6840 ExecStart=/usr/sbin/nginx -g daemon on; master_process on; (code=exited, status=0/SUCCESS)
  Process: 6837 ExecStartPre=/usr/sbin/nginx -t -q -g daemon on; master_process on; (code=exited, status=0/SUCCESS)
 Main PID: 6841 (nginx)
   CGroup: /system.slice/nginx.service
           ├─6841 nginx: master process /usr/sbin/nginx -g daemon on; master_process on
           ├─6842 nginx: worker process                           
           └─6843 nginx: worker process                           

Jul 31 15:05:53 parrot systemd[1]: Starting A high performance web server and a reverse proxy server...
Jul 31 15:05:53 parrot systemd[1]: Started A high performance web server and a reverse proxy server.

的输出sudo nginx -T很长,所以我把它作为一个要点

nginx ufw pm2
Martin Hope
Yohan W. Dunon
Asked: 2021-06-25 06:58:19 +0800 CST
  • 1

我正在尝试使用以下配置fail2ban和.ufwufw.conf/etc/fail2ban/action.d

监狱配置

[app-custom]
enabled = true
maxretry = 1
journalmatch =
backend = polling
logpath = %(log_path)s
findtime = 120
bantime = -1
banaction = ufw[application=$(app), blocktype=reject]

ufw 配置

actionstart =

actionstop =

actioncheck =

actionban = [ -n "<application>" ] && app="app <application>"
            ufw insert <insertpos> <blocktype> from <ip> to <destination> $app

actionunban = [ -n "<application>" ] && app="app <application>"
              ufw delete <blocktype> from <ip> to <destination> $app

[Init]
# Option: insertpos
# Notes.:  The position number in the firewall list to insert the block rule
insertpos = 1

# Option: blocktype
# Notes.: reject or deny
blocktype = reject

# Option: destination
# Notes.: The destination address to block in the ufw rule
destination = any

# Option: application
# Notes.: application from sudo ufw app list
application =

# DEV NOTES:
# 
# Author: Guilhem Lettron
# Enhancements: Daniel Black

目前,一切都已正确设置,因为我收到了有关禁止 IP 的 fail2ban 通知,但我在ufw status.

如何fail2ban正确ufw阻止 IP 地址?

谢谢

ubuntu-20.04 fail2ban ufw