貌似被人攻击了

小牛开刀

突然发现 /var/log/messages 的大小增长速度很快, tail -f 后, 出现了大量的类似以下格式的 log.

1. Oct  3 12:10:20 WEB01 kernel: type=1400 audit(1380769201.410:19481): avc:  denied  { execute } for  pid=4481 comm="sendmail" path="/usr/local/mysql/lib/libmysqlclient.so.18.0.0" dev=xvda1 ino=909399 scontext=system_u:system_r:system_mail_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:usr_t:s0 tclass=file
   
2. Oct  3 12:10:20 WEB01 kernel: DEFAULT DROP IN=eth1 OUT= MAC=00:16:3e:02:1b:f5:d8:67:d9:70:9b:c1:08:00 SRC=61.142.131.111 DST=121.199.34.190 LEN=78 TOS=0x00 PREC=0x00 TTL=53 ID=23516 PROTO=UDP SPT=62106 DPT=49153 LEN=58
   
3. Oct  3 12:10:20 WEB01 kernel: type=1400 audit(1380769801.446:19482): avc:  denied  { execute } for  pid=4505 comm="sendmail" path="/usr/local/mysql/lib/libmysqlclient.so.18.0.0" dev=xvda1 ino=909399 scontext=system_u:system_r:system_mail_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:usr_t:s0 tclass=file
   
4. Oct  3 12:10:20 WEB01 kernel: DEFAULT DROP IN=eth1 OUT= MAC=00:16:3e:02:1b:f5:d8:67:d9:70:9b:c1:08:00 SRC=60.173.9.196 DST=121.199.34.190 LEN=40 TOS=0x00 PREC=0x00 TTL=110 ID=256 PROTO=TCP SPT=6000 DPT=1998 WINDOW=16384 RES=0x00 SYN URGP=0
   
5. Oct  3 12:10:20 WEB01 kernel: DEFAULT DROP IN=eth1 OUT= MAC=00:16:3e:02:1b:f5:d8:67:d9:70:9b:c1:08:00 SRC=60.173.9.196 DST=121.199.34.190 LEN=40 TOS=0x00 PREC=0x00 TTL=110 ID=256 PROTO=TCP SPT=6000 DPT=18186 WINDOW=16384 RES=0x00 SYN URGP=0
   
6. Oct  3 12:10:20 WEB01 kernel: DEFAULT DROP IN=eth1 OUT= MAC=00:16:3e:02:1b:f5:d8:67:d9:70:9b:c1:08:00 SRC=117.25.128.144 DST=121.199.34.190 LEN=40 TOS=0x00 PREC=0x00 TTL=110 ID=256 PROTO=TCP SPT=6000 DPT=18186 WINDOW=16384 RES=0x00 SYN URGP=0
   
7. Oct  3 12:10:20 WEB01 kernel: DEFAULT DROP IN=eth1 OUT= MAC=00:16:3e:02:1b:f5:d8:67:d9:70:9b:c1:08:00 SRC=117.25.128.144 DST=121.199.34.190 LEN=40 TOS=0x00 PREC=0x00 TTL=110 ID=256 PROTO=TCP SPT=6000 DPT=1998 WINDOW=16384 RES=0x00 SYN URGP=0
   
8. Oct  3 12:10:20 WEB01 kernel: DEFAULT DROP IN=eth1 OUT= MAC=00:16:3e:02:1b:f5:d8:67:d9:70:64:c1:08:00 SRC=113.108.211.8 DST=121.199.34.190 LEN=40 TOS=0x00 PREC=0x00 TTL=110 ID=256 PROTO=TCP SPT=16998 DPT=1433 WINDOW=16384 RES=0x00 SYN URGP=0
   
9. Oct  3 12:10:20 WEB01 kernel: DEFAULT DROP IN=eth1 OUT= MAC=00:16:3e:02:1b:f5:d8:67:d9:70:9b:c1:08:00 SRC=60.173.14.85 DST=121.199.34.190 LEN=40 TOS=0x00 PREC=0x00 TTL=110 ID=256 PROTO=TCP SPT=6000 DPT=808 WINDOW=16384 RES=0x00 SYN URGP=0
   
10. Oct  3 12:10:20 WEB01 kernel: DEFAULT DROP IN=eth1 OUT= MAC=00:16:3e:02:1b:f5:d8:67:d9:70:64:c1:08:00 SRC=119.188.8.74 DST=121.199.34.190 LEN=40 TOS=0x00 PREC=0x00 TTL=115 ID=256 PROTO=TCP SPT=6491 DPT=3389 WINDOW=16384 RES=0x00 SYN URGP=0
    
11. Oct  3 12:10:20 WEB01 kernel: type=1400 audit(1380770401.460:19483): avc:  denied  { execute } for  pid=4514 comm="sendmail" path="/usr/local/mysql/lib/libmysqlclient.so.18.0.0" dev=xvda1 ino=909399 scontext=system_u:system_r:system_mail_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:usr_t:s0 tclass=file
    
12. Oct  3 12:10:20 WEB01 kernel: DEFAULT DROP IN=eth1 OUT= MAC=00:16:3e:02:1b:f5:d8:67:d9:70:9b:c1:08:00 SRC=120.36.156.174 DST=121.199.34.190 LEN=48 TOS=0x00 PREC=0x00 TTL=245 ID=9821 DF PROTO=TCP SPT=8888 DPT=1433 WINDOW=16384 RES=0x00 SYN URGP=0
    
13. Oct  3 12:10:20 WEB01 kernel: DEFAULT DROP IN=eth1 OUT= MAC=00:16:3e:02:1b:f5:d8:67:d9:70:9b:c1:08:00 SRC=182.18.30.147 DST=121.199.34.190 LEN=40 TOS=0x00 PREC=0x00 TTL=108 ID=256 PROTO=TCP SPT=6000 DPT=3389 WINDOW=16384 RES=0x00 SYN URGP=0
    
14. Oct  3 12:10:20 WEB01 kernel: type=1400 audit(1380771001.474:19484): avc:  denied  { execute } for  pid=4518 comm="sendmail" path="/usr/local/mysql/lib/libmysqlclient.so.18.0.0" dev=xvda1 ino=909399 scontext=system_u:system_r:system_mail_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:usr_t:s0 tclass=file
    
15. Oct  3 12:10:20 WEB01 kernel: DEFAULT DROP IN=eth1 OUT= MAC=00:16:3e:02:1b:f5:d8:67:d9:70:64:c1:08:00 SRC=121.199.26.58 DST=121.199.34.190 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=8868 DF PROTO=TCP SPT=49266 DPT=1433 WINDOW=8192 RES=0x00 SYN URGP=0
    
16. Oct  3 12:10:20 WEB01 kernel: DEFAULT DROP IN=eth1 OUT= MAC=00:16:3e:02:1b:f5:d8:67:d9:70:64:c1:08:00 SRC=121.199.26.58 DST=121.199.34.190 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=10360 DF PROTO=TCP SPT=49656 DPT=135 WINDOW=8192 RES=0x00 SYN URGP=0
    
17. Oct  3 12:10:20 WEB01 kernel: DEFAULT DROP IN=eth1 OUT= MAC=00:16:3e:02:1b:f5:d8:67:d9:70:64:c1:08:00 SRC=121.199.26.58 DST=121.199.34.190 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=12155 DF PROTO=TCP SPT=49945 DPT=1998 WINDOW=8192 RES=0x00 SYN URGP=0
    
18. Oct  3 12:10:20 WEB01 kernel: DEFAULT DROP IN=eth1 OUT= MAC=00:16:3e:02:1b:f5:d8:67:d9:70:9b:c1:08:00 SRC=216.99.148.252 DST=121.199.34.190 LEN=40 TOS=0x00 PREC=0x00 TTL=106 ID=256 PROTO=TCP SPT=6000 DPT=3389 WINDOW=16384 RES=0x00 SYN URGP=0

复制代码

现在 rsyslog 已经关闭了, 日志增长太快, 不敢开. 在什么地方设置, 可以不将这个信息保存到 /var/log/messages ? 因为感觉这样的日志, 实在是纯属多余.

humjb_1983

/etc/rsyslog.conf文件中应该可以找到相关的过滤配置。

小牛开刀

回复 2# humjb_1983


    网上查一下资料, 这个 SYN 是属于 kern 机制的信息, 如果要过滤, 只能 kern:none , 这样的话, 其他相应的信息也就不会记载了  


    什么人一天无聊尽做些这事啊? 幸好有 iptables 挡着, 不然系统离奔溃不远了. 最高的时候, /var/log/messages 一秒增加 20M 以上