Witam, jestem początkującym administratorem. W skrócie - uczę się.
Zainstalowałem sobie na moim VPS logcheck, w którym skonfigurowane mam raporty z logów:
/var/log/syslog
/var/log/auth.log
/var/log/mysql.log
/var/log/nginx/access.log
O ile dobrze pamiętam auth.log był tam domyślnie wpisany, a w emailach, które do mnie przychodzą w nagłówku widnieje wpis " E: File could not be read: /var/log/auth.log ". Co chyba oznacza, że logcheck nie ma dostępu do tego pliku i dlatego nie może go przeczytać?
Syslog - nie rozumiem tych wpisów i prosiłbym o ich wyjaśnienie:
May 15 21:02:03 vps sm-mta[3458]: STARTTLS=client, relay=gmail-smtp-in.l.google.com., version=TLSv1/SSLv3, verify=FAIL, cipher=ECDHE-RSA-AES128-GCM-SHA256, bits=128/128
May 15 21:02:40 vps kernel: [ 2013.771659] Shorewall:net-loc:REJECT:IN=eth0 OUT= MAC=XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX SRC=XXX.XXX.XXX.XXX DST=XX.XXX.XX.XX LEN=443 TOS=0x00 PREC=0x00 TTL=47 ID=0 DF PROTO=UDP SPT=5081 DPT=5060 LEN=423
May 15 21:02:41 vps kernel: [ 2014.772596] Shorewall:net-loc:REJECT:IN=eth0 OUT= MAC=XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX SRC=XXX.XXX.XXX.XXX DST=XX.XXX.XX.XX LEN=40 TOS=0x00 PREC=0x00 TTL=242 ID=43667 PROTO=TCP SPT=48256 DPT=13721 WINDOW=1024 RES=0x00 SYN URGP=0
May 15 21:03:10 vps kernel: [ 2044.305560] Shorewall:net-loc:REJECT:IN=eth0 OUT= MAC=XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX SRC=XXX.XXX.XXX.XXX DST=XX.XXX.XX.XX LEN=40 TOS=0x00 PREC=0x00 TTL=242 ID=16568 PROTO=TCP SPT=48256 DPT=14784 WINDOW=1024 RES=0x00 SYN URGP=0
Pierwszy wpis zapewne ma związek ze złą weryfikacją TLS/SSL. Jednak niczego więcej na ten temat nie mogę się domyślić i byłbym wdzięczny o nakierowanie/wytłumaczenie.
Kolejne trzy wpisy (tych wpisów mam w każdym emailu po około 100) to jak mniemam odrzucenie połączenia z jakiegoś adresu IP (czy dobrze rozumiem, że to mogę być netboty szukające dziur?)
nginx/access.log
Wpisy tego typu rozumiem jako ewidentną próbę włamania:
208.109.106.228 - - [08/May/2016:18:02:03 +0200] "GET /phpmyadmin/index.php?pma_username=root&pma_password=vocation&server=1&lang=de-utf-8&convcharset=iso-8859-1 HTTP/1.1" 301 178 "-" "-"
Rozumiem to w ten sposób: bot z adresu IP: 208.109.106.228 próbuje się zalogować do phpmyadmin'a, jako, że adres jakiego użył nie istnieje został przekierowany (301) na inny adres, tak więc próba się nie udała.
Rozumiem, że dla bezpieczeństwa od razu powinienem zablokować ten adres IP na moim firewallu.
Inne wpisy wyglądają następująco:
194.33.75.112 - - [15/May/2016:21:11:05 +0200] "GET / HTTP/1.1" 301 178 "-" "curl/7.17.1 (mips-unknown-linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3"
194.28.115.233 - - [15/May/2016:21:22:14 +0200] "GET / HTTP/1.1" 301 178 "-" "Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1"
Domyślam się, że w tych logach pojawiać się będą również zachowania zwykłych użytkowników moich stron (czy może się mylę i pojawiają się tu tylko niebezpieczne wpisy?) jak więc rozpoznać złe zachowanie od dobrego zachowania?
Pierwszego wpisu totalnie nie rozumiem, nie rozumiem co ktoś z adresu ip:194.33.75.112 robił na jednej z moich stron... jedyne co rozumiem to to, że zrobił to w głównym katalogu strony (" / ") oraz, że został przekierowany (301). Mógłby mi ktoś przybliżyć całą resztę? ("curl/7.17.1 (mips-unknown-linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3")
Drugi wpis podobnie do pierwszego informuje mnie, że ktoś z adresu IP XXX został przeniesiony (301) z głównego katalogu (" / ") oraz że korzystał z Windowsa z Firefox'em.
Czy wpisy podobne tym wyżej to coś normalnego informujące mnie np. o przekierowaniach z http na https czy to coś na co powinienem reagować chcąc utrzymać bezpieczeństwo mojego serwera?
Z góry dziękuję za wyrozumiałość i pomoc.
Pozdrawiam.
