Hi @ALL
seit ein paar Tagen füllt sich mein syslogmit folgenden Zeilen:
/var/log/syslog:Dec 26 19:00:26 v220140469621XXXX kernel: [21848.570990] TCP: drop open request from 192.230.77.217/27838
/var/log/syslog:Dec 26 19:00:32 v220140469621XXXX kernel: [21854.757530] TCP: drop open request from 192.230.77.217/7232
/var/log/syslog:Dec 26 19:00:33 v220140469621XXXX kernel: [21856.052063] TCP: drop open request from 192.230.77.217/15792
/var/log/syslog:Dec 26 19:00:34 v220140469621XXXX kernel: [21856.474268] TCP: drop open request from 192.230.77.217/50260
/var/log/syslog:Dec 26 19:00:36 v220140469621XXXX kernel: [21859.322258] TCP: drop open request from 192.230.77.217/37327
/var/log/syslog:Dec 26 19:00:37 v220140469621XXXX kernel: [21860.231697] TCP: drop open request from 192.230.77.217/8175
/var/log/syslog:Dec 26 19:00:38 v220140469621XXXX kernel: [21860.553607] TCP: drop open request from 192.230.77.217/26571
/var/log/syslog:Dec 26 19:00:39 v220140469621XXXX kernel: [21861.363653] TCP: drop open request from 192.230.77.217/27648
Eine Suche bei google bringt mir 3 Lösungen
1: persistente Verbindungen im Apache
2: Tor-Relay ( Tor ist nicht installiert)
3: DoS-Atacke (kein DDoS, da nur die eine IP auffällt), Sysn-Cookies
Ich vermute, wenn ich weitersuche , bekomme ich noch mehr Lösungsangebote.
Die IP ist erstmal geblockt per IPTABLES und seitdem ist Ruhe.
Ich habe die IP durch ganz /var/log/ verfolgt und sie fällt in kineer anderen Datei auf als
Syslog kernel.log und debug auf.
Das bedeutet ich weiss nicht auf welchen dienst sie nun zugreift oder versucht zuzugreifen.
Fakt ist, der Server wird rein privat (nur von mir) genutzt mit dem owncloud-image.
Webserver ist also installiert , keine weitere Webseite vorhanden.
Die Adresse kommt aus USA und hat definitiv nix auf meinem zu suchen.
Ich gehe also davon aus, dass der nichts Gutes im Schilde führt.
Zu o.g. Google-Ergebnissen
1: persistente Verbindungen abschalten?
Was ist mit den Performanceeinbußen?
2: Tor ist nicht installiert, was kann ich also tun?
3: DoS? wie kann ich Iptables anweisen die evtl. kommenden IP'S sperren
oder kann mir jemand helfen einen Filter für fail2ban zu machen?
Was kann/soll ich tun?
Gruss
michi