Bu mesaj syslog'umu dolduruyor, nereden geldiğini nasıl bulabilirim?

15

Ne zaman koşmak dmesgbu her saniye kadar geliyor:

[22661.447946] [UFW BLOCK] IN=eth0 OUT= MAC=ee:54:32:37:94:5f:f0:4b:3a:4f:80:30:08:00 SRC=35.162.106.154 DST=104.248.41.4 LEN=40 TOS=0x00 PREC=0x00 TTL=37 ID=52549 DF PROTO=TCP SPT=25 DPT=50616 WINDOW=0 RES=0x00 RST URGP=0

Bu mesaja neyin sebep olduğunu nasıl izleyebilirim?

networking 
peterretief
kaynak
1
Bu can sıkıcı ufw günlüğü. Kapatabilirsin. Ufw'yi farklı bir günlük kanalı kullanacak şekilde yapılandırmak da mümkündür, bu nedenle dmesg'i kirletmez, ancak çok zordur (biraz ufw yama bile gerektirebilir).
peterh - Monica'yı geri yükle
FWIW UFW hakkında bilginiz yoksa, sisteminizi doğrudan internete bağlı olmamalısınız.
MooseBoys

Yanıtlar:

56

Mevcut yanıt, güvenlik duvarı günlük girdisinin teknik analizinde doğrudur, ancak sonucu yanlış yapan bir nokta eksiktir. Paket

  • Bir mi RST(sıfırlama) paket
  • itibaren SRC=35.162.106.154
  • adresindeki sunucunuza DST=104.248.41.4
  • üzerinden TCP
  • limanından SPT=25
  • limanına DPT=50616
  • ve BLOCKUFW tarafından düzenlenmiştir.

Bağlantı noktası 25 (kaynak bağlantı noktası) e-posta için yaygın olarak kullanılır. 50616 numaralı bağlantı noktası geçici bağlantı noktası aralığındadır, yani bu bağlantı noktası için tutarlı bir kullanıcı yoktur. Bir TCP "sıfırlama" paketi, bir bağlantı kapatıldıktan sonra gelen veriler veya ilk önce bir bağlantı kurulmadan gönderilen veriler gibi beklenmedik durumlara yanıt olarak gönderilebilir.

35.162.106.154cxr.mx.a.cloudfilter.netCloudMark e-posta filtreleme hizmeti tarafından kullanılan bir etki alanını tersine çözümler .

Bilgisayarınız veya bilgisayarınız gibi davranan biri CloudMark'ın sunucularından birine veri gönderiyor. Veriler beklenmedik bir şekilde geliyor ve sunucu, RSTgönderen bilgisayardan durmasını istemek için bir ile yanıt veriyor. Güvenlik duvarının RSTbazı uygulamalara geçirmektense düştüğü göz önüne alındığında, RSTgönderilmesine neden olan veriler bilgisayarınızdan gelmiyor. Bunun yerine, muhtemelen, saldırganın CloudMark'ın posta sunucularını çevrimdışı duruma getirmek için (belki de spam'ı daha etkili hale getirmek için) sahte "adresleri" olan paketler gönderir.

işaret
kaynak
3
Mükemmel analiz için +1! Hiçbir fikrim yoktu ...
PerlDuck
15

Mesajlar "karmaşık olmayan güvenlik duvarı" olan UFW'den kaynaklanıyor ve birisinin

  • itibaren SRC=35.162.106.154
  • adresinden sunucunuza bağlanmaya çalıştı DST=104.248.41.4
  • üzerinden TCP
  • limanlarından SPT=25
  • limanına DPT=50616
  • ve UFW BLOCKbu denemeyi başarıyla düzenledi .

Bu siteye göre 35.162.106.154 kaynak adresi bir miktar Amazon makinesidir (muhtemelen bir AWS). Bu siteye göre , bağlantı noktası 50616 Xsan Dosya Sistemi Erişimi için kullanılabilir .

Bu yüzden IP = 35.162.106.154 dosyalarınıza erişmek için bir girişimdir. Oldukça normal ve endişelenecek bir şey yok, çünkü güvenlik duvarları bunun için: bu gibi girişimleri reddetmek.

PerlDuck
kaynak
Bağlantı denenmesi bir amazon hesabından, 25 numaralı bağlantı noktasının bir posta bağlantı noktası olduğunu rapor etmeli miyim yoksa görmezden gelmeliyim? Günlükleri
spam
6
@peterretief yönlendiricinizde engelleyebilirsiniz; o zaman görmeyeceksin. Ancak bunu ISS'nize bildirmek akıllıca olabilir.
Rinzwind
8
Aslında “SYN” değil “RST” yazıyor, bu yüzden filtrelenen reddedilen giden bir SMTP deneme paketidir.
eckes
3
Diğer cevabın benim için doğru olması daha muhtemel görünüyor.
Barmar
5
@Barmar Gerçekten ve çok nazikçe koymak. Kabul edilen cevap bu olmalı.
PerlDuck
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.