Jeg undrer mig over visse entries in my ufw.log. En hel række linier har en server der resolver fra 186.28.122.211 til adsl186-28122211.dyn.etb.net.co - en Kolumbiansk server. To eksempellinier ser sådan ud:
Nov 20 09:45:49 tolva kernel: [ 140.250462] [UFW BLOCK] IN=eth0 OUT= MAC=00:...:00 SRC=186.28.122.211 DST=192.168.1.105 LEN=64 TOS=0x00 PREC=0x00 TTL=48 ID=61430 DF PROTO=TCP SPT=56688 DPT=20971 WINDOW=65535 RES=0x00 SYN URGP=0
Nov 20 09:45:50 tolva kernel: [ 141.281042] [UFW BLOCK] IN=eth0 OUT= MAC=00:...:00 SRC=186.28.122.211 DST=192.168.1.105 LEN=64 TOS=0x00 PREC=0x00 TTL=48 ID=30685 DF PROTO=TCP SPT=56688 DPT=20971 WINDOW=65535 RES=0x00 SYN URGP=0
Med "lsof -i" så jeg intet til denne server. Jeg forstår ikke portene, men jeg har Skype installeret og den kan vel bruge disse høje porte på mytiske servere.
UFW firewall log entry
-
- Indlæg: 4
- Tilmeldt: 30. apr 2012, 20:34
- IRC nickname: fnielsen
- Geografisk sted: Kongens Lyngby
-
- Indlæg: 5095
- Tilmeldt: 27. apr 2008, 02:16
- IRC nickname: lars_t_h
- Geografisk sted: Fyn
Re: UFW firewall log entry
fnielsen skrev:Jeg undrer mig over visse entries in my ufw.log. En hel række linier har en server der resolver fra 186.28.122.211 til adsl186-28122211.dyn.etb.net.co - en Kolumbiansk server. To eksempellinier ser sådan ud:
Nov 20 09:45:49 tolva kernel: [ 140.250462] [UFW BLOCK] IN=eth0 OUT= MAC=00:...:00 SRC=186.28.122.211 DST=192.168.1.105 LEN=64 TOS=0x00 PREC=0x00 TTL=48 ID=61430 DF PROTO=TCP SPT=56688 DPT=20971 WINDOW=65535 RES=0x00 SYN URGP=0
Nov 20 09:45:50 tolva kernel: [ 141.281042] [UFW BLOCK] IN=eth0 OUT= MAC=00:...:00 SRC=186.28.122.211 DST=192.168.1.105 LEN=64 TOS=0x00 PREC=0x00 TTL=48 ID=30685 DF PROTO=TCP SPT=56688 DPT=20971 WINDOW=65535 RES=0x00 SYN URGP=0
Med "lsof -i" så jeg intet til denne server. Jeg forstår ikke portene, men jeg har Skype installeret og den kan vel bruge disse høje porte på mytiske servere.
At den reverse DNS resolver til noget med adsl betyder nok bare at det er en malware inficeret Windows desktop maskine (=ikke en server) der kigger efter ofre (Læs: andre Windows maskiner) - og da den møde din Ubuntu Linux maskine blev den maskine nægtet adgang (BLOCK) af Linux kernen, da den adsl maskine har bedt om adgang til en ressource din maskine ikke tilbyder internet opkoblede maskiner. Linux har en stateful packet inspection (SPI) firewall der opdager den slags, http://en.wikipedia.org/wiki/Stateful_firewall.
Hint: UFW og den grafiske fætter GUFW er ikke en firewall, men et firewall administrationsprogram - selve firewallen i en Linux maskine bor i Linux kernen, dvs at firewallen i Linux ikke er et program.
Du kan se øjebliksbillede at de IPv4 og IPv6 internetforbindelser du har åbnet lige nu (incl hvilket program der har den forbindelse):
Kode: Vælg alt
sudo netstat -46p
Du kan nøjes kun at kigge efter services med:
Kode: Vælg alt
sudo netstat -46pl
Det ekstra l (lille L bogstav - ikke tallet et) betyder listening, altså et program der vil svare på trafik fra et andet program på samme eller en anden computer på den port (127.0.0.1 er localhost og betyder altid kun "denne maskine").
Man kan såvidt jeg ved også installerer programmer der bruger firewall log resultater til at lave nasty netwærks ting så som permanent blokering med noget der black hole routing.
Den her kommando får Linux kernen til smide (null route) trafik fra adsl maskinen ned i en slags uendelig stor binær skraldespand(=et sort hul):
Kode: Vælg alt
sudo route add 186.28.122.211 gw 127.0.0.1 lo
Kig evt også på: http://www.cyberciti.biz/tips/how-do-i-drop-or-block-attackers-ip-with-null-routes.html
Bemærk at adsl internet opkoblede maskiner skifter IP adresser.
/Lars
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags