Questo messaggio sta inondando il mio syslog, come trovare da dove viene?

15

Quando corro dmesgquesto viene fuori ogni secondo o giù di lì:

[22661.447946] [UFW BLOCK] IN=eth0 OUT= MAC=ee:54:32:37:94:5f:f0:4b:3a:4f:80:30:08:00 SRC=35.162.106.154 DST=104.248.41.4 LEN=40 TOS=0x00 PREC=0x00 TTL=37 ID=52549 DF PROTO=TCP SPT=25 DPT=50616 WINDOW=0 RES=0x00 RST URGP=0

Come posso rintracciare ciò che sta causando questo messaggio?

networking 
peterretief
fonte
1
È il fastidioso logging uww. Puoi spegnerlo. È anche possibile configurare ufw per usare un canale di log diverso, quindi non contaminerà dmesg, ma è molto complicato (potrebbe richiedere anche una piccola patch ufw).
Peter - Ripristina Monica il
FWIW se non hai familiarità con UFW, probabilmente non dovresti avere il tuo sistema collegato direttamente a Internet.
MooseBoys,

Risposte:

56

La risposta esistente è corretta nell'analisi tecnica della voce del registro del firewall, ma manca un punto che rende la conclusione errata. Il pacchetto

  • È un RSTpacchetto (ripristinato)
  • a partire dal SRC=35.162.106.154
  • al tuo host all'indirizzo DST=104.248.41.4
  • attraverso TCP
  • dal suo porto SPT=25
  • al tuo porto DPT=50616
  • ed è stato BLOCKedito da UFW.

La porta 25 (la porta di origine) viene comunemente utilizzata per la posta elettronica. La porta 50616 è nell'intervallo di porte temporanee, il che significa che non esiste un utente coerente per questa porta. Un pacchetto TCP "reset" può essere inviato in risposta a una serie di situazioni impreviste, come i dati che arrivano dopo che una connessione è stata chiusa, oppure i dati inviati senza prima stabilire una connessione.

35.162.106.154si risolve in senso inverso cxr.mx.a.cloudfilter.net, un dominio utilizzato dal servizio di filtro e-mail CloudMark.

Il tuo computer o qualcuno che finge di essere il tuo computer sta inviando dati a uno dei server di CloudMark. I dati arrivano inaspettatamente e il server risponde con un RSTper chiedere al computer di invio di arrestarsi. Dato che il firewall sta rilasciando RSTanziché passare a qualche applicazione, i dati che causano l' RSTinvio non provengono dal tuo computer. Invece, probabilmente stai vedendo backscatter da un attacco denial-of-service, in cui l'attaccante sta inviando inondazioni di pacchetti con indirizzi "da" falsi nel tentativo di mettere offline i server di posta di CloudMark (forse per rendere più efficace lo spamming).

marchio
fonte
3
+1 per la grande analisi! Non avevo idea ...
PerlDuck il
15

I messaggi provengono da UFW , il "firewall semplice" e ti dicono che qualcuno

  • a partire dal SRC=35.162.106.154
  • ho provato a connettermi al tuo host all'indirizzo DST=104.248.41.4
  • attraverso TCP
  • dal loro porto SPT=25
  • al tuo porto DPT=50616
  • e che UFW ha modificato con successo BLOCKquel tentativo.

Secondo questo sito l'indirizzo di fonte 35.162.106.154 è una macchina Amazon (probabilmente un AWS). Secondo questo sito, la porta 50616 può essere utilizzata per l' accesso al filesystem Xsan .

Quindi è un tentativo da IP = 35.162.106.154 di accedere ai tuoi file. Abbastanza normale e niente di cui preoccuparsi perché è questo il motivo per cui i firewall sono: rifiutare tali tentativi.

PerlDuck
fonte
Sembra che il tentativo di connessione provenga da un account Amazon, la porta 25 è una porta di posta elettronica, devo segnalarla o semplicemente ignorarla? Spamming my logs
peterretief
6
@peterretief puoi bloccarlo sul tuo router; allora non lo vedrai. Ma potrebbe essere saggio segnalarlo al tuo ISP.
Rinzwind,
8
In realtà dice "RST" non "SYN", quindi è un pacchetto di tentativo SMTP in uscita negato che è stato filtrato.
Devo dire che il
3
L'altra risposta sembra più probabile che sia corretta per me.
Barmar,
5
@Barmar In effetti, e molto gentilmente messo. Quella dovrebbe essere la risposta accettata.
PerlDuck,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.