Shorewall - obrovské množství REJECT nutí packetů

Zdravím, tak kukám do logů shorewallu a vidím tyto hlášky:

Mar 30 19:18:42 mutf kernel: [260548.572024] Shorewall:all2all:REJECT:IN=eth0 OUT= MAC=00:04:ac:59:24:da:00:4f:4e:60:a7:d4:08:00 SRC=116.71.52.107 DST=85.207.34.159 LEN=56 TOS=0x00 PREC=0x00 TTL=47 ID=15593 DF PROTO=TCP SPT=2395 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 Mar 30 19:19:01 mutf kernel: [260567.539438] Shorewall:all2all:REJECT:IN=eth0 OUT= MAC=00:04:ac:59:24:da:00:4f:4e:60:a7:d4:08:00 SRC=84.36.5.75 DST=85.207.34.159 LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=58469 DF PROTO=TCP SPT=4148 DPT=23 WINDOW=18276 RES=0x00 SYN URGP=0 Mar 30 19:20:49 mutf kernel: [260676.242995] Shorewall:all2all:REJECT:IN=eth0 OUT= MAC=00:04:ac:59:24:da:00:4f:4e:60:a7:d4:08:00 SRC=201.240.179.71 DST=85.207.34.159 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=14000 DF PROTO=TCP SPT=2368 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 Mar 30 19:20:55 mutf kernel: [260682.115480] Shorewall:all2all:REJECT:IN=eth0 OUT= MAC=00:04:ac:59:24:da:00:4f:4e:60:a7:d4:08:00 SRC=116.71.11.76 DST=85.207.34.159 LEN=56 TOS=0x00 PREC=0x00 TTL=47 ID=6269 DF PROTO=TCP SPT=3286 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0

Je jich tam opravdu, opravdu hodně a IP adresy jsou různé... CO to může znamenat? A ještě dotaz, jak se dá poznat, podle IP v jaké zemi je daný stroj?

Děkuji

Chcete Linuxové samolepky nebo Tuxe na klíče? ->

Ad země ... třeba "whois 116.71.52.107" ... Pákistán, "whois 84.36.5.75" ... asi Egypt ... ale především ... "DST=85.207.34.159", to je Vaše? A že leze na port 23, nějaká trubka asi ... prostě zkouší, hledá, kde má kdo díru. Takovéhle zážitky má každý, já to popisoval v blogu - Zakázat celý rozsah?, muj hosts.deny už má cca 2400 řádek.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

30.3.2009 19:55 poky74 | skóre: 36 | blog: Zápisník | Vrchlabí
Rozbalit Rozbalit vše Re: Shorewall - obrovské množství REJECT nutí packetů

Aha, takže se mi někdo chce hacknout do serveru... Jak se dá eventuálně poznat že se mu to povedlo?

Ano, 85.207.34.159 je ip toho serveru.

Chcete Linuxové samolepky nebo Tuxe na klíče? ->

30.3.2009 20:07 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Shorewall - obrovské množství REJECT nutí packetů

Jak to poznáte? Když je někdo šikovnej, tak těžko. Podle následků, že máte navázaná spojení do pryč. Děje se něco, co nečekáte. Mění se vám data, aniž byste to způsobil. Zahlíd jsem tu (na AbcL) i diskusi, zda je lepší vícestupňová ochrana nebo silné heslo. Např. 1, 2, 3.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

30.3.2009 20:10 poky74 | skóre: 36 | blog: Zápisník | Vrchlabí
Rozbalit Rozbalit vše Re: Shorewall - obrovské množství REJECT nutí packetů

ok děkuji A ještě jeden dotaz, co standartně běží na portu 23? když skenuju porty toho serveru mám tam akorát 22 53 80 111(sunrpc - co je to proboha?) a 52448 - označen jako neznámý - na tom běžně beží standartně co?

Chcete Linuxové samolepky nebo Tuxe na klíče? ->

30.3.2009 20:14 Andrej Herceg | skóre: 43
Rozbalit Rozbalit vše Re: Shorewall - obrovské množství REJECT nutí packetů

Port 23 sa používa pre telnet.

30.3.2009 20:15 Zdenek
Rozbalit Rozbalit vše Re: Shorewall - obrovské množství REJECT nutí packetů

Standardni prirazeni portu hledejte v /etc/services

30.3.2009 20:16 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Shorewall - obrovské množství REJECT nutí packetů

To je právě to ... (mimochodem v /etc/services byste to taky našel), je to telnet, tedy text v čisté podobě. Port 111 je potřeba pro nfs a portmap. Google mi na port 52448 nic rozumného nenašel, "netstat -tap" by vám řeklo, jakej program tam žije.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

30.3.2009 20:21 poky74 | skóre: 36 | blog: Zápisník | Vrchlabí
Rozbalit Rozbalit vše Re: Shorewall - obrovské množství REJECT nutí packetů

netstap vypsal toto:

tcp 0 0 *:52448 *:* LISTEN 3684/rpc.statd

Co bych z toho měl chápat?

Chcete Linuxové samolepky nebo Tuxe na klíče? ->

30.3.2009 20:39 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Shorewall - obrovské množství REJECT nutí packetů

Když jsem pustil nfs, tak mi taky přibylo

tcp        0      0 *:48095     *:*            LISTEN     23601/rpc.statd

tedy náhodnej port.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

30.3.2009 20:18 poky74 | skóre: 36 | blog: Zápisník | Vrchlabí
Rozbalit Rozbalit vše Re: Shorewall - obrovské množství REJECT nutí packetů

Super, a ještě, mohl by mi prosím někdo osvětlit co v tom výpisu znamenají hodnoty len tos ttl ATD?

Mar 30 20:00:53 mutf kernel: [263079.987512] Shorewall:all2all:REJECT:IN=eth0 OUT= MAC=00:04:ac:59:24:da:00:4f:4e:60:a7:d4:08:00 SRC=41.235.160.222 DST=85.207.34.159 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=19160 DF PROTO=TCP SPT=3341 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0

Vše co jsem k tomu našel je v Angličtině...

Chcete Linuxové samolepky nebo Tuxe na klíče? ->

30.3.2009 20:42 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Shorewall - obrovské množství REJECT nutí packetů

Spousta odkazů by se našla, jako první mne napadlo ... struktura IP paketu.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

Dotaz: Shorewall - obrovské množství REJECT nutí packetů

Odpovědi