Diese Nachricht überschwemmt mein Syslog. Wie finde ich heraus, woher sie kommt?

15

Wenn ich renne, dmesgkommt das jede Sekunde oder so:

[22661.447946] [UFW BLOCK] IN=eth0 OUT= MAC=ee:54:32:37:94:5f:f0:4b:3a:4f:80:30:08:00 SRC=35.162.106.154 DST=104.248.41.4 LEN=40 TOS=0x00 PREC=0x00 TTL=37 ID=52549 DF PROTO=TCP SPT=25 DPT=50616 WINDOW=0 RES=0x00 RST URGP=0

Wie kann ich nachverfolgen, was diese Nachricht verursacht?

networking Peterretief
quelle
1
Es ist die nervige ufw-Protokollierung. Du kannst es ausschalten. Es ist auch möglich, ufw so zu konfigurieren, dass ein anderer Protokollkanal verwendet wird, wodurch dmesg nicht kontaminiert wird, dies ist jedoch sehr schwierig (erfordert möglicherweise sogar einen kleinen ufw-Patch).
Peterh - Wiedereinsetzung von Monica
FWIW Wenn Sie mit UFW nicht vertraut sind, sollten Sie Ihr System wahrscheinlich nicht direkt mit dem Internet verbunden haben.
MooseBoys

Antworten:

56

Die vorhandene Antwort ist in der technischen Analyse des Firewall-Protokolleintrags korrekt, es fehlt jedoch ein Punkt, der die Schlussfolgerung falsch macht. Das Paket

  • Ist ein RST(Reset-) Paket
  • von SRC=35.162.106.154
  • zu Ihrem Gastgeber bei DST=104.248.41.4
  • über TCP
  • von seinem Hafen SPT=25
  • zu Ihrem Hafen DPT=50616
  • und wurde BLOCKvon UFW herausgegeben.

Port 25 (der Quellport) wird normalerweise für E-Mails verwendet. Port 50616 liegt im kurzlebigen Portbereich , was bedeutet, dass für diesen Port kein konsistenter Benutzer vorhanden ist. Ein TCP- "Reset" -Paket kann als Antwort auf eine Reihe unerwarteter Situationen gesendet werden, z. B. Daten, die nach dem Schließen einer Verbindung eingehen, oder Daten, die gesendet werden, ohne zuvor eine Verbindung herzustellen.

35.162.106.154In cxr.mx.a.cloudfilter.neteine Domain umkehren , die vom CloudMark-E-Mail-Filterdienst verwendet wird.

Ihr Computer oder jemand, der vorgibt, Ihr Computer zu sein, sendet Daten an einen der CloudMark-Server. Die Daten kommen unerwartet an und der Server antwortet mit einem RST, um den sendenden Computer zum Anhalten aufzufordern. Da die Firewall das RSTProgramm nicht an eine Anwendung weiterleitet, stammen die Daten, die das RSTSenden des Programms verursachen , nicht von Ihrem Computer. Stattdessen wird wahrscheinlich ein Backscatter von einem Denial-of-Service-Angriff angezeigt, bei dem der Angreifer eine Flut von Paketen mit gefälschten Absenderadressen sendet, um die Mail-Server von CloudMark offline zu schalten (möglicherweise, um Spam effektiver zu machen).

Kennzeichen
quelle
3
+1 für die großartige Analyse! Ich hatte keine Ahnung ...
PerlDuck
15

Die Nachrichten stammen von UFW , der "unkomplizierten Firewall", und sagen Ihnen, dass jemand

  • von SRC=35.162.106.154
  • hat versucht, eine Verbindung zu Ihrem Host unter herzustellen DST=104.248.41.4
  • über TCP
  • von ihrem Hafen SPT=25
  • zu Ihrem Hafen DPT=50616
  • und dass UFW BLOCKdiesen Versuch erfolgreich ausgeführt hat .

Laut dieser Site ist die Quelladresse 35.162.106.154 eine Amazon-Maschine (wahrscheinlich eine AWS). Laut dieser Site kann der Port 50616 für den Zugriff auf das Xsan-Dateisystem verwendet werden .

Es ist also ein Versuch von IP = 35.162.106.154, auf Ihre Dateien zuzugreifen. Ganz normal und kein Grund zur Sorge, denn genau dafür sind Firewalls gedacht: solche Versuche abzulehnen.

PerlDuck
quelle
Es scheint, dass die versuchte Verbindung von einem Amazon-Konto stammt. Port 25 ist ein Mail-Port. Soll ich dies melden oder einfach ignorieren? Spamming meine Protokolle
PeterRetief
6
@ PeterRetief Sie können es an Ihrem Router blockieren; dann wirst du es nicht sehen. Es kann jedoch ratsam sein, dies Ihrem Internetdienstanbieter zu melden.
Rinzwind
8
Tatsächlich heißt es „RST“ und nicht „SYN“, es handelt sich also um ein ausgehendes SMTP-Versuchspaket, das herausgefiltert wurde.
Eckes
3
Die andere Antwort scheint mir eher richtig zu sein.
Barmar
5
@Barmar In der Tat und sehr freundlich ausgedrückt. Das sollte die akzeptierte Antwort sein.
PerlDuck