Esta mensagem está inundando meu syslog, como descobrir de onde vem?

15

Quando eu corro, dmesgisso aparece a cada segundo ou mais:

[22661.447946] [UFW BLOCK] IN=eth0 OUT= MAC=ee:54:32:37:94:5f:f0:4b:3a:4f:80:30:08:00 SRC=35.162.106.154 DST=104.248.41.4 LEN=40 TOS=0x00 PREC=0x00 TTL=37 ID=52549 DF PROTO=TCP SPT=25 DPT=50616 WINDOW=0 RES=0x00 RST URGP=0

Como rastrear o que está causando esta mensagem?

peterretief
fonte
11
É o registro ufw irritante. Você pode desligá-lo. Também é possível configurar o ufw para usar um canal de log diferente, portanto não contaminará o dmesg, mas é muito complicado (pode exigir até um pequeno patch ufw).
peterh - Restabelece Monica
FWIW, se você não estiver familiarizado com a UFW, provavelmente não deve ter seu sistema conectado diretamente à Internet.
MooseBoys 28/07/19

Respostas:

56

A resposta existente está correta em sua análise técnica da entrada de log do firewall, mas falta um ponto que torna a conclusão incorreta. O pacote

  • É um RSTpacote (redefinido)
  • a partir de SRC=35.162.106.154
  • para o seu host em DST=104.248.41.4
  • através da TCP
  • do porto dele SPT=25
  • à sua porta DPT=50616
  • e foi BLOCKeditado pela UFW.

A porta 25 (a porta de origem) é comumente usada para email. A porta 50616 está no intervalo efetivo de portas , o que significa que não há usuário consistente para esta porta. Um pacote TCP "redefinido" pode ser enviado em resposta a várias situações inesperadas, como dados que chegam após o fechamento de uma conexão ou dados enviados sem antes estabelecer uma conexão.

35.162.106.154cxr.mx.a.cloudfilter.neta resolução reversa para , um domínio usado pelo serviço de filtragem de email do CloudMark.

Seu computador, ou alguém que finge ser seu, está enviando dados para um dos servidores do CloudMark. Os dados estão chegando inesperadamente e o servidor está respondendo com a RSTpara solicitar que o computador remetente pare. Dado que o firewall está descartando, em RSTvez de transferi-lo para algum aplicativo, os dados que estão causando o RSTenvio não vêm do seu computador. Em vez disso, você provavelmente verá o retrocesso de um ataque de negação de serviço, em que o invasor está enviando pacotes de endereços forjados "de" na tentativa de deixar os servidores de correio do CloudMark offline (talvez para tornar o spam mais eficaz).

Marca
fonte
3
+1 para a ótima análise! Eu não tinha idéia ... #
1001 PerlDuck
15

As mensagens provêm do UFW , o "firewall não complicado" e informa que alguém

  • a partir de SRC=35.162.106.154
  • tentou se conectar ao seu host em DST=104.248.41.4
  • através da TCP
  • do porto deles SPT=25
  • à sua porta DPT=50616
  • e que a UFW edificou com sucesso BLOCKessa tentativa.

De acordo com este site, o endereço de origem 35.162.106.154 é uma máquina da Amazon (provavelmente uma AWS). De acordo com este site, a porta 50616 pode ser usada para o Xsan Filesystem Access .

Portanto, é uma tentativa do IP = 35.162.106.154 de acessar seus arquivos. Muito normal e nada para se preocupar, porque é para isso que servem os firewalls: rejeitar essas tentativas.

PerlDuck
fonte
Parece que a tentativa de conexão é de uma conta amazon. A porta 25 é uma porta de correio. Devo relatar isso ou simplesmente ignorá-lo? Spamming my logs
peterretief
6
@ Petereterief você pode bloqueá-lo no seu roteador; então você não verá. Mas pode ser aconselhável relatar isso ao seu ISP.
Rinzwind 25/07/19
8
Na verdade, diz "RST" e não "SYN", por isso é um pacote de tentativa SMTP de saída negada que foi filtrado.
Eckes
3
A outra resposta parece ser mais correta para mim.
Barmar 26/07/19
5
@ Barmar De fato, e muito gentilmente colocado. Essa deve ser a resposta aceita.
21419 PerlDuck