Este mensaje está inundando mi syslog, ¿cómo encontrar de dónde viene?

15

Cuando ejecuto dmesgesto aparece cada segundo más o menos:

[22661.447946] [UFW BLOCK] IN=eth0 OUT= MAC=ee:54:32:37:94:5f:f0:4b:3a:4f:80:30:08:00 SRC=35.162.106.154 DST=104.248.41.4 LEN=40 TOS=0x00 PREC=0x00 TTL=37 ID=52549 DF PROTO=TCP SPT=25 DPT=50616 WINDOW=0 RES=0x00 RST URGP=0

¿Cómo puedo rastrear qué está causando este mensaje?

peterretief
fuente
1
Es el molesto registro ufw. Puedes apagarlo. También es posible configurar ufw para usar un canal de registro diferente, por lo que no contaminará dmesg, pero es muy complicado (puede requerir incluso un pequeño parche de ufw).
peterh - Restablece a Monica el
FWIW si no está familiarizado con UFW, probablemente no debería tener su sistema conectado directamente a Internet.
MooseBoys

Respuestas:

56

La respuesta existente es correcta en su análisis técnico de la entrada del registro del firewall, pero le falta un punto que hace que la conclusión sea incorrecta. El paquete

  • Es un RSTpaquete (restablecer)
  • desde SRC=35.162.106.154
  • a su anfitrión en DST=104.248.41.4
  • vía TCP
  • desde su puerto SPT=25
  • a tu puerto DPT=50616
  • y ha sido BLOCKeditado por UFW.

El puerto 25 (el puerto de origen) se usa comúnmente para el correo electrónico. El puerto 50616 está en el rango de puertos efímeros , lo que significa que no hay un usuario consistente para este puerto. Se puede enviar un paquete de "restablecimiento" de TCP en respuesta a una serie de situaciones inesperadas, como los datos que llegan después de que se ha cerrado una conexión, o los datos que se envían sin establecer primero una conexión.

35.162.106.154revierte a cxr.mx.a.cloudfilter.net, un dominio utilizado por el servicio de filtrado de correo electrónico CloudMark.

Su computadora, o alguien que finge ser su computadora, está enviando datos a uno de los servidores de CloudMark. Los datos llegan inesperadamente y el servidor responde con un RSTpedido para que la computadora que envía se detenga. Dado que el cortafuegos está cayendo en RSTlugar de pasarlo a alguna aplicación, los datos que causan el RSTenvío no provienen de su computadora. En cambio, es probable que vea una retrodispersión de un ataque de denegación de servicio, donde el atacante está enviando inundaciones de paquetes con direcciones "de" falsificadas en un intento de desconectar los servidores de correo de CloudMark (quizás para hacer que el envío de correo no deseado sea más efectivo).

marca
fuente
3
+1 para el gran análisis! No tenía idea ...
PerlDuck
15

Los mensajes provienen de UFW , el "firewall sin complicaciones" y te dice que alguien

  • desde SRC=35.162.106.154
  • intentó conectarse a su host en DST=104.248.41.4
  • vía TCP
  • desde su puerto SPT=25
  • a tu puerto DPT=50616
  • y que UFW ha BLOCKeditado con éxito ese intento.

Según este sitio, la dirección de origen 35.162.106.154 es una máquina de Amazon (probablemente un AWS). De acuerdo con este sitio, el puerto 50616 puede usarse para el acceso al sistema de archivos Xsan .

Entonces, es un intento de IP = 35.162.106.154 para acceder a sus archivos. Es normal y no hay nada de qué preocuparse porque para eso están los firewalls: rechazar tales intentos.

PerlDuck
fuente
Parece que el intento de conexión es desde una cuenta de Amazon, el puerto 25 es un puerto de correo ¿Debo informar esto o simplemente ignorarlo? Spamming my logs
peterretief
66
@peterretief puede bloquearlo en su enrutador; entonces no lo verás. Pero podría ser prudente informar esto a su ISP.
Rinzwind
8
En realidad, dice "RST" no "SYN", por lo que es un paquete de intento SMTP saliente denegado que se filtró.
eckes
3
La otra respuesta parece más probable que sea correcta para mí.
Barmar
55
@Barmar De hecho, y muy amablemente dicho. Esa debería ser la respuesta aceptada.
PerlDuck