यह संदेश मेरे सिसलॉग को भर रहा है, कैसे पता लगाएं कि यह कहां से आता है?

जब मैं दौड़ता हूं तो dmesgयह हर दूसरे या दूसरे हिस्से में आता है:

[22661.447946] [UFW BLOCK] IN=eth0 OUT= MAC=ee:54:32:37:94:5f:f0:4b:3a:4f:80:30:08:00 SRC=35.162.106.154 DST=104.248.41.4 LEN=40 TOS=0x00 PREC=0x00 TTL=37 ID=52549 DF PROTO=TCP SPT=25 DPT=50616 WINDOW=0 RES=0x00 RST URGP=0

मैं यह कैसे पता लगा सकता हूं कि यह क्या संदेश दे रहा है?

networking

— peterretief
स्रोत

यह कष्टप्रद ufw लॉगिंग है। आप इसे बंद कर सकते हैं। एक अलग लॉग चैनल का उपयोग करने के लिए ufw को कॉन्फ़िगर करना भी संभव है, इस प्रकार यह dmesg को दूषित नहीं करेगा, लेकिन यह बहुत मुश्किल है (थोड़ा ufw पैच की आवश्यकता हो सकती है)।

— पीटर -

एफडब्ल्यूआईडब्ल्यू यदि आप यूएफडब्ल्यू से अपरिचित हैं, तो आपको संभवतः आपके सिस्टम को सीधे इंटरनेट से कनेक्ट नहीं करना चाहिए।

— मॉसबॉयज

जवाबों:

मौजूदा जवाब फ़ायरवॉल लॉग प्रविष्टि के अपने तकनीकी विश्लेषण में सही है, लेकिन यह एक बिंदु को याद कर रहा है जो निष्कर्ष को गलत बनाता है। पैकेट

एक RSTरीसेट (रीसेट) पैकेट है
से SRC=35.162.106.154
अपने मेजबान को DST=104.248.41.4
के जरिए TCP
उसके बंदरगाह से SPT=25
अपने बंदरगाह के लिए DPT=50616
और BLOCKUFW द्वारा संपादित किया गया है ।

पोर्ट 25 (स्रोत पोर्ट) आमतौर पर ईमेल के लिए उपयोग किया जाता है। पोर्ट 50616 अल्पकालिक पोर्ट रेंज में है, जिसका अर्थ है कि इस पोर्ट के लिए कोई सुसंगत उपयोगकर्ता नहीं है। एक टीसीपी "रीसेट" पैकेट को कई अप्रत्याशित स्थितियों के जवाब में भेजा जा सकता है, जैसे कि कनेक्शन बंद होने के बाद आने वाला डेटा, या पहले कनेक्शन स्थापित किए बिना भेजा जा रहा डेटा।

35.162.106.154cxr.mx.a.cloudfilter.netCloudMark ईमेल फ़िल्टरिंग सेवा द्वारा उपयोग किया जाने वाला डोमेन, रिवर्स- रिज़ॉल्यूशन करता है।

आपका कंप्यूटर, या आपके कंप्यूटर का दिखावा करने वाला कोई व्यक्ति, CloudMark के किसी एक सर्वर को डेटा भेज रहा है। डेटा अप्रत्याशित रूप से आ रहा है, और सर्वर RSTभेजने वाले कंप्यूटर को रोकने के लिए पूछने के लिए जवाब दे रहा है। यह देखते हुए कि फ़ायरवॉल RSTकुछ एप्लिकेशन के माध्यम से इसे पारित करने के बजाय छोड़ रहा है, जो डेटा RSTभेजा जा रहा है वह आपके कंप्यूटर से नहीं आ रहा है। इसके बजाय, आप संभवतः एक इनकार-से-सेवा हमले से बैकस्कैटर को देख रहे हैं, जहां हमलावर क्लाउडमार्क के मेल सर्वरों को ऑफ़लाइन (संभवतः स्पैमिंग को और अधिक प्रभावी बनाने के लिए) दस्तक देने के प्रयास में "पते" से जाली के साथ पैकेटों की बाढ़ भेज रहा है।

— निशान
स्रोत

महान विश्लेषण के लिए +1! मुझे कोई अंदाजा नहीं था ...

— PerlDuck

संदेश UFW , "सीधी फ़ायरवॉल" से उपजा है और यह आपको बताता है कि कोई है

से SRC=35.162.106.154
पर अपने मेजबान से कनेक्ट करने की कोशिश की DST=104.248.41.4
के जरिए TCP
उनके बंदरगाह से SPT=25
अपने बंदरगाह के लिए DPT=50616
और उस UFW ने BLOCKउस प्रयास को सफलतापूर्वक संपादित किया है।

इस साइट के अनुसार स्रोत का पता 35.162.106.154 कुछ अमेज़ॅन मशीन (शायद AWS) है। इस साइट के अनुसार पोर्ट 50616 का उपयोग Xsan फाइलसिस्टम एक्सेस के लिए किया जा सकता है ।

तो यह आपकी फ़ाइलों तक पहुँचने के लिए IP = 35.162.106.154 से एक प्रयास है। काफी सामान्य और कुछ भी नहीं वास्तव में चिंतित होने के लिए क्योंकि फ़ायरवॉल क्या हैं: इस तरह के प्रयासों को अस्वीकार करना।

— PerlDuck
स्रोत

ऐसा लगता है कि प्रयास का कनेक्शन एक अमेज़ॅन खाते से है, पोर्ट 25 एक मेल पोर्ट है जिसे मुझे यह रिपोर्ट करना चाहिए या बस इसे अनदेखा करना चाहिए? मेरे लॉग स्पैमिंग

— याचिकाकर्ता

@peterretief आप इसे अपने राउटर पर ब्लॉक कर सकते हैं; तब आप इसे नहीं देखेंगे। लेकिन अपने आईएसपी को इसकी सूचना देना समझदारी हो सकती है।

— रिनजविंड

वास्तव में यह it RST “नहीं says SYN” कहता है, इसलिए यह एक आउटगोइंग एसएमटीपी प्रयास पैकेट है जिसे फ़िल्टर किया गया था।

— जूल

अन्य उत्तर मुझे सही होने की अधिक संभावना है।

— बारमर

@ बरमार वास्तव में, और बहुत दयालु हैं। वह एक स्वीकृत उत्तर होना चाहिए।

— पर्लडक