Περίεργα log messages σε ρουτερ!!!

από **ant_0611** » 31 Ιαν 2010, 13:19

Γειά σας,
Εχω ενα ρουτερ TP-link TD-W8960N. Δουλέυει, όλα καλα... παράπονο δεν έχω.
Εδώ και κάποιες μέρες παρατηρώ περίεργα μηνύματα στο log file του.
Μερικά απο αυτα ειναι : (οπου ΧΧΧ.ΧΧΧ.ΧΧΧ.ΧXX η IP που παιρνει απο την forthnet)

Κώδικας: Επιλογή όλων: Jan 31 11:28:21 user alert kernel: Intrusion -> IN=ppp0 OUT= MAC= SRC=94.66.232.67 DST=ΧΧΧ.ΧΧΧ.ΧΧΧ.ΧXX LEN=64 TOS=0x00 PREC=0x20 TTL=118 ID=12310 DF PROTO=TCP SPT=1289 DPT=6881 WINDOW=65535 RES=0x00 SYN URGP=0 Jan 31 11:45:42 user alert kernel: Intrusion -> IN=ppp0 OUT= MAC= SRC=85.73.110.65 DST=ΧΧΧ.ΧΧΧ.ΧΧΧ.ΧXX LEN=48 TOS=0x00 PREC=0x20 TTL=117 ID=39610 DF PROTO=TCP SPT=1800 DPT=6881 WINDOW=65535 RES=0x00 SYN URGP=0 Jan 31 11:45:45 user alert kernel: Intrusion -> IN=ppp0 OUT= MAC= SRC=85.73.110.65 DST=ΧΧΧ.ΧΧΧ.ΧΧΧ.ΧXX LEN=48 TOS=0x00 PREC=0x20 TTL=117 ID=39636 DF PROTO=TCP SPT=1800 DPT=6881 WINDOW=65535 RES=0x00 SYN URGP=0 Jan 31 11:59:58 user alert kernel: Intrusion -> IN=ppp0 OUT= MAC= SRC=109.96.143.157 DST=ΧΧΧ.ΧΧΧ.ΧΧΧ.ΧXX LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=60811 DF PROTO=TCP SPT=23143 DPT=6881 WINDOW=65535 RES=0x00 SYN URGP=0

Μήπως ξέρει κανεις γιατι τα βγάζει αυτα;;; Εχω βάλει το τελευταιο firmware απο την tp-link.
Επίσης, έχω βάλει να ρίχνει την συνδεση με το ιντερνετ αν μεινει ανενεργη για 10 λεπτα. Αυτό ομως δεν το κάνει.

Off topic:
Το ξέρω, είμαι περίεργος. Ελπίζω να μην παρω απαντηση, οτι η περιέργια σκότωσε την γάτα.

από **linuxman** » 01 Φεβ 2010, 04:23

Δεν μπορώ να σου πω τι ακριβός είναι άλλα υποψιάζομαι ότι έχεις ανοίξει κάποιες πόρτες και γίνεται προσπάθεια επικοινωνίας με σένα / δίκτυο σου .
Δες αποτελέσματα από που είναι αυτά τα IP , εάν είναι ίδια κάθε φορά τότε υπάρχει πρόβλημα

Κώδικας: Επιλογή όλων: whois 85.73.110.65 % This is the RIPE Database query service. % The objects are in RPSL format. % % The RIPE Database is subject to Terms and Conditions. % See http://www.ripe.net/db/support/db-terms-conditions.pdf % Note: This output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '85.73.0.0 - 85.73.255.255' inetnum: 85.73.0.0 - 85.73.255.255 netname: OTENET descr: Multiprotocol Service Provider to other ISP's and End Users descr: located in Greece and having nodes in 63 cities country: GR admin-c: OIA15-RIPE tech-c: OIA15-RIPE remarks: rev-srv: ns1.otenet.gr remarks: rev-srv: ns2.otenet.gr status: ASSIGNED PA remarks: +---------------------------------+ remarks: |General enquiries: noc@otenet.gr | remarks: |Abuse & Spam: abuse@otenet.gr | remarks: |DNS & RIPE: hostmaster@otenet.gr | remarks: +---------------------------------+ mnt-by: OTENET-GR-MNT mnt-domains: OTENET-GR-MNT source: RIPE # Filtered remarks: rev-srv attribute deprecated by RIPE NCC on 02/09/2009 role: OTENET IP ADM address: OTEnet S.A. address: 109 Kifissias Ave & Sina Str.Marousi address: GR-15124 Athens address: Greece phone: +30 210 6151600 fax-no: +30 210 6151900 admin-c: AV323-RIPE tech-c: PP5896-RIPE tech-c: GZ1021-RIPE nic-hdl: OIA15-RIPE abuse-mailbox: abuse@otenet.gr mnt-by: OTENET-GR-MNT source: RIPE # Filtered % Information related to '85.72.0.0/14AS6799' route: 85.72.0.0/14 descr: OTEnet origin: AS6799 remarks: OTEnet S.A. Multiprotocol Backbone & ISP mnt-by: OTENET-GR-MNT source: RIPE # Filtered % Information related to '85.73.0.0/16AS6799' route: 85.73.0.0/16 descr: OTEnet origin: AS6799 remarks: OTEnet S.A. Multiprotocol Backbone & ISP mnt-by: OTENET-GR-MNT source: RIPE # Filtered karmic:~$ whois 94.66.232.67 % This is the RIPE Database query service. % The objects are in RPSL format. % % The RIPE Database is subject to Terms and Conditions. % See http://www.ripe.net/db/support/db-terms-conditions.pdf % Note: This output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '94.66.128.0 - 94.66.255.255' inetnum: 94.66.128.0 - 94.66.255.255 netname: OTENET descr: Multiprotocol Service Provider to other ISP's and End Users descr: located in Greece and having nodes in 63 cities country: GR admin-c: OIA15-RIPE tech-c: OIA15-RIPE remarks: rev-srv: ns1.otenet.gr remarks: rev-srv: ns2.otenet.gr status: ASSIGNED PA remarks: +---------------------------------+ remarks: |General enquiries: noc@otenet.gr | remarks: |Abuse & Spam: abuse@otenet.gr | remarks: |DNS & RIPE: hostmaster@otenet.gr | remarks: +---------------------------------+ mnt-by: OTENET-GR-MNT mnt-domains: OTENET-GR-MNT source: RIPE # Filtered remarks: rev-srv attribute deprecated by RIPE NCC on 02/09/2009 role: OTENET IP ADM address: OTEnet S.A. address: 109 Kifissias Ave & Sina Str.Marousi address: GR-15124 Athens address: Greece phone: +30 210 6151600 fax-no: +30 210 6151900 admin-c: AV323-RIPE tech-c: PP5896-RIPE tech-c: GZ1021-RIPE nic-hdl: OIA15-RIPE abuse-mailbox: abuse@otenet.gr mnt-by: OTENET-GR-MNT source: RIPE # Filtered % Information related to '94.64.0.0/13AS6799' route: 94.64.0.0/13 descr: OTEnet origin: AS6799 remarks: OTEnet S.A. Multiprotocol Backbone & ISP mnt-by: OTENET-GR-MNT source: RIPE # Filtered % Information related to '94.66.0.0/16AS6799' route: 94.66.0.0/16 descr: OTEnet origin: AS6799 remarks: OTEnet S.A. Multiprotocol Backbone & ISP mnt-by: OTENET-GR-MNT source: RIPE # Filtered karmic:~$ whois 109.96.143.157 % This is the RIPE Database query service. % The objects are in RPSL format. % % The RIPE Database is subject to Terms and Conditions. % See http://www.ripe.net/db/support/db-terms-conditions.pdf % Note: This output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '109.96.0.0 - 109.96.255.255' inetnum: 109.96.0.0 - 109.96.255.255 netname: ROMTELECOM descr: Romtelecom Data Network country: RO admin-c: AL3618-RIPE tech-c: ANOC7-RIPE status: ASSIGNED PA mnt-by: MNT-ARTELECOM-LIR mnt-lower: MNT-ARTELECOM-LIR mnt-routes: MNT-ARTELECOM-LIR mnt-domains: MNT-ARTELECOM-LIR source: RIPE # Filtered role: ARtelecom LIR address: Garlei 1B sector 1 013721 Bucuresti Romania abuse-mailbox: abuse@romtelecom.ro admin-c: DC478-RIPE tech-c: CD297-RIPE mnt-by: MNT-ARTELECOM-LIR nic-hdl: AL3618-RIPE source: RIPE # Filtered role: ARtelecom Network Operation Center address: 100 Calea Vitan Str. address: Bucuresti,sect 3, Romania phone: +40-21-3029767 fax-no: +40-21-3130730 remarks: trouble: +--------------------------------------------------- remarks: trouble: | Operational issues: noc@artelecom.net | remarks: trouble: | AS & Peering issues: route-admin@artelecom.net | remarks: trouble: | Abuse and Spam issues: abuse@romtelecom.ro | remarks: trouble: | * IN CASE OF HACK ATTACKS ILLEGAL ACTIVITY, | remarks: trouble: | * VIOLATION, SCANS, PROBES, SPAM, ETC. * | remarks: trouble: | DNS issues: hostmaster@artelecom.net | remarks: trouble: +--------------------------------------------------- remarks: 24x7 @ +40-21-3029768 admin-c: AI134-RIPE tech-c: CD297-RIPE tech-c: CI84-RIPE tech-c: DEM5-RIPE nic-hdl: ANOC7-RIPE mnt-by: ARTELECOM-MNT source: RIPE # Filtered abuse-mailbox: abuse@romtelecom.ro abuse-mailbox: abuse@romtelecom.ro abuse-mailbox: abuse@romtelecom.ro % Information related to '109.96.0.0/16AS9050' route: 109.96.0.0/16 descr: Romtelecom origin: AS9050 mnt-by: MNT-ARTELECOM-LIR source: RIPE # Filtered

Κάνε Reset το ρούτερ , κάνε τις ρυθμίσεις από την αρχή , εάν και πάλι θα δεις τα ίδια τότε υπάρχει πρόβλημα εάν όχι ήτανε αυτό που είπα .
Και κατά το έλεγχο μην τρέχεις τίποτα κλείσε όλα τα προγράμματα άλλα καλύτερα να το δεις από το live cd .

από **ant_0611** » 01 Φεβ 2010, 17:26

Λοιπον, δεν εχω ανοιξει καμια πορτα στο ρουτερ. Εχω ενεργοποιημένο το firewall του.
Εγκατέστησα το firestarter, και ενω το ρουτερ κατεγραψε ενα τετοιο event στο log του, ο firestarter δεν το κατεγραψε στα events του.
Εχω απενεργοποιημενο το web management στο ρουτερ.
Εν όλίγης, το ρουτερ ουτως η αλλως δεν το παραμετροποιήσα τρελά απο τότε που το πήρα. Μονο ρυθμίσεις ISP έχω βάλει και το wifi μου. Ολα τα άλλα ειναι defaults.
Έψαξα λίγο στο ιντερνετ και βλεπω οτι λένε ότι και εσυ. Δηλαδη, πιθανή επιθεση, αλλα δεν παιρναει στο δικτυο.
Σκέφτομαι να το αναφέρω στην Forthnet , μήπως και μου δώσουν μια εξήγηση.

Περίεργα log messages σε ρουτερ!!!

Περίεργα log messages σε ρουτερ!!!

Re: Περίεργα log messages σε ρουτερ!!!

Re: Περίεργα log messages σε ρουτερ!!!