[Lugge] Re: R: Log di Linux

  • From: Roberto A.F. <robang@xxxxxxxxx>
  • To: lugge@xxxxxxxxxxxxx
  • Date: Tue, 21 Oct 2003 19:59:54 +0200

On Tue, 21 Oct 2003 18:48:55 +0200
spacedom@xxxxxxxxxxx wrote:

> >Semmai posta una riga tipo del log che vuoi analizzare, ripulita dei
> >dati sensibili, in pratica mascherando gli ip, così sei maggiormente
> >sicuro
> e
> >vedo di essere più preciso e dettagliato nella risposta.
> >Ciauz
> >gianlu|{a
> >
> 
> 
> - Jun 15 04:08:56 xyxyxy kernel: IN=eth1 OUT=
> MAC=aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa SRC=ttt.yyy.uuu.eee
> DST=xxx.yyy.vvv.iii LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=xcvbn
> PROTO=UDP SPT=137 DPT=137 LEN=58 
> 
> - Jun 15 04:08:57 xyxyxy kernel: IN=eth1 OUT=
> MAC=aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa SRC=fff.hhh.jjj.mmm
> DST=xxx.yyy.vvv.iii LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=eirut
> PROTO=UDP SPT=137 DPT=137 LEN=58 
> 
> - Jun 15 04:08:57 xyxyxy kernel: IN=eth1 OUT=
> MAC=aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa SRC=iii.ppp.aaa.qqq
> DST=xxx.yyy.vvv.iii LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=opdod
> PROTO=UDP SPT=137 DPT=137 LEN=58 

 tre pacchetti simili ma non uguali (ID) che escono da tre diverse
destinazioni ed arrivano (suppongo) al tuo indirizzo di destinazione
(quale, locale, remoto, pubblico?), protocollo UDP non hanno il flag SYN
quindi dovrebbero essere una risposta ad una tua richiesta. Hanno il MAC
address quindi dovrebbero essere di provenienza locale. Suppongo che
eth1 sia sulla rete locale. La porta 137 mi pare sia samba

 
> - Jun 15 04:11:04 xyxyxy kernel: IN=eth1 OUT= MAC= SRC=sss.eee.ttt.qqq
> DST=xxx.yyy.vvv.iii LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP
> SPT=1031 DPT=137 LEN=58

 Questo invece non ha un mac address... e non mi pare sia una cosa bella
(però potrebbe essere passato attraverso un router layer 3) anche questo
sulla porta 137, ha il flag di SYN quindi è un tentativo di connessione.
 
 
 
> - Jun 18 13:29:12 xyxyxy kernel: IN=eth1 OUT=
> MAC=aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa SRC=qqq.eee.ttt.yy
> DST=xxx.yyy.vvv.iii LEN=48 TOS=0x00 PREC=0x80 TTL=112 ID=adkfi DF
> PROTO=TCP SPT=64795 DPT=8081 WINDOW=64240 RES=0x00 SYN URGP=0

 Ci sono 4 sorgenti IP che sembrano essere provenire dalla stessa scheda
di rete... potrebbe essere una VLAN (ogni scheda virtuale ha un IP
differente ma il MAC rimane lo stesso). Questo pacchetto è un tentativo
di connessione alla porta 8081 (che non so cosa sia ma l'8080 è spesso
usata per l'http-proxy).


 ok, però alcuni numeri sono necessari per capire cosa succede, esempio:

 192.168.0.1 è un indirizzo locale... se non vedo che è locale non
capisco (user-trojan che cerca di passare il firewall dall'internto?)
inoltre indirizzi del tipo xx.yy.zz.0 oppure xx.yy.zz.255 sono indirizzi
speciali se non li vedo non capisco. Così come 127.0.0.1, 172.xx.yy.zz.
 Insomma maschera il tuo IP pubblico così xx.yy.zz.(vero) ma non tutti
gli altri 
 ;-)

 se mi sbaglio correggetemi 
 ;-)

 se ho detto castroneria correggetemi SUBITO!
 :D



 Ciao,
-- 
   ,__    ,_     ,___   .-------=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-.
   ||_)   ||\    ||_   /        Oh Capitano, Oh mio Capitano       |
   || \   ||¯\   ||¯     linuxgrp: http://www.lugge.net            |
   ¯¯  ¯° ¯¯  ¯° ¯¯  °   homepage: http://digilander.iol.it/robang |
\  Roberto A. Foglietta  reg num : #219348 by the Linux Counter    |
 `---------------------=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-'
========---------- 
  
 Prima di scrivere in m-list per favore leggi il regolamento 
 http://www.lugge.net/soci/index.php?link=manifesto
 
 Archivio delle e-mail postate in lista 
 //www.freelists.org/archives/lugge/ 
 
 Modifica dell'account sulla lista LUGGe 
 http://www.lugge.net/soci/index.php?link=manifesto.htm#list

Other related posts:

  1. Home
  2. lugge
  3. Archive
  4. 10-2003