Mensagens de intrusão do roteador no log de atividades. O que eles querem dizer?

Navegue suas respostas
0

Eu tenho estas linhas no log de atividades do meu roteador: 

Intrusion _> IN=ppp0.1 OUT= SRC=94.139.999.999 DST= Masked.xxx.xxx.xx9 PROTO=TCP SPT=49454 DPT=85

Existe um novo log a cada segundo. Os números mudam um pouco a cada vez.

O que está acontecendo?

    
por Dude99 20.07.2018 / 07:43

2 respostas

1

Você não deve se preocupar muito com essa mensagem.

Apenas diz que alguém com o IP de origem especificado tentou entrar no seu roteador, se essa for a mensagem completa. Se a mensagem também incluir portas, o IP de origem provavelmente apenas examinará sua rede em busca de portas abertas.

A mensagem é bastante comum em qualquer firewall, existem botnets inteiros dedicados a apenas verificar suas portas e tentar entrar no seu roteador usando o nome de usuário / senha padrão. Isso não significa que alguém entrou no seu roteador.

Verifique se você alterou sua senha e apenas para ter certeza, você pode reiniciar seu roteador posteriormente. Se você não tiver tempo de inatividade, tudo bem.

Postagens semelhantes sobre isso:
@ superuser.com - O que é uma invasão de kernel no meu roteador?
Intrusão do kernel no meu roteador

Geralmente, é a "grande bad internet batendo na sua porta". E a menos que você abra a porta, tudo está bem.

    
por 20.07.2018 / 08:03
0

Sem saber o fornecedor / modelo específico do seu roteador, eu diria que seu roteador detectou uma tentativa de invasão e registrou isso. Nada para se preocupar.

Caso você esteja interessado, as entradas na linha revelam mais alguns detalhes:

  • IN : A interface usada, ppp0.1 aqui, provavelmente se refere à porta WAN em direção ao seu ISP.
  • OUT : A interface de saída, já que não há nada para ser passado / enviado, não está definida.
  • SRC : o IP de origem da conexão incorreta.
  • DST : O IP de destino da conexão incorreta (deve ser o IP da WAN do seu roteador).
  • PROTO : O protocolo usado, o TCP / IP aqui.
  • SPT : A porta de origem da conexão incorreta (geralmente não significa nada, já que é atribuída automaticamente pelo sistema com base em portas não utilizadas).
  • DPT : a porta de destino, ou seja, o que foi tentado conectar no seu final.

A porta 85 é normalmente usada pelo "ML MIT Device" (não tem ideia do que é isso, na verdade :)), mas também é usado por trojans.

Então o que aconteceu aqui? Nada incomum, na verdade. Em combinação com as outras entradas de log (que normalmente devem incluir entradas diferentes para DPT , potencialmente diferentes SRC também), isso geralmente é apenas uma chamada varredura de portas. Algum outro computador (ou rede de computadores), procurando por portas abertas, ou seja, portas que aceitam conexões. Estes podem indicar potencial superfície de ataque para exploits, etc.

Você deve estar preocupado? Não, claramente não. Seu roteador identificou a tentativa de varredura de porta (que é considerada uma possível tentativa de invasão; portanto, as entradas de log), então provavelmente negou automaticamente todas as conexões de entrada adicionais dessas portas, mesmo que elas estivessem abertas. Verifique novamente se você tem alguma porta encaminhada (você não deveria, a menos que forneça servidores / serviços específicos para o público). É importante mencionar que muitos sites e departamentos de suporte a jogos dizem a seus jogadores para "encaminhar portas", mesmo se eles forem usados somente em direção de saída e o atacante só adiciona superfície de ataque sem nenhum ganho.

    
por 20.07.2018 / 08:09

Tags

Thunderbird: como fazer backup de tudo, incluindo anexos Linux virtual tty