Eventos por hora no firewall-log, originários do Ubuntu12.04-box. Como encontrar o motivo? [duplicado]

Navegue suas respostas
3

a cada hora, o arquivo de log em nosso firewall (IPCop 1.4.20, 192.168.1.8) lista nove linhas, aparentemente causadas pelo meu computador (Ubuntu 12.04, 192.168.1.55): 

Jan  8 08:01:16 ipc9 kernel: NEW not SYN? IN=eth0 OUT= MAC=00:04:06:08:0b:03:00:0c:0e:05:07:01:01:00 SRC=
192.168.1.55 DST=192.168.1.8 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=36594 DF PROTO=TCP SPT=44474 DPT=800 WIN
DOW=37960 RES=0x00 ACK FIN URGP=0 
...

Jan  8 08:02:08 ipc9 kernel: NEW not SYN? IN=eth0 OUT= MAC=00:04:06:08:0b:03:00:0c:0e:05:07:04:08:00 SRC=
192.168.1.55 DST=192.168.1.8 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=36602 DF PROTO=TCP SPT=44474 DPT=800 WIN
DOW=37960 RES=0x00 ACK FIN URGP=0

Não tenho ideia de como encontrar a causa dessas entradas. /etc/cron.hourly está vazio. 

root@ubb-55:~# netstat -tulpen
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode       PID/Program name
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      0          8994        940/dnsmasq     
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      0          8042        685/sshd        
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      0          79057       777/cupsd       
tcp6       0      0 :::22                   :::*                    LISTEN      0          8044        685/sshd        
tcp6       0      0 ::1:631                 :::*                    LISTEN      0          79056       777/cupsd       
udp        0      0 127.0.0.1:53            0.0.0.0:*                           0          8993        940/dnsmasq     
udp        0      0 0.0.0.0:68              0.0.0.0:*                           0          8612        910/dhclient    
root@ubb-55:~#

Como se pode descobrir, qual serviço ou o que está causando esses pacotes a cada hora?

Obrigado Robert

    
por user119665 08.01.2013 / 10:21

2 respostas

2

Eu encontrei este Q & A e removeu o unity-scope-video-remote. Parece que essa foi a solução para impedir que meu computador enviasse os pacotes ofensivos. Eu ainda gostaria de saber qual seria a maneira 'limpa' de encontrar serviços / processos desnecessários / indesejados e desativá-los.

    
por user119665 14.01.2013 / 16:32
0

Provavelmente não é a melhor maneira, mas você poderia usar wireshark na caixa dot55 com o filtro de captura definido para o endereço IP do ipcop.

Abra o wireshark e vá para a aba Capture / Options / Capture Filters, clique no endereço ip 192.168.0.1

na string do filtro, mude o ip 192.168.0.1 para o endereço IP do ipcop

host 192.168.1.8

Depois de capturar o pacote ofensivo, clique na guia analisar e, em seguida, clique em seguir o fluxo tcp. Isso deve te dar uma pista.

    
por user107425 08.01.2013 / 12:42

Tags

Método agnóstico do ambiente de desktop para solicitar uma senha ao usuário? Como posso obter a chave pública para o gerenciador de atualização do Ubuntu 10.04?