UFW BLOCK

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, eccetera.
rt6
Prode Principiante
Messaggi: 5
Iscrizione: giovedì 27 aprile 2017, 15:40

UFW BLOCK

Messaggio da rt6 »

Ciao a tutti,da /var/log/syslog ho avuto questi messaggi [UFW BLOCK] :

Codice: Seleziona tutto

ST=192.168.1.12 LEN=40 TOS=0x00 PREC=0x00 TTL=53 ID=561 DF PROTO=TCP SPT=80 DPT=44709 WINDOW=0 RES=0x00 RST URGP=0 
Apr 24 11:58:07 -ldsddd kernel: [ 2329.168205] [UFW BLOCK] IN=eth0 OUT= MAC=56:c2:a7:ae:61:ad:fx:xx:xx:xx:xx:xx:08:00 SRC=109.75.xxx.101 DST=192.168.1.12 LEN=40 TOS=0x00 PREC=0x00 TTL=53 ID=562 DF PROTO=TCP SPT=80 DPT=44710 WINDOW=0 RES=0x00 RST URGP=0 
Apr 24 11:58:07 -ldsddd kernel: [ 2329.168414] [UFW BLOCK] IN=eth0 OUT= MAC=56:c2:a7:ae:61:ad:fx:xx:xx:xx:xx:xx:08:00 SRC=109.75.xxx.101 DST=192.168.1.12 LEN=40 TOS=0x00 PREC=0x00 TTL=53 ID=563 DF PROTO=TCP SPT=80 DPT=44711 WINDOW=0 RES=0x00 RST URGP=0 
Apr 24 11:58:09 -ldsddd kernel: [ 2331.313942] [UFW BLOCK] IN=eth0 OUT= MAC=56:c2:a7:ae:61:ad:fx:xx:xx:xx:xx:xx:08:00 SRC=109.75.xxx.101 DST=192.168.1.12 LEN=40 TOS=0x00 PREC=0x00 TTL=53 ID=991 DF PROTO=TCP SPT=80 DPT=44709 WINDOW=0 RES=0x00 RST URGP=0 
Apr 24 11:58:09 -ldsddd kernel: [ 2331.315498] [UFW BLOCK] IN=eth0 OUT= MAC=56:c2:a7:ae:61:ad:fx:xx:xx:xx:xx:xx:08:00 SRC=109.75.xxx.101 DST=192.168.1.12 LEN=40 TOS=0x00 PREC=0x00 TTL=53 ID=992 DF PROTO=TCP SPT=80 DPT=44710 WINDOW=0 RES=0x00 RST URGP=0 
Apr 24 11:58:09 -ldsddd kernel: [ 2331.316886] [UFW BLOCK] IN=eth0 OUT= MAC=56:c2:a7:ae:61:ad:fx:xx:xx:xx:xx:xx:08:00 SRC=109.75.xxx.101 DST=192.168.1.12 LEN=40 TOS=0x00 PREC=0x00 TTL=53 ID=993 DF PROTO=TCP SPT=80 DPT=44711 WINDOW=0 RES=0x00 RST URGP=0 
Apr 24 11:58:13 -ldsddd kernel: [ 2335.617782] [UFW BLOCK] IN=eth0 OUT= MAC=56:c2:a7:ae:61:ad:fx:xx:xx:xx:xx:xx:08:00 SRC=109.75.xxx.101 DST=192.168.1.12 LEN=40 TOS=0x00 PREC=0x00 TTL=53 ID=1263 DF PROTO=TCP SPT=80 DPT=44709 WINDOW=0 RES=0x00 RST URGP=0 
Apr 24 11:58:13 -ldsddd kernel: [ 2335.619260] [UFW BLOCK] IN=eth0 OUT= MAC=56:c2:a7:ae:61:ad:fx:xx:xx:xx:xx:xx:08:00 SRC=109.75.xxx.101 DST=192.168.1.12 LEN=40 TOS=0x00 PREC=0x00 TTL=53 ID=1264 DF PROTO=TCP SPT=80 DPT=44710 WINDOW=0 RES=0x00 RST URGP=0 
Apr 24 12:01:52 -ldsddd dhclient: DHCPREQUEST of 192.168.1.12 on eth0 to 192.168.1.1 port 67 (xid=0x5e9e147)
Apr 24 12:01:52 -ldsddd dhclient: DHCPACK of 192.168.1.12 from 192.168.1.1
Apr 24 12:01:53 -ldsddd NetworkManager[563]: <info> (eth0): DHCPv4 state changed renew -> renew
Apr 24 12:01:53 -ldsddd NetworkManager[563]: <info>   address 192.168.1.12
Apr 24 12:01:53 -ldsddd NetworkManager[563]: <info>   plen 24 (255.255.255.0)
Apr 24 12:01:53 -ldsddd dhclient: bound to 192.168.1.12 -- ren
e nello stesso momento Arpon si è come bloccato per circa 15 minuti:

Codice: Seleziona tutto

11:57:01 ARP cache, ACCEPT
	 src HW = <fx:xx:xx:xx:xx:xx>
11:57:01 ARP cache, ACCEPT
	 src HW = <fx:xx:xx:xx:xx:xx>
	 src IP = <192.168.1.1>
11:58:02 ARP cache, ACCEPT
	 src IP = <192.168.1.1>
11:58:02 ARP cache, ACCEPT
	 src HW = <fx:xx:xx:xx:xx:xx>
	 src IP = <192.168.1.1>
11:58:36 ARP cache, ACCEPT
	 src HW = <fx:xx:xx:xx:xx:xx>
	 src IP = <192.168.1.1>
12:01:57 ARP cache, DENY
	 src HW = <fx:xx:xx:xx:xx:xx>
	 src IP = <192.168.1.1>
12:01:58 ARP cache, ACCEPT
	 src HW = <fx:xx:xx:xx:xx:xx>
	 src IP = <192.168.1.1>
12:16:22 ARP cache, DENY
	 src HW = <fx:xx:xx:xx:xx:xx>
	 src IP = <192.168.1.1>
12:16:22 ARP cache, ACCEPT
	 src HW = <fx:xx:xx:xx:xx:xx>
	 src IP = <192.168.1.1>
12:18:33 ARP cache, ACCEPT

Il sito da cui sembra venire la connessione è in manutenzione.
E' un tentativo d'intrusione o cosa?
Ultima modifica di rt6 il martedì 30 maggio 2017, 15:40, modificato 8 volte in totale.
Avatar utente
giulux
Amministratore
Amministratore
Messaggi: 25422
Iscrizione: domenica 10 gennaio 2010, 12:17
Desktop: ubuntu 18.04
Distribuzione: Ubuntu 18.04.3 LTS x86_64
Sesso: Maschile
Località: Roma

Re: UFW BLOCK

Messaggio da giulux »

Inseriti come hai fatto i listati rendono il post troppo lungo e di difficile lettura.
In futuro incollali tra i tag [ code] e [ /code] che si creano cliccando su Codice in alto, sopra la finestra di scrittura (editor completo) così:
  • [ code]listato
    da postare
    [ /code]
Correggi il post precedente cliccando su "modifica", poi seleziona il listato, clicca su Codice e salva.
0tag_codice.gif
Ciao
"Non è una segno di buona salute l'essere ben adattato ad una società malata". (Jiddu Krishnarmurti)
Avatar utente
DoctorStrange
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 2854
Iscrizione: mercoledì 14 ottobre 2015, 9:33
Desktop: Gnome3
Distribuzione: Ubuntu 22.04 LTS Jammy Jellyfish
Sesso: Maschile
Località: Roma, Italia

Re: UFW BLOCK

Messaggio da DoctorStrange »

Il destination address: DST=192.168.1.12 sembra essere un indirizzo appartenente ad una localhost, tipicamente è un indirizzo che viene assegnato dal router in una subnet locale, come succede per esempo con la Vodafone Station di Vodafone.

Anche il source address, il fatto che risulti in manutenzione è strano, prova a fare un nmap su quell'indirizzo ma, secondo me, non otterrai nulla di rilevante.

Sospetto semmai che hai tracciato una qualche comunicazione locale tra due processi del tuo stesso computer.

Di solito questi processi sono trasparenti all'utente, ma le tue letture sono anomale.

Per caso hai giocato un pò con le regole di instradamento e con iptables, visto che parli di UFW, che è il firewall?

Quali modifiche hai apportato alle regole di default? E, soprattutto, cosa avresti voluto ottenere?
Scrivi risposta

Ritorna a “Sicurezza”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 6 ospiti