UFW BLOCK

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, ecc.

UFW BLOCK

Messaggioda rt6 » giovedì 27 aprile 2017, 16:06

Ciao a tutti,da /var/log/syslog ho avuto questi messaggi [UFW BLOCK] :

Codice: Seleziona tutto
ST=192.168.1.12 LEN=40 TOS=0x00 PREC=0x00 TTL=53 ID=561 DF PROTO=TCP SPT=80 DPT=44709 WINDOW=0 RES=0x00 RST URGP=0
Apr 24 11:58:07 -ldsddd kernel: [ 2329.168205] [UFW BLOCK] IN=eth0 OUT= MAC=56:c2:a7:ae:61:ad:fx:xx:xx:xx:xx:xx:08:00 SRC=109.75.xxx.101 DST=192.168.1.12 LEN=40 TOS=0x00 PREC=0x00 TTL=53 ID=562 DF PROTO=TCP SPT=80 DPT=44710 WINDOW=0 RES=0x00 RST URGP=0
Apr 24 11:58:07 -ldsddd kernel: [ 2329.168414] [UFW BLOCK] IN=eth0 OUT= MAC=56:c2:a7:ae:61:ad:fx:xx:xx:xx:xx:xx:08:00 SRC=109.75.xxx.101 DST=192.168.1.12 LEN=40 TOS=0x00 PREC=0x00 TTL=53 ID=563 DF PROTO=TCP SPT=80 DPT=44711 WINDOW=0 RES=0x00 RST URGP=0
Apr 24 11:58:09 -ldsddd kernel: [ 2331.313942] [UFW BLOCK] IN=eth0 OUT= MAC=56:c2:a7:ae:61:ad:fx:xx:xx:xx:xx:xx:08:00 SRC=109.75.xxx.101 DST=192.168.1.12 LEN=40 TOS=0x00 PREC=0x00 TTL=53 ID=991 DF PROTO=TCP SPT=80 DPT=44709 WINDOW=0 RES=0x00 RST URGP=0
Apr 24 11:58:09 -ldsddd kernel: [ 2331.315498] [UFW BLOCK] IN=eth0 OUT= MAC=56:c2:a7:ae:61:ad:fx:xx:xx:xx:xx:xx:08:00 SRC=109.75.xxx.101 DST=192.168.1.12 LEN=40 TOS=0x00 PREC=0x00 TTL=53 ID=992 DF PROTO=TCP SPT=80 DPT=44710 WINDOW=0 RES=0x00 RST URGP=0
Apr 24 11:58:09 -ldsddd kernel: [ 2331.316886] [UFW BLOCK] IN=eth0 OUT= MAC=56:c2:a7:ae:61:ad:fx:xx:xx:xx:xx:xx:08:00 SRC=109.75.xxx.101 DST=192.168.1.12 LEN=40 TOS=0x00 PREC=0x00 TTL=53 ID=993 DF PROTO=TCP SPT=80 DPT=44711 WINDOW=0 RES=0x00 RST URGP=0
Apr 24 11:58:13 -ldsddd kernel: [ 2335.617782] [UFW BLOCK] IN=eth0 OUT= MAC=56:c2:a7:ae:61:ad:fx:xx:xx:xx:xx:xx:08:00 SRC=109.75.xxx.101 DST=192.168.1.12 LEN=40 TOS=0x00 PREC=0x00 TTL=53 ID=1263 DF PROTO=TCP SPT=80 DPT=44709 WINDOW=0 RES=0x00 RST URGP=0
Apr 24 11:58:13 -ldsddd kernel: [ 2335.619260] [UFW BLOCK] IN=eth0 OUT= MAC=56:c2:a7:ae:61:ad:fx:xx:xx:xx:xx:xx:08:00 SRC=109.75.xxx.101 DST=192.168.1.12 LEN=40 TOS=0x00 PREC=0x00 TTL=53 ID=1264 DF PROTO=TCP SPT=80 DPT=44710 WINDOW=0 RES=0x00 RST URGP=0
Apr 24 12:01:52 -ldsddd dhclient: DHCPREQUEST of 192.168.1.12 on eth0 to 192.168.1.1 port 67 (xid=0x5e9e147)
Apr 24 12:01:52 -ldsddd dhclient: DHCPACK of 192.168.1.12 from 192.168.1.1
Apr 24 12:01:53 -ldsddd NetworkManager[563]: <info> (eth0): DHCPv4 state changed renew -> renew
Apr 24 12:01:53 -ldsddd NetworkManager[563]: <info>   address 192.168.1.12
Apr 24 12:01:53 -ldsddd NetworkManager[563]: <info>   plen 24 (255.255.255.0)
Apr 24 12:01:53 -ldsddd dhclient: bound to 192.168.1.12 -- ren

e nello stesso momento Arpon si è come bloccato per circa 15 minuti:

Codice: Seleziona tutto
11:57:01 ARP cache, ACCEPT
    src HW = <fx:xx:xx:xx:xx:xx>
11:57:01 ARP cache, ACCEPT
    src HW = <fx:xx:xx:xx:xx:xx>
    src IP = <192.168.1.1>
11:58:02 ARP cache, ACCEPT
    src IP = <192.168.1.1>
11:58:02 ARP cache, ACCEPT
    src HW = <fx:xx:xx:xx:xx:xx>
    src IP = <192.168.1.1>
11:58:36 ARP cache, ACCEPT
    src HW = <fx:xx:xx:xx:xx:xx>
    src IP = <192.168.1.1>
12:01:57 ARP cache, DENY
    src HW = <fx:xx:xx:xx:xx:xx>
    src IP = <192.168.1.1>
12:01:58 ARP cache, ACCEPT
    src HW = <fx:xx:xx:xx:xx:xx>
    src IP = <192.168.1.1>
12:16:22 ARP cache, DENY
    src HW = <fx:xx:xx:xx:xx:xx>
    src IP = <192.168.1.1>
12:16:22 ARP cache, ACCEPT
    src HW = <fx:xx:xx:xx:xx:xx>
    src IP = <192.168.1.1>
12:18:33 ARP cache, ACCEPT



Il sito da cui sembra venire la connessione è in manutenzione.
E' un tentativo d'intrusione o cosa?
Ultima modifica di rt6 il martedì 30 maggio 2017, 15:40, modificato 8 volte in totale.
rt6
Prode Principiante
 
Messaggi: 1
Iscrizione: aprile 2017

Re: UFW BLOCK

Messaggioda giulux » giovedì 27 aprile 2017, 16:22

Inseriti come hai fatto i listati rendono il post troppo lungo e di difficile lettura.
In futuro incollali tra i tag [ code] e [ /code] che si creano cliccando su Codice in alto, sopra la finestra di scrittura (editor completo) così:
    [ code]listato
    da postare
    [ /code]

Correggi il post precedente cliccando su "modifica", poi seleziona il listato, clicca su Codice e salva.
0tag_codice.gif


Ciao
con l'aiuto della comunità le cose si mettono quasi sempre a posto (e non apposto), a parte (e non apparte) qualche caso ...
Avatar utente
giulux
Amministratore
Amministratore
 
Messaggi: 18823
Iscrizione: gennaio 2010
Località: Roma
Desktop: xubuntu - ubuntu gnome
Distribuzione: Ubuntu 16.04.1 LTS x86_64
Sesso: Maschile

Re: UFW BLOCK

Messaggioda harpefalcata » giovedì 27 aprile 2017, 16:28

Il destination address: DST=192.168.1.12 sembra essere un indirizzo appartenente ad una localhost, tipicamente è un indirizzo che viene assegnato dal router in una subnet locale, come succede per esempo con la Vodafone Station di Vodafone.

Anche il source address, il fatto che risulti in manutenzione è strano, prova a fare un nmap su quell'indirizzo ma, secondo me, non otterrai nulla di rilevante.

Sospetto semmai che hai tracciato una qualche comunicazione locale tra due processi del tuo stesso computer.

Di solito questi processi sono trasparenti all'utente, ma le tue letture sono anomale.

Per caso hai giocato un pò con le regole di instradamento e con iptables, visto che parli di UFW, che è il firewall?

Quali modifiche hai apportato alle regole di default? E, soprattutto, cosa avresti voluto ottenere?
Avatar utente
harpefalcata
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 646
Iscrizione: ottobre 2015
Località: Roma, Italia
Desktop: Unity
Distribuzione: Ubuntu 16.04.2 Xenial Xerus
Sesso: Maschile


Torna a Sicurezza

Chi c’è in linea

Visualizzano questa sezione: 0 utenti registrati e 1 ospite