Firewall et log "bizarre"



  • En cherchant une info dans les logs du firewall (iptable), j'ai aperçu des lignes … bizarre on va dire :

    Feb 2 10:05:14 srv38 kernel: [751805.911409] IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:25:22:f6:81:67:08:00 SRC=91.229.20.67 DST=91.229.20.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=14856 PROTO=UDP SPT=137 DPT=137 LEN=58
    Feb 2 10:05:17 srv38 kernel: [751809.270060] IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:04:00:07:65:00:13:08:00 SRC=91.229.20.212 DST=255.255.255.255 LEN=147 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=17500 DPT=17500 LEN=127
    Feb 2 10:05:17 srv38 kernel: [751809.270411] IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:04:00:07:65:00:13:08:00 SRC=91.229.20.212 DST=91.229.20.255 LEN=147 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=17500 DPT=17500 LEN=127
    Feb 2 10:05:18 srv38 kernel: [751810.290755] IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:04:00:07:65:00:05:08:00 SRC=91.229.20.204 DST=255.255.255.255 LEN=328 TOS=0x10 PREC=0x00 TTL=128 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=308
    Feb 2 10:05:24 srv38 kernel: [751815.661257] IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:25:22:d8:ef:86:08:00 SRC=91.229.20.21 DST=91.229.20.255 LEN=229 TOS=0x00 PREC=0x00 TTL=128 ID=27589 PROTO=UDP SPT=138 DPT=138 LEN=209
    Feb 2 10:05:25 srv38 kernel: [751817.386992] IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:64:d9:89:d1:b6:d6:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=326 TOS=0x00 PREC=0x00 TTL=128 ID=2841 PROTO=UDP SPT=68 DPT=67 LEN=306
    Feb 2 10:05:35 srv38 kernel: [751827.147745] IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:04:00:07:65:00:05:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x10 PREC=0x00 TTL=128 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=308

    Ce qui m'intrigue, c'est les IP source dans certains cas : 91.229.20.* qui correspond au réseau FH, et les port touchés sont souvent 67 68 137 137 138 et 17500 (en UDP toujours).

    Le "soucis" n'étant pas forcément la présence de tel logs, mais en avoir 2-3 par secondes en moyennes, ca me parait bizarre. Autant les source 0.0.0.0 c'est des bonne petites attaques externe / cachés, autant le "flood udp" local est étrange… (merci le drop du iptable de bloquer tout ça)

    Des infos à ce niveau?


  • Administrateur

    Je vais creuser



  • C'est noté. Merci



  • Bonjour,

    Moi aussi j'ai pareil voici se que me retourne mon iftop a propos de cette ip :

    vps013.local

    Il utilise constamment 113 b/s …

    Cette ip est lister 4 fois dans mon iftop bizarre

    Killukru



  • J'ai bien 5 à 10 ip FH différentes, je peux mettre le fw_drop.log à dispo si besoin (55mo environ)



  • @Althalus:

    J'ai bien 5 à 10 ip FH différentes, je peux mettre le fw_drop.log à dispo si besoin (55mo environ)

    Ah les gens t'aime pas trop on dirais :mrgreen: :mrgreen:

    Non sérieux, pense juste a bien sécuriser puis terminé :D :D

    Killukru



  • @killukru50:

    @Althalus:

    J'ai bien 5 à 10 ip FH différentes, je peux mettre le fw_drop.log à dispo si besoin (55mo environ)

    Ah les gens t'aime pas trop on dirais :mrgreen: :mrgreen:

    Non sérieux, pense juste a bien sécuriser puis terminé :D :D

    Killukru

    C'est pas des requête direct mais en broadcast, regarde les ip de destination et tu verras. À vu d'oeil ça test tout le réseau FH, sans dopod mais avec insistance



  • Pas trop compris le but de cette machine … Enfin bref pour le moment elle en fais pas plus x')

    Killukru



  • IP destination en .255, c'est du broadcast visiblement.
    Après y'en a tellement même quand on ne fait rien que limite ça ne me choque pas (udp 137 = netbios, udp 67 = dhcp)
    Peut-être les requêtes en udp 17500 qui sont bizarres, c'est du dropbox (entre autres), peut-être une tentative de recherche de client à exploiter ?


Se connecter pour répondre
 

Il semble que votre connexion ait été perdue, veuillez patienter pendant que nous vous re-connectons.