Acho que estou sendo Monitorado!!!!!!!!!!

MarceloRibeiro · 26-07-2004, 23:14

Pessoal,

Verifiquei o arquivo /var/log/messages, e me deparei com um monte de mensagens desse tipo:

Jul 26 22:57:54 ssecurity kernel: martian source 10.0.5.1 from 10.0.5.11 on dev eth0

O que significa isso???

URGENTE!!!!!!!!! POR FAVOR, ESTOU EM PÂNICO!!!

Marcelo Ribeiro

27-07-2004, 13:38

Bom, e' o seguinte.. 8O

Os "Martian Packets" sao definidos assim por conter um endereco de origem e/ou de destino invalidos, ou tambem aqueles que estao vindo por algum lugar que nao deveriam , como pacotes de hosts internos chegando na interface externa..

Isso pode significar.. bem.. acho que sim.. pode significar que esta sendo observado :? , mas tambem pode significar que tem alguma configuracao errada em uma das maquinas da tua rede ou ainda que estao te mandando pacotes falsos para tentar te derrubar (provavelmente achando que tu ta usando windows).

Como descobrir o que e' eu nao sei direito.. :?: mas voce pode comecar pingando esses enderecos.. ou algo do tipo: tcpdump -v -n -s1500 host 10.0.5.* pra ver se consegue descobrir de onde isso ta vindo..

[]'s

_ivy_ · 27-07-2004, 14:28

Esqueci de dizer a cima que vc pode parar de logar esses pacotes .. eh so procurar o "log_martians" deve ficar por aqui:

/proc/sys/net/ipv4/conf/*interface*/

[]'s

**pssgyn** · 27-07-2004, 21:00

_ivy_
Segundo a sua explicação sobre o /proc/sys/net/ipv4/conf/*interface*/ , eu gostaria de saber então o que eu deveria fazer para não receber esses "log_martians" .
Na rede da empresa onde trabalho, issso acontece volta e meia, e vem várias mensagens uma atrás da outra. Tem momentos que a tela fica repleta dessas mensagens. Não faço a menor idéia do que seja isso, ou como resolver. Você poderia dar uma dica de com solucionar ???
Obrigado .........

**irado** · 28-07-2004, 01:12

Jul 26 22:57:54 ssecurity kernel: martian source 10.0.5.1 from 10.0.5.11 on dev eth0

não tem como vc "não receber" - se a sua eth0 é a externa. Como vc controlaria alguém que está enviando esses pacotes pra vc? Pode ser que o sujeito esteja usando um nmap com valores despropositados (classse A) pra se esconder - e acabou aparecendo (risos).

vc só pode "drop" os pacotes.. ou melhor, "reset", pra não deixar a banda ser consumida por um montão de conexões abertas.

e ficar atento.. ver os logs. Pode ser que alguem esteja fazendo um "scanning" em vc, e os logs mostrarão isso.

MarceloRibeiro · 28-07-2004, 18:29

Valeu cara,

Mesmo a eth0 sendo a rede interna???

Porque a impressão que dá é que esses pacotes chegaram na interface interna.... ou não?????

Poderia exemplificar uma regra que corrija isso???

Valeu

Marcelo Ribeiro

**mistymst** · 28-07-2004, 19:49

e so procurar no proc onde nossa garota falou, so que ela esqueceu de dizer o nome do arquivo, log_martians no caso, se nao me falha a memoria (preguissa de ligar a VM) 1 liga 0 desliga mesmo esquema de outras coisas no proc.

Beto · 29-07-2004, 07:28

Postado originalmente por mistymst

e so procurar no proc onde nossa garota falou, so que ela esqueceu de dizer o nome do arquivo, log_martians no caso, se nao me falha a memoria (preguissa de ligar a VM) 1 liga 0 desliga mesmo esquema de outras coisas no proc.

Amigos,

É isso mesmo q nosso amigo mistymst falou, altere o valor dele.
Faça um script para rodar na inicialização:
#!/bin/sh
echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
exit 0

( )'s

Beto

Acho que estou sendo Monitorado!!!!!!!!!!

Ferramentas de Tópicos