Log do /var/log/messages - ajuda pra compreender
No meu /var/log/messages aparece muita linha como essa:
Aug 27 16:29:36 router kernel: gShield (default drop) IN=ppp0 OUT= MAC= SRC=201.10.164.132 DST=201.11.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=122 ID=12813 DF PROTO=TCP SPT=3469 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0
alguem me ajuda a interpretar??
essas mensagens SEMPRE tem o mesmo IP de origem. Pode mudar de um dia pra outro, mas geralmente é o mesmo. Será que é alguma máquina aqui na minha rede que tá solicitando um serviço bloqueado (ou tah com SpyWare) ou tem alguem tentando me invadir??
uso o gShield firewall, algo a dizer sobre ele? alguma outra recomendação??
Vlw
eggert
Re: Log do /var/log/messages - ajuda pra compreender
Citação:
Postado originalmente por fereggert
No meu /var/log/messages aparece muita linha como essa:
Aug 27 16:29:36 router kernel: gShield (default drop) IN=ppp0 OUT= MAC= SRC=201.10.164.132 DST=201.11.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=122 ID=12813 DF PROTO=TCP SPT=3469 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0
alguem me ajuda a interpretar??
essas mensagens SEMPRE tem o mesmo IP de origem. Pode mudar de um dia pra outro, mas geralmente é o mesmo. Será que é alguma máquina aqui na minha rede que tá solicitando um serviço bloqueado (ou tah com SpyWare) ou tem alguem tentando me invadir??
uso o gShield firewall, algo a dizer sobre ele? alguma outra recomendação??
Vlw
eggert
Aug 27 16:29:36 => data
router => nome da máquina
kernel: => subsistema de origem do log
gShield (default drop) => comentário, no caso a aplicação.
IN=ppp0 => interface de entrada
OUT= => interface de saída
MAC= => MAC adress associado a origem
SRC=201.10.164.132 => endereço de origem
DST=201.11.xxx.xxx => endereço de destino
LEN=48 => tamanho do pacote
TOS=0x00 => flag TCP Type of Service
PREC=0x00
TTL=122 =>Time to Life
ID=12813
DF
PROTO=TCP => protocolo de transporte
SPT=3469 =>porta de origem
DPT=445 =>porta de destino
WINDOW=16384 => tamanho da janela TCP
RES=0x00 =>flag de reset do TCP
SYN => syn bit TCP abilitado (inicio do handshake)
URGP=0 =>flat TCP
Parece que é um bloqueio ao serviço microsoft-ds:
http://www.petri.co.il/what_is_port_445_in_w2kxp.htm
Exemplo do que pode acontecer se ficar aberto:
http://www.securiteam.com/windowsntf...YP0J206UQ.html
Log do /var/log/messages - ajuda pra compreender
pelo que entendi seria SMB sobre TCP (porta 445). Tenho aqui configurado o SAMBA 3 - pode ser algo de má conf. dele?
Será que é alguem tentando invadir minha rede? ou posso ter algum software malicioso instalado em alguma máquina aqui? Eu não tenho nenhum Win 2k ou 2003, apenas um XP que fica pouco na rede (note).
Há algo a ser fazer para que isto pare de inflar meu log?
e sobre o gShied Firewall alguem conhece? É bom? Alguma outra recomendação?
Vlw
eggert