+ Responder ao Tópico



  1. 27-08-2004, 16:51 #1
    fereggert
    Visitante

    Padrão Log do /var/log/messages - ajuda pra compreender

    No meu /var/log/messages aparece muita linha como essa:

    Aug 27 16:29:36 router kernel: gShield (default drop) IN=ppp0 OUT= MAC= SRC=201.10.164.132 DST=201.11.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=122 ID=12813 DF PROTO=TCP SPT=3469 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0

    alguem me ajuda a interpretar??

    essas mensagens SEMPRE tem o mesmo IP de origem. Pode mudar de um dia pra outro, mas geralmente é o mesmo. Será que é alguma máquina aqui na minha rede que tá solicitando um serviço bloqueado (ou tah com SpyWare) ou tem alguem tentando me invadir??

    uso o gShield firewall, algo a dizer sobre ele? alguma outra recomendação??

    Vlw

    eggert
    Citação Citação
  2. 27-08-2004, 17:14 #2
    gmlinux
    Visitante

    Padrão Re: Log do /var/log/messages - ajuda pra compreender

    Citação Postado originalmente por fereggert
    No meu /var/log/messages aparece muita linha como essa:

    Aug 27 16:29:36 router kernel: gShield (default drop) IN=ppp0 OUT= MAC= SRC=201.10.164.132 DST=201.11.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=122 ID=12813 DF PROTO=TCP SPT=3469 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0

    alguem me ajuda a interpretar??

    essas mensagens SEMPRE tem o mesmo IP de origem. Pode mudar de um dia pra outro, mas geralmente é o mesmo. Será que é alguma máquina aqui na minha rede que tá solicitando um serviço bloqueado (ou tah com SpyWare) ou tem alguem tentando me invadir??

    uso o gShield firewall, algo a dizer sobre ele? alguma outra recomendação??

    Vlw

    eggert
    Aug 27 16:29:36 => data
    router => nome da máquina
    kernel: => subsistema de origem do log
    gShield (default drop) => comentário, no caso a aplicação.
    IN=ppp0 => interface de entrada
    OUT= => interface de saída
    MAC= => MAC adress associado a origem
    SRC=201.10.164.132 => endereço de origem
    DST=201.11.xxx.xxx => endereço de destino
    LEN=48 => tamanho do pacote
    TOS=0x00 => flag TCP Type of Service
    PREC=0x00
    TTL=122 =>Time to Life
    ID=12813
    DF
    PROTO=TCP => protocolo de transporte
    SPT=3469 =>porta de origem
    DPT=445 =>porta de destino
    WINDOW=16384 => tamanho da janela TCP
    RES=0x00 =>flag de reset do TCP
    SYN => syn bit TCP abilitado (inicio do handshake)
    URGP=0 =>flat TCP

    Parece que é um bloqueio ao serviço microsoft-ds:
    http://www.petri.co.il/what_is_port_445_in_w2kxp.htm

    Exemplo do que pode acontecer se ficar aberto:
    http://www.securiteam.com/windowsntf...YP0J206UQ.html
    Citação Citação
  3. 27-08-2004, 17:42 #3
    fereggert
    Visitante

    Padrão Log do /var/log/messages - ajuda pra compreender

    pelo que entendi seria SMB sobre TCP (porta 445). Tenho aqui configurado o SAMBA 3 - pode ser algo de má conf. dele?

    Será que é alguem tentando invadir minha rede? ou posso ter algum software malicioso instalado em alguma máquina aqui? Eu não tenho nenhum Win 2k ou 2003, apenas um XP que fica pouco na rede (note).

    Há algo a ser fazer para que isto pare de inflar meu log?

    e sobre o gShied Firewall alguem conhece? É bom? Alguma outra recomendação?

    Vlw

    eggert
    Citação Citação



« Tópico Anterior | Próximo Tópico »