Zpravy v LUCI/Kernel Log prehledu, mam problem nebo ne?


#1
Mam dotaz ke kernel logu. 

V podstate nevim jestli mam neco spatne, je-li toto v poradku (protoze mam zapnute to a to, nebo ono).
Pokud je to "v poradku" mohu to nejak jednoduse odfiltrovat?
A pokud to je podezrele, co bych mel zkontrolovat a jake fajly prozkoumat (co pripadne zmenit?)
(btw: kde muzu zmenit format pro timestamp ? aby byl stejny jako mam pro system.log

LUCI/kernel Log 
ad_OUT= MAC= , pres "arp" jsem identifikoval ze to je je iface pro wanzonu a eth1.
wan_zone: d8:58:d7:00:33:34:00  eth1:     01:5c:79:ec:46:08:00 

Velmi casto objevujici se hlaska
    [284779.725638] turris-00000000: IN=eth1 OUT= MAC=d8:58:d7:00:33:34:00:01:5c:79:ec:46:08:00 SRC=188.18.114.73 DST=89.103.214.229 LEN=132 TOS=0x00 PREC=0x00 TTL=115 ID=23350 PROTO=UDP SPT=55271 DPT=51413 LEN=112 
    [284784.301795] turris-00000000: IN=eth1 OUT= MAC=d8:58:d7:00:33:34:00:01:5c:79:ec:46:08:00 SRC=176.59.129.77 DST=89.103.214.229 LEN=132 TOS=0x00 PREC=0x00 TTL=111 ID=14905 PROTO=UDP SPT=1029 DPT=51413 LEN=112 
    [284796.755576] turris-00000000: IN=eth1 OUT= MAC=d8:58:d7:00:33:34:00:01:5c:79:ec:46:08:00 SRC=188.18.114.73 DST=89.103.214.229 LEN=132 TOS=0x00 PREC=0x00 TTL=115 ID=23926 PROTO=UDP SPT=55271 DPT=51413 LEN=112 
    [284829.241258] turris-00000000: IN=eth1 OUT= MAC=d8:58:d7:00:33:34:00:01:5c:79:ec:46:08:00 SRC=92.243.181.12 DST=89.103.214.229 LEN=132 TOS=0x00 PREC=0x00 TTL=114 ID=21044 PROTO=UDP SPT=24546 DPT=51413 LEN=112 
    [284833.651148] turris-00000000: IN=eth1 OUT= MAC=d8:58:d7:00:33:34:00:01:5c:79:ec:46:08:00 SRC=92.243.181.12 DST=89.103.214.229 LEN=132 TOS=0x00 PREC=0x00 TTL=114 ID=21045 PROTO=UDP SPT=24546 DPT=51413 LEN=112 
    [284834.488858] turris-00000000: IN=eth1 OUT= MAC=d8:58:d7:00:33:34:00:01:5c:79:ec:46:08:00 SRC=211.220.196.141 DST=89.103.214.229 LEN=143 TOS=0x00 PREC=0x00 TTL=110 ID=29040 PROTO=UDP SPT=40536 DPT=51413 LEN=123 
    [284837.449661] turris-00000000: IN=eth1 OUT= MAC=d8:58:d7:00:33:34:00:01:5c:79:ec:46:08:00 SRC=46.55.11.8 DST=89.103.214.229 LEN=129 TOS=0x00 PREC=0x00 TTL=110 ID=31774 PROTO=UDP SPT=51353 DPT=51413 LEN=109 
    [284859.589487] turris-00000000: IN=eth1 OUT= MAC=d8:58:d7:00:33:34:00:01:5c:79:ec:46:08:00 SRC=94.178.29.60 DST=89.103.214.229 LEN=131 TOS=0x08 PREC=0x00 TTL=116 ID=29002 PROTO=UDP SPT=16199 DPT=51413 LEN=111 
    [284870.485501] turris-00000000: IN=eth1 OUT= MAC=d8:58:d7:00:33:34:00:01:5c:79:ec:46:08:00 SRC=87.21.239.186 DST=89.103.214.229 LEN=131 TOS=0x00 PREC=0x00 TTL=113 ID=42244 PROTO=UDP SPT=38666 DPT=51413 LEN=111 
    [284870.980290] turris-00000000: IN=eth1 OUT= MAC=d8:58:d7:00:33:34:00:01:5c:79:ec:46:08:00 SRC=79.62.166.58 DST=89.103.214.229 LEN=129 TOS=0x00 PREC=0x00 TTL=49 ID=0 DF PROTO=UDP SPT=51696 DPT=51413 LEN=109 
    [284883.656045] turris-00000000: IN=eth1 OUT= MAC=d8:58:d7:00:33:34:00:01:5c:79:ec:46:08:00 SRC=92.243.181.12 DST=89.103.214.229 LEN=132 TOS=0x00 PREC=0x00 TTL=114 ID=21046 PROTO=UDP SPT=28273 DPT=51413 LEN=112 

Prokladane touto
`[284954.587884] turris-100FA4E0: IN=eth1 OUT= MAC=d8:58:d7:00:33:34:00:01:5c:79:ec:46:08:00 SRC=169.54.233.120 DST=89.103.214.229 LEN=40 TOS=0x00 PREC=0x00 TTL=239 ID=54321 PROTO=TCP SPT=10978 DPT=8888 WINDOW=65535 RES=0x00 SYN URGP=0` 
Kontrolni lookup :169.54.233.120  ----> 78.e9.36a9.ip4.static.sl-reverse.com

Jeste se mi tam objevovala jedna hlaska, ale nemuzu jit ted odchytit 

Mam zapnuto: HaaS,DataCollect
Mam vypnuto: miniproxy,wol,adhcp,foris (pres user.lua)
Mam rozchozeno: ftp,irc,samba,dlna, tri lxc containery(zalozni irc+ftp, zalozni plex, neco na hrani)

Zakladni nastaveni firewallu:
Source>>Target  input ,output,forward,masq,mss
===================================================
lan >>wan,vpn 	accept,accept,reject,0,0
wan >>reject 	reject,accept,reject,1,1
vpn >>lan 		accept,accept,reject,0,0

V ramci portforwardingu mam zapnuta pravidla pro openVPN a Plex.TV, naopak jsem docasne vypnul forward pro SSH.
V traffic pravidlech mam zapnuty zaklad a par veci extra pro openVPN/Plex.TV/SSH (forwarding,open-port)
V Custom rules mam extra blok pro vpnku (v podstate copy paste z openwrt wiki , kvuli logovani a statistikam )
V ramci DNS/DHCP jsem vetsinu nechal v zakladu, jen mam vlastni hosts/ethers/lease soubory. Mam zapnute "ignore resolve file". 
Ve Foris takovy ten test na dnssec,forwarding a tak mam v poradku, nslookup mi funguje celkem fajn (majordomo ukazuje hostnames u drtive vetsiny zaznamu).

#2

Myslím že jde o odfiltrované packety zvenku. Pravděpodobně bittorrent (UDP 51413).


#3

S vypisem tehle hlasky mam problem uz nejakou dobu (nicmene DPT=2525 , 445 )… tusim ze se to zacne vypisovat kdyz zapnu majordomo (a to klidne ikdyz dam obnovu z medikitu a neni pripojeno zadne zarizeni).
u me tedy predpokladam samba a HaaS … jen nevim proc se mi to neustale vypisuje a plni log.

p.s. jinak se to tady uz nekde resilo … a nedoresilo


#4

Tak nejak jsem si uplne nevsimnul ze to je 51413 port , takze to bude neco kolem Transmission. Dik za hint. Napada me souvislost s nastaveni “encryption = forced” (ze to jsou ty ‘zahazovane’ sesny).

Na druhou stranu, port 51413 nemam forwardovan (v pravidlech) , zkusim nastavit, povolit a uvidime. (zatim to fungovalo i bez toho). Kazdopadne vypnuti “transmission” nema vliv na frekvenci hlasek v kernel logu.

Prave. Uz jsem videl dalsi dve vlakna (ale pri blizsim zkoumani to byly vzdy kapku jine hlasky a jiny protokol). Ale v podstate v bledemodrym to same, moc divnych hlasek, nevim mam-li problem (aneb jak cist kernel log).


#5

Transmission (prý) umí používat metody kdy routeru samo řekne o portech které chce forwardovat, ale jak moc to reálně (na Omnii) funguje netuším.


#6

Nekde jsem se docetl, ze to umi v pripade, ze je aktivni upnp.


#7

Tak jsem si s tim trosku pohral a pohledal poruznu pres strycka gugla.
Doinstaloval jsem miniupnp a nastavil. Trosku poupravil nastaveni transmission(no DHT, no uTP, no port_fw).

Pocet hlasek v kernelu se rekneme snizil. Nevymizel, ale aspon sem tam jsou videt i jine SPT/DPT (23,443,>65K) … (coz asi uz budou veci kolem honeypotu/data collect/haas).

Takze rekneme nevyreseno uplne, ale neni to tak silenej spam. A porad nevim jak tyto hlasky cist (a porozumet, zda-li je to v poradku ci nikoliv :slight_smile:

Prehled hlasek v kernel logu

turris-00DEB060 ## sem tam (DPT 12145 - transmission control protocol)
turris-100FA4E0 ## obcas (DPT 2525 - haas-proxy ? )
turris-00000000 ## celkem casto (DPT 51413 - transmission )
turris-00000000 ## celkem casto (SPT 443 - https/tls )


#8

btw: debug dnsmasq-script[5601]: uci: Entry not found chybku jsem zrejme eliminoval
Pri badani kolem resolveru/dhcp/dnsmasq A Kresd Journey