Firewall - gestion des attaques

Bonjour,

Depuis que j’ai interdi les communications avec l’extérieur via UFW, Mon log n’arrete pas de se remplir.
Je ne comprend pas comment savoir ce qui génère ce trafic. Est-ce du code dans les pages web, das applications malveillante…? Comment faire pour savoir quel processus a initialisé la communication?

Je vous laisse un exemple de mon log; dans le log, il y a des adresses fun, ex: 178.250.210.25 => site présentant les résultats obtenu par la chaudière d’un particulier??? d’ou ca vient???

Nov 5 19:19:10 U300 kernel: [35418.347442] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=157.56.126.66 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=62226 DF PROTO=TCP SPT=56733 DPT=1863 WINDOW=14600 RES=0x00 SYN URGP=0 Nov 5 19:19:11 U300 kernel: [35419.344213] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=157.56.126.66 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=62227 DF PROTO=TCP SPT=56733 DPT=1863 WINDOW=14600 RES=0x00 SYN URGP=0 Nov 5 19:19:13 U300 kernel: [35421.348235] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=157.56.126.66 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=62228 DF PROTO=TCP SPT=56733 DPT=1863 WINDOW=14600 RES=0x00 SYN URGP=0 Nov 5 19:19:17 U300 kernel: [35425.360208] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=157.56.126.66 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=62229 DF PROTO=TCP SPT=56733 DPT=1863 WINDOW=14600 RES=0x00 SYN URGP=0 Nov 5 19:19:23 U300 kernel: [35431.103926] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=88.190.19.32 LEN=76 TOS=0x00 PREC=0xC0 TTL=64 ID=0 DF PROTO=UDP SPT=123 DPT=123 LEN=56 Nov 5 19:19:25 U300 kernel: [35433.376213] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=157.56.126.66 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=62230 DF PROTO=TCP SPT=56733 DPT=1863 WINDOW=14600 RES=0x00 SYN URGP=0 Nov 5 19:19:41 U300 kernel: [35449.408065] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=157.56.126.66 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=62231 DF PROTO=TCP SPT=56733 DPT=1863 WINDOW=14600 RES=0x00 SYN URGP=0 Nov 5 19:21:49 U300 kernel: [35577.104163] [UFW BLOCK] IN= OUT=eth0 SRC=2a01:0e35:2e03:8eb0:1947:7006:ace9:946b DST=2a01:0e0b:1000:0014:baac:6fff:fe94:db4e LEN=96 TC=0 HOPLIMIT=64 FLOWLBL=0 PROTO=UDP SPT=123 DPT=123 LEN=56 Nov 5 19:29:21 U300 kernel: [36029.104052] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=178.250.210.25 LEN=76 TOS=0x00 PREC=0xC0 TTL=64 ID=0 DF PROTO=UDP SPT=123 DPT=123 LEN=56 Nov 5 19:29:26 U300 kernel: [36034.104101] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=188.165.45.139 LEN=76 TOS=0x00 PREC=0xC0 TTL=64 ID=0 DF PROTO=UDP SPT=123 DPT=123 LEN=56 Nov 5 19:30:27 U300 kernel: [36095.473553] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=98.139.53.227 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=62972 DF PROTO=TCP SPT=45542 DPT=80 WINDOW=1342 RES=0x00 ACK FIN URGP=0 Nov 5 19:30:27 U300 kernel: [36095.474508] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=98.139.53.227 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=39096 DF PROTO=TCP SPT=45549 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0 Nov 5 19:30:28 U300 kernel: [36095.996205] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=98.139.53.227 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=62973 DF PROTO=TCP SPT=45542 DPT=80 WINDOW=1342 RES=0x00 ACK PSH FIN URGP=0 Nov 5 19:30:28 U300 kernel: [36096.472122] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=98.139.53.227 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=39097 DF PROTO=TCP SPT=45549 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0 Nov 5 19:30:29 U300 kernel: [36097.048159] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=98.139.53.227 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=62974 DF PROTO=TCP SPT=45542 DPT=80 WINDOW=1342 RES=0x00 ACK PSH FIN URGP=0 Nov 5 19:30:30 U300 kernel: [36098.476142] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=98.139.53.227 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=39098 DF PROTO=TCP SPT=45549 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0 Nov 5 19:30:31 U300 kernel: [36099.152128] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=98.139.53.227 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=62975 DF PROTO=TCP SPT=45542 DPT=80 WINDOW=1342 RES=0x00 ACK PSH FIN URGP=0 Nov 5 19:30:34 U300 kernel: [36102.480213] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=98.139.53.227 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=39099 DF PROTO=TCP SPT=45549 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0 Nov 5 19:30:35 U300 kernel: [36103.360223] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=98.139.53.227 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=62976 DF PROTO=TCP SPT=45542 DPT=80 WINDOW=1342 RES=0x00 ACK PSH FIN URGP=0 Nov 5 19:30:42 U300 kernel: [36110.496208] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=98.139.53.227 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=39100 DF PROTO=TCP SPT=45549 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0 Nov 5 19:35:05 U300 dbus[2385]: [system] Activating service name='org.freedesktop.PackageKit' (using servicehelper) Nov 5 19:35:05 U300 dbus[2385]: [system] Successfully activated service 'org.freedesktop.PackageKit' Nov 5 19:36:22 U300 kernel: [36450.552894] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=157.56.126.162 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=10348 DF PROTO=TCP SPT=40514 DPT=1863 WINDOW=14600 RES=0x00 SYN URGP=0 Nov 5 19:36:23 U300 kernel: [36451.552214] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=157.56.126.162 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=10349 DF PROTO=TCP SPT=40514 DPT=1863 WINDOW=14600 RES=0x00 SYN URGP=0 Nov 5 19:36:25 U300 kernel: [36453.556198] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=157.56.126.162 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=10350 DF PROTO=TCP SPT=40514 DPT=1863 WINDOW=14600 RES=0x00 SYN URGP=0 Nov 5 19:36:29 U300 kernel: [36457.568190] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=157.56.126.162 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=10351 DF PROTO=TCP SPT=40514 DPT=1863 WINDOW=14600 RES=0x00 SYN URGP=0 Nov 5 19:36:37 U300 kernel: [36465.584118] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=157.56.126.162 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=10352 DF PROTO=TCP SPT=40514 DPT=1863 WINDOW=14600 RES=0x00 SYN URGP=0 Nov 5 19:36:53 U300 kernel: [36481.632114] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=157.56.126.162 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=10353 DF PROTO=TCP SPT=40514 DPT=1863 WINDOW=14600 RES=0x00 SYN URGP=0 Nov 5 19:37:00 U300 kernel: [36488.104025] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=88.190.19.32 LEN=76 TOS=0x00 PREC=0xC0 TTL=64 ID=0 DF PROTO=UDP SPT=123 DPT=123 LEN=56 Nov 5 19:37:58 U300 kernel: [36546.659311] [UFW BLOCK] IN= OUT=eth0 SRC=2a01:0e35:2e03:8eb0:021b:24ff:fe6f:b65e DST=ff02:0000:0000:0000:0000:0000:0000:00fb LEN=87 TC=0 HOPLIMIT=255 FLOWLBL=0 PROTO=UDP SPT=5353 DPT=5353 LEN=47 Nov 5 19:37:58 U300 kernel: [36546.659472] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=224.0.0.251 LEN=67 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=47 Nov 5 19:39:01 U300 /USR/SBIN/CRON[31204]: (root) CMD ( [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -depth -mindepth 1 -maxdepth 1 -type f -ignore_readdir_race -cmin +$(/usr/lib/php5/maxlifetime) ! -execdir fuser -s {} 2>/dev/null \; -delete) Nov 5 19:39:36 U300 kernel: [36644.103932] [UFW BLOCK] IN= OUT=eth0 SRC=2a01:0e35:2e03:8eb0:1947:7006:ace9:946b DST=2a01:0e0b:1000:0014:baac:6fff:fe94:db4e LEN=96 TC=0 HOPLIMIT=64 FLOWLBL=0 PROTO=UDP SPT=123 DPT=123 LEN=56 Nov 5 19:42:07 U300 kernel: [36795.699055] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=157.56.192.75 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=28726 DF PROTO=TCP SPT=41202 DPT=1863 WINDOW=14600 RES=0x00 SYN URGP=0 Nov 5 19:42:08 U300 kernel: [36796.696070] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=157.56.192.75 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=28727 DF PROTO=TCP SPT=41202 DPT=1863 WINDOW=14600 RES=0x00 SYN URGP=0 Nov 5 19:42:10 U300 kernel: [36798.700067] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=157.56.192.75 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=28728 DF PROTO=TCP SPT=41202 DPT=1863 WINDOW=14600 RES=0x00 SYN URGP=0 Nov 5 19:42:14 U300 kernel: [36802.704061] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=157.56.192.75 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=28729 DF PROTO=TCP SPT=41202 DPT=1863 WINDOW=14600 RES=0x00 SYN URGP=0 Nov 5 19:42:22 U300 kernel: [36810.720090] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=157.56.192.75 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=28730 DF PROTO=TCP SPT=41202 DPT=1863 WINDOW=14600 RES=0x00 SYN URGP=0 Nov 5 19:42:38 U300 kernel: [36826.752065] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=157.56.192.75 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=28731 DF PROTO=TCP SPT=41202 DPT=1863 WINDOW=14600 RES=0x00 SYN URGP=0 Nov 5 19:46:28 U300 kernel: [37056.104075] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=178.250.210.25 LEN=76 TOS=0x00 PREC=0xC0 TTL=64 ID=0 DF PROTO=UDP SPT=123 DPT=123 LEN=56 Nov 5 19:46:58 U300 kernel: [37086.103914] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.*.* DST=188.165.45.139 LEN=76 TOS=0x00 PREC=0xC0 TTL=64 ID=0 DF PROTO=UDP SPT=123 DPT=123 LEN=56

Tu as quoi comme services réseau sur ta machine?

le port TCP 1863 correspond à MSN messenger

RE,

Ok pour msn, j’ai corrigé la chose. Mais pour le reste?

que donne “ufw status verbose”?

Voici la réponse:

[code]Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing)
New profiles: skip

To Action From

Anywhere ALLOW IN 212.27.38.253/udp
192.168.. ALLOW IN 192.168.0.0/24
110/tcp ALLOW IN Anywhere
110/tcp ALLOW IN Anywhere (v6)

631 ALLOW OUT Anywhere
5900/tcp ALLOW OUT Anywhere
25/tcp ALLOW OUT Anywhere
6881/tcp ALLOW OUT Anywhere
6881/udp ALLOW OUT Anywhere
465/tcp ALLOW OUT Anywhere
53/udp ALLOW OUT Anywhere
993/tcp ALLOW OUT Anywhere
995/tcp ALLOW OUT Anywhere
554/tcp ALLOW OUT Anywhere
212.27.38.253 32400:32999/udp ALLOW OUT 192.168..
143/tcp ALLOW OUT Anywhere
192.168.0.0/24 ALLOW OUT 192.168..
80/tcp ALLOW OUT Anywhere
443/tcp ALLOW OUT Anywhere
22/tcp ALLOW OUT Anywhere
123/udp ALLOW OUT Anywhere
228.67.43.91 15947/udp ALLOW OUT 192.168.. 15947/udp
1863/tcp ALLOW OUT Anywhere
631 ALLOW OUT Anywhere (v6)
5900/tcp ALLOW OUT Anywhere (v6)
25/tcp ALLOW OUT Anywhere (v6)
6881/tcp ALLOW OUT Anywhere (v6)
6881/udp ALLOW OUT Anywhere (v6)
465/tcp ALLOW OUT Anywhere (v6)
53/udp ALLOW OUT Anywhere (v6)
993/tcp ALLOW OUT Anywhere (v6)
995/tcp ALLOW OUT Anywhere (v6)
554/tcp ALLOW OUT Anywhere (v6)
143/tcp ALLOW OUT Anywhere (v6)
80/tcp ALLOW OUT Anywhere (v6)
443/tcp ALLOW OUT Anywhere (v6)
22/tcp ALLOW OUT Anywhere (v6)
123/udp ALLOW OUT Anywhere (v6)
1863/tcp ALLOW OUT Anywhere (v6)
[/code]

Je précise tout de meme:

Liste des services que je laisse passer:

22 => SSH (tcp out)
143 => IMAP (gestion des emails, TCP out)
443 => HTTPS (TCP in et out)
631 => CUPS + IPP (TCP+UDP)
59000 => VNC (TCP out)
25 => SMTP (TCP out)
110 => POP3 (TCP in)
6881 => Torrent (TCP+UDP out)
465 => SMTPs (tcp out)
993 => IMAPs (TCP out)
995 => POP3s (TCP in)
554 => RTSP (TCP out) => pour VLC
53 => DNS (UDP out)
123 => ntp (UDP out)
1863 => Empathy, msn (TCP out)

Ça ressemble à un trafic normal (ntp, web, msn,…) Tu dois tout enregistrer et pas seulement les paquets bloqués.

Ps: si il y avait un truc éventuellement à anonymer, ça n’ était pas l’ip privée dans fin lan, savoir que ton ip est 192.168.0.2 ne te fait strictement courir aucun danger…