LINUX.ORG.RU

Левая сетевая активность 1645 <=> 10.66.77.169 63925

 ,


1

3

Может кто подсказать, что за левая активность в сети?

$ sudo tcpdump not host 87.252.123.123 and port not http and port not domain
tcpdump: WARNING: eth0: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
11:48:21.550653 IP Debian-60-squeeze-64-ISPLite.datametrics > m.1admin.by.63925: RADIUS, Unknown Command (66), id: 0x53 length: 76
11:48:21.550678 IP Debian-60-squeeze-64-ISPLite.datametrics > relay-01.utorrent.com.3000: RADIUS, Unknown Command (66), id: 0x53 length: 96
11:48:21.550688 IP Debian-60-squeeze-64-ISPLite.datametrics > 10.66.77.169.63925: RADIUS, Unknown Command (66), id: 0x53 length: 76
11:48:21.726218 IP relay-01.utorrent.com > Debian-60-squeeze-64-ISPLite: ICMP relay-01.utorrent.com udp port 3000 unreachable, length 132
11:48:21.852188 IP m.1admin.by.63925 > Debian-60-squeeze-64-ISPLite.54984: UDP, length 76
11:48:21.852219 IP Debian-60-squeeze-64-ISPLite > m.1admin.by: ICMP Debian-60-squeeze-64-ISPLite udp port 54984 unreachable, length 112
11:48:21.988675 ARP, Request who-has clos181.com tell static.161.63.76.144.clients.your-server.de, length 46
11:48:22.550720 IP Debian-60-squeeze-64-ISPLite.datametrics > m.1admin.by.63925: RADIUS, Unknown Command (66), id: 0x53 length: 76
11:48:22.550742 IP Debian-60-squeeze-64-ISPLite.datametrics > relay-01.utorrent.com.3000: RADIUS, Unknown Command (66), id: 0x53 length: 96
11:48:22.550753 IP Debian-60-squeeze-64-ISPLite.datametrics > 10.66.77.169.63925: RADIUS, Unknown Command (66), id: 0x53 length: 76
11:48:22.725933 IP relay-01.utorrent.com > Debian-60-squeeze-64-ISPLite: ICMP relay-01.utorrent.com udp port 3000 unreachable, length 132
11:48:22.788603 ARP, Request who-has clos181.com tell static.161.63.76.144.clients.your-server.de, length 46
11:48:22.986148 IP m.1admin.by.63925 > Debian-60-squeeze-64-ISPLite.54984: UDP, length 76
11:48:22.986190 IP Debian-60-squeeze-64-ISPLite > m.1admin.by: ICMP Debian-60-squeeze-64-ISPLite udp port 54984 unreachable, length 112
11:48:23.391440 ARP, Request who-has clos181.com tell static.161.63.76.144.clients.your-server.de, length 46
11:48:23.550586 IP Debian-60-squeeze-64-ISPLite.datametrics > m.1admin.by.63925: RADIUS, Unknown Command (66), id: 0x53 length: 76
11:48:23.550653 IP Debian-60-squeeze-64-ISPLite.datametrics > relay-01.utorrent.com.3000: RADIUS, Unknown Command (66), id: 0x53 length: 96
11:48:23.550684 IP Debian-60-squeeze-64-ISPLite.datametrics > 10.66.77.169.63925: RADIUS, Unknown Command (66), id: 0x53 length: 76
11:48:23.726085 IP relay-01.utorrent.com > Debian-60-squeeze-64-ISPLite: ICMP relay-01.utorrent.com udp port 3000 unreachable, length 132
11:48:23.897138 IP Debian-60-squeeze-64-ISPLite.datametrics > c151-177-34-9.bredband.comhem.se.55051: RADIUS, Unknown Command (100), id: 0x31 length: 103
11:48:23.985745 IP m.1admin.by.63925 > Debian-60-squeeze-64-ISPLite.54984: UDP, length 76
11:48:23.985780 IP Debian-60-squeeze-64-ISPLite > m.1admin.by: ICMP Debian-60-squeeze-64-ISPLite udp port 54984 unreachable, length 112
11:48:24.091475 ARP, Request who-has clos181.com tell static.161.63.76.144.clients.your-server.de, length 46
11:48:24.550704 IP Debian-60-squeeze-64-ISPLite.datametrics > m.1admin.by.63925: RADIUS, Unknown Command (66), id: 0x53 length: 76
11:48:24.550717 IP Debian-60-squeeze-64-ISPLite.datametrics > relay-01.utorrent.com.3000: RADIUS, Unknown Command (66), id: 0x53 length: 96
11:48:24.550746 IP Debian-60-squeeze-64-ISPLite.datametrics > 10.66.77.169.63925: RADIUS, Unknown Command (66), id: 0x53 length: 76
11:48:24.725934 IP relay-01.utorrent.com > Debian-60-squeeze-64-ISPLite: ICMP relay-01.utorrent.com udp port 3000 unreachable, length 132
11:48:24.985100 IP m.1admin.by.63925 > Debian-60-squeeze-64-ISPLite.54984: UDP, length 76
11:48:24.985138 IP Debian-60-squeeze-64-ISPLite > m.1admin.by: ICMP Debian-60-squeeze-64-ISPLite udp port 54984 unreachable, length 112

При этом хостер жалуется что наш сервер его сканит

Wed Oct 14 08:16:03 2015 UDP OUR_SERVER_IP 1645 => 10.66.77.169 63925
Wed Oct 14 08:16:04 2015 UDP OUR_SERVER_IP 1645 => 10.66.77.169 63925
Wed Oct 14 08:16:05 2015 UDP OUR_SERVER_IP 1645 => 10.66.77.169 63925
Wed Oct 14 08:16:06 2015 UDP OUR_SERVER_IP 1645 => 10.66.77.169 63925
Wed Oct 14 08:16:07 2015 UDP OUR_SERVER_IP 1645 => 10.66.77.169 63925
Wed Oct 14 08:16:08 2015 UDP OUR_SERVER_IP 1645 => 10.66.77.169 63925
Wed Oct 14 08:16:09 2015 UDP OUR_SERVER_IP 1645 => 10.66.77.169 63925

а на нашем сервере все левые порты закрыты (в т.ч. те по которым эта хрень стучится) rkhunter ничего не нашёл



Последнее исправление: QuAzI (всего исправлений: 2)

При этом хостер жалуется что наш сервер его сканит

Один порт чтоли сканит?

а на нашем сервере все левые порты закрыты

Это они, скорее, на вход закрыты, а от вашего сервера идут исходящие пакеты. Но тут надо смотреть правила iptables.
Если что, tcpdump собирает пакеты до того как они попадут в файрвол.
Попробуй

netstat -tupn
оно тебе покажет приложения, которые сейчас в сеть ходят, куда и по какому порту. Может полезно будет.

Gu4
()
Ответ на: комментарий от Gu4

Да =) Один порт, один IP. Если бы хостер не катал бочки, я бы подумал на хостера, что это что-то его крутится.

$ sudo netstat -tupn | grep "54984"
$ sudo netstat -tupn | grep "63925"
$ sudo netstat -tupn | grep "1645"

Всё это выдаёт пустую строку. netstat и lsof -i было первым, что я попробовал и не нашёл ничего.

QuAzI
() автор топика
Ответ на: комментарий от QuAzI

а nat-а случаем нет ? Если сервер выполняет функции роутера для виртуалок или для машин из локалки, тогда смотри в conntrack

Если оно действительно с сервера идет, то можно сделать "-j LOG --log-uid" - поймешь от какого юзера оно идет.

vel ★★★★★
()

11:48:23.550653 IP Debian-60-squeeze-64-ISPLite.datametrics > relay-01.utorrent.com.3000: RADIUS, Unknown Command (66), id: 0x53 length: 96

торрент качает?

anonymous
()
Ответ на: комментарий от QuAzI

может http второй раз прописать/? И, где задержка-01 (имеется ввиду адресс), с чем-то в настройках совпала??

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.