Beiträge von maurice0800

maurice0800 · 10. April 2016

Ist tatsächlich ARP. "Who has 188.68.49.XXX? Tell 188.68.48.XXX". Aber wieso kriege ich die erst seit ein paar Tagen so heftig ab? Hatte ich vorher nicht. Sind das falsch konfigurierte Server? Oder habe ich vielleicht eine falsche Einstellung in meiner Firewall und sollte diese Pakete durch lassen?

maurice0800 · 9. April 2016

Danke für die schnellen Antworten. Hier sind meine Logs. Die IPs sind alle nicht von mir ich habe aber trotzdem die Server, die den Spam verschicken anonymisiert. Das sind die Pakete, die innerhalb 3 Sekunden hier ankommen.

Code

DROP IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:96:98:04:60:01:b8:08:00 SRC=188.68.48.XXX DST=188.68.51.255 LEN=49 TOS=0x00 PREC=0x00 TTL=64 ID=29611 DF PROTO=UDP SPT=51948 DPT=32412 LEN=29 
DROP IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:96:98:04:60:01:b8:08:00 SRC=188.68.48.XXX DST=188.68.51.255 LEN=49 TOS=0x00 PREC=0x00 TTL=64 ID=29612 DF PROTO=UDP SPT=57836 DPT=32414 LEN=29 
DROP IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:36:f3:15:ca:97:c2:08:00 SRC=188.68.50.XXX DST=188.68.51.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=15516 PROTO=UDP SPT=137 DPT=137 LEN=58 
DROP IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:36:f3:15:ca:97:c2:08:00 SRC=188.68.50.XXX DST=188.68.51.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=15517 PROTO=UDP SPT=137 DPT=137 LEN=58 
DROP IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:da:97:26:56:ef:ae:08:00 SRC=188.68.49.XXX DST=188.68.51.255 LEN=49 TOS=0x00 PREC=0x00 TTL=64 ID=32739 DF PROTO=UDP SPT=55638 DPT=32412 LEN=29 
DROP IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:da:97:26:56:ef:ae:08:00 SRC=188.68.49.XXX DST=188.68.51.255 LEN=49 TOS=0x00 PREC=0x00 TTL=64 ID=32740 DF PROTO=UDP SPT=39473 DPT=32414 LEN=29 
DROP IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:36:f3:15:ca:97:c2:08:00 SRC=188.68.50.XXX DST=188.68.51.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=15518 PROTO=UDP SPT=137 DPT=137 LEN=58 
DROP IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:36:f3:15:ca:97:c2:08:00 SRC=188.68.50.XXX DST=188.68.51.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=15519 PROTO=UDP SPT=137 DPT=137 LEN=58 
DROP IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:8a:da:a8:3e:ed:ac:08:00 SRC=188.68.50.XXX DST=188.68.51.255 LEN=49 TOS=0x00 PREC=0x00 TTL=128 ID=30380 PROTO=UDP SPT=53287 DPT=32414 LEN=29 
DROP IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:8a:da:a8:3e:ed:ac:08:00 SRC=188.68.50.XXX DST=188.68.51.255 LEN=49 TOS=0x00 PREC=0x00 TTL=128 ID=30381 PROTO=UDP SPT=53285 DPT=32412 LEN=29 
DROP IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:36:f3:15:ca:97:c2:08:00 SRC=188.68.50.XXX DST=188.68.51.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=15520 PROTO=UDP SPT=137 DPT=137 LEN=58 
DROP IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:76:5a:d6:f8:78:f0:08:00 SRC=188.68.50.XXX DST=188.68.51.255 LEN=229 TOS=0x00 PREC=0x00 TTL=128 ID=25501 PROTO=UDP SPT=138 DPT=138 LEN=209 
DROP IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:96:98:04:60:01:b8:08:00 SRC=188.68.48.XXX DST=188.68.51.255 LEN=49 TOS=0x00 PREC=0x00 TTL=64 ID=30724 DF PROTO=UDP SPT=51948 DPT=32412 LEN=29 
DROP IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:96:98:04:60:01:b8:08:00 SRC=188.68.48.XXX DST=188.68.51.255 LEN=49 TOS=0x00 PREC=0x00 TTL=64 ID=30725 DF PROTO=UDP SPT=57836 DPT=32414 LEN=29 
DROP IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:36:f3:15:ca:97:c2:08:00 SRC=188.68.50.XXX DST=188.68.51.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=15521 PROTO=UDP SPT=137 DPT=137 LEN=58 
DROP IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:36:f3:15:ca:97:c2:08:00 SRC=188.68.50.XXX DST=188.68.51.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=15522 PROTO=UDP SPT=137 DPT=137 LEN=58 
DROP IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:56:ad:8c:fc:37:9a:08:00 SRC=188.68.51.XXX DST=188.68.51.255 LEN=229 TOS=0x00 PREC=0x00 TTL=128 ID=32141 PROTO=UDP SPT=138 DPT=138 LEN=209 
DROP IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:36:bd:ea:c6:98:10:08:00 SRC=188.68.51.XXX DST=188.68.51.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=8916 PROTO=UDP SPT=137 DPT=137 LEN=58 
DROP IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:da:97:26:56:ef:ae:08:00 SRC=188.68.49.XXX DST=188.68.51.255 LEN=49 TOS=0x00 PREC=0x00 TTL=64 ID=32996 DF PROTO=UDP SPT=55638 DPT=32412 LEN=29 
DROP IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:da:97:26:56:ef:ae:08:00 SRC=188.68.49.XXX DST=188.68.51.255 LEN=49 TOS=0x00 PREC=0x00 TTL=64 ID=32997 DF PROTO=UDP SPT=39473 DPT=32414 LEN=29 
DROP IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:36:f3:15:ca:97:c2:08:00 SRC=188.68.50.XXX DST=188.68.51.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=15523 PROTO=UDP SPT=137 DPT=137 LEN=58

Alles anzeigen

maurice0800 · 9. April 2016

Hallo,

ich habe seit gestern Abend komische Einträge in meinen Firewall Logs auf einem Debian V-Server. Bis jetzt konnte ich dort alle geblockten Verbindungen sehen. Seit gestern Abend habe ich dort aber einträge von Verbindungen die mit meinem Server garnichts zutun haben. Also weder bei DST noch bei SRC steht meine IP. Bei SRC stehen immer drei verschiedene netcup IPs und bei DST steht immer der Broadcast Server mit 255 am Ende. Diese Anfragen komme mehrmals pro Sekunde und produzieren so ziemlich große Logfiles über die ich keinen Überblick mehr habe.
Nun wollte ich wissen wie diese Verbindungen zustande kommen, wenn sie doch garnichts mit meiner IP zutun haben? Von der Anzahl der geblockten Pakete würde ich auf mehrere gehackte netcup Server tippen die grade für DDoS verwendet werden, sind ja 3 oder 4 verschiedene... Aber wiese steht dann bei DST nicht meine IP sondern die IP des Broadcast Servers?

Danke schonmal für eure Hilfe!

Beiträge von maurice0800

Merkwürdige iptables Einträge

Merkwürdige iptables Einträge

Merkwürdige iptables Einträge