Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 1285 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Are the ASL kernel logs reporting the right destination?

Ari Maniatis
Our kernel log (the one that logs packet filter hits) recently grew to 60Mb for one day. As I was looking through it I could see hundreds of thousands of entries that basically look like this:



They scan through almost every port known to man. Now the interesting thing is this:

* the source IP is probably forged because it varies throughout the attack across wildly different networks. It is constant for about a thousand entries (over say 2 seconds) and then changes to another IP.

* the destination IP is constant throughout the whole attack. BUT THE DESTINATION HAS NOTHING TO DO WITH US! We are in Australia, the destination IP resolves to Sweden. I can see how any route would cause those packets to get to us.

Is ASL reporting the wrong IP? Is this attacker clever enough to fool ASL?

										


				This thread was automatically locked due to age.
				

					


				
				
		

			
						
									
						
						
						
			
			
			
			
		


			





	

		
	











	

	

					



			








	
	
	
	



Parents
	
    
	

  • 
	
    



	
		
	
	



    
	
    
		
    
							
					
    
		
    
			
													0
							
			
				
									
							
						
				
			
					
    
	
    

		
		
    
					
    We are still getting these packet filter logs. Both the source and destination IP addresses are completely foreign to our network and our ISP.



    This was one line in a port scan that started at port 1 and went right through to port 32000.

    I should mention that we are running Astaro 2.1. Does anyone have *any* ideas what is going on?
    
				                    
    
                
    
            
    
        	
    

		
		
		
		
	
    
	
    
		
    
			
		
    
	
    
	
    
		
						
				
				
				
				
				
		
		
    
			
		
    
	
    

    

    • 

	

  • 
	
    



	
		
	
	



    
	
    
		
    
							
					
    
		
    
			
													0
							
			
				
									
							
						
				
			
												
						in reply to Ari Maniatis
					
									
    
	
    

		
		
    
					
    Hi Ari,

    i cant imagine that the kernel will report wrong IPs...
    Is eth1 your external NIC?
    Can you ask your provider to do a tcpdump to check if this packets a really exist?
    
				                    
    
                
    
            
    
        	
    

		
		
		
		
	
    
	
    
		
    
			
		
    
	
    
	
    
		
						
				
				
				
				
				
		
		
    
			
		
    
	
    

    

    • 

	

  • 
	
    



	
		
	
	



    
	
    
		
    
							
					
    
		
    
			
													0
							
			
				
									
							
						
				
			
												
						in reply to Markus Hennig
					
									
    
	
    

		
		
    
					
    looks like an nmap scan with the -D option, decoy hosts..     you can trace it, but it involves alot of detective work, and possibly not worth it if *nothing* has been broken..

    Did you turn on the IDS snort part in 2.100 ?

     that should give you more insight as to what's happening. (or manually install snort if you've not got it) 

    Dan
    
				                    
    
                
    
            
    
        	
    

		
		
		
		
	
    
	
    
		
    
			
		
    
	
    
	
    
		
						
				
				
				
				
				
		
		
    
			
		
    
	
    

    

    • 

	




Reply

    


  • 
	
    



	
		
	
	



    
	
    
		
    
							
					
    
		
    
			
													0
							
			
				
									
							
						
				
			
												
						in reply to Markus Hennig
					
									
    
	
    

		
		
    
					
    looks like an nmap scan with the -D option, decoy hosts..     you can trace it, but it involves alot of detective work, and possibly not worth it if *nothing* has been broken..

    Did you turn on the IDS snort part in 2.100 ?

     that should give you more insight as to what's happening. (or manually install snort if you've not got it) 

    Dan
    
				                    
    
                
    
            
    
        	
    

		
		
		
		
	
    
	
    
		
    
			
		
    
	
    
	
    
		
						
				
				
				
				
				
		
		
    
			
		
    
	
    

    

    • 





Children
	
No Data


		
			








































			






















Unfiltered HTML