Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 1168 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Spoofed packets are not... internal system blocked

SalishSwede
The source of the problem is VMWare related... not Astaro. 
Please disregard.


This thread was automatically locked due to age.
Parents
  • 0
    I think I found something.

    From the DHCP logs:
    2010:01:19-17:21:58 wahine dhcpd: DHCPREQUEST for 10.1.3.48 from 00:0c:29:a7:6b:16 (xp) via eth1
    2010:01:19-17:21:58 wahine dhcpd: DHCPACK on 10.1.3.48 to 00:0c:29:a7:6b:16 (xp) via eth1
    2010:01:19-17:21:58 wahine dhcpd: DHCPREQUEST for 10.1.3.48 from 00:0c:29:a7:6b:16 (xp) via eth2: wrong network.
    2010:01:19-17:21:58 wahine dhcpd: DHCPNAK on 10.1.3.48 to 00:0c:29:a7:6b:16 via eth2

    This shows the 10.1.3.48 device on both eth1 and eth2.
    In fact all DHCP traffic seems to be echoed on both eth1 and eth2.
    I don't have a hub on my network.
    How is this possible?

    Basic topology:

      Comcast ----Cable Modem----ASL [Virtual Machine] on VM Ware
                                                   |
                                                 New Machine [VM on VMWare]

    I scanned my DHCP logs again and found that this duplicate traffic started happening at this time 2010:01:08-18:45:28.

    Checking the Up2Date logs I can find only this:
    2010:01:08-18:42:05 wahine audld[8903]: id="3701" severity="info" sys="system" sub="up2date" name="Authentication successful"
    2010:01:08-18:42:50 wahine audld[8903]: id="3707" severity="info" sys="system" sub="up2date" name="Successfully synchronized fileset" status="success" action="download" package="clam"
    2010:01:08-18:42:51 wahine auisys[8934]: Starting Up2Date Package Installer (Version 1.65)
    2010:01:08-18:42:51 wahine auisys[8934]: Searching for available up2date packages for type 'mpfc'
    2010:01:08-18:42:51 wahine auisys[8934]: id="371D" severity="info" sys="system" sub="up2date" name="No up2date packages available for installation" status="failed" action="preinst_check" package="mpfc"
    2010:01:08-18:42:57 wahine auisys[8934]: Searching for available up2date packages for type 'ips'
    2010:01:08-18:42:57 wahine auisys[8934]: id="371D" severity="info" sys="system" sub="up2date" name="No up2date packages available for installation" status="failed" action="preinst_check" package="ips"
    2010:01:08-18:43:02 wahine auisys[8934]: Searching for available up2date packages for type 'man-sw'
    2010:01:08-18:43:02 wahine auisys[8934]: id="371D" severity="info" sys="system" sub="up2date" name="No up2date packages available for installation" status="failed" action="preinst_check" package="man-sw"
    2010:01:08-18:43:07 wahine auisys[8934]: Searching for available up2date packages for type 'avira'
    2010:01:08-18:43:07 wahine auisys[8934]: id="371D" severity="info" sys="system" sub="up2date" name="No up2date packages available for installation" status="failed" action="preinst_check" package="avira"
    2010:01:08-18:43:12 wahine auisys[8934]: Searching for available up2date packages for type 'clam'
    2010:01:08-18:43:12 wahine auisys[8934]: Installing up2date package file '/var/up2date//clam/u2d-clam-7.5065-5085.patch.tgz.gpg'
    2010:01:08-18:43:12 wahine auisys[8934]: Verifying up2date package signature
    2010:01:08-18:43:12 wahine auisys[8934]: Unpacking installation instructions
    2010:01:08-18:43:12 wahine auisys[8934]: Unpacking up2date package container
    2010:01:08-18:43:13 wahine auisys[8934]: Running pre-installation checks
    2010:01:08-18:43:13 wahine auisys[8934]: Starting up2date package installation
    2010:01:08-18:43:28 wahine auisys[8934]: id="371Z" severity="info" sys="system" sub="up2date" name="Successfully installed Up2Date package" status="success" action="install" package_version="7.5085" package="clam"
    2010:01:08-18:43:29 wahine auisys[8934]: New Pattern Up2Dates installed

    Does this make any sense?
    This looks to me like a simple virus update.
    Could this have messed with the network config?

    Thanks,

    ~Doug
Reply
  • 0
    I think I found something.

    From the DHCP logs:
    2010:01:19-17:21:58 wahine dhcpd: DHCPREQUEST for 10.1.3.48 from 00:0c:29:a7:6b:16 (xp) via eth1
    2010:01:19-17:21:58 wahine dhcpd: DHCPACK on 10.1.3.48 to 00:0c:29:a7:6b:16 (xp) via eth1
    2010:01:19-17:21:58 wahine dhcpd: DHCPREQUEST for 10.1.3.48 from 00:0c:29:a7:6b:16 (xp) via eth2: wrong network.
    2010:01:19-17:21:58 wahine dhcpd: DHCPNAK on 10.1.3.48 to 00:0c:29:a7:6b:16 via eth2

    This shows the 10.1.3.48 device on both eth1 and eth2.
    In fact all DHCP traffic seems to be echoed on both eth1 and eth2.
    I don't have a hub on my network.
    How is this possible?

    Basic topology:

      Comcast ----Cable Modem----ASL [Virtual Machine] on VM Ware
                                                   |
                                                 New Machine [VM on VMWare]

    I scanned my DHCP logs again and found that this duplicate traffic started happening at this time 2010:01:08-18:45:28.

    Checking the Up2Date logs I can find only this:
    2010:01:08-18:42:05 wahine audld[8903]: id="3701" severity="info" sys="system" sub="up2date" name="Authentication successful"
    2010:01:08-18:42:50 wahine audld[8903]: id="3707" severity="info" sys="system" sub="up2date" name="Successfully synchronized fileset" status="success" action="download" package="clam"
    2010:01:08-18:42:51 wahine auisys[8934]: Starting Up2Date Package Installer (Version 1.65)
    2010:01:08-18:42:51 wahine auisys[8934]: Searching for available up2date packages for type 'mpfc'
    2010:01:08-18:42:51 wahine auisys[8934]: id="371D" severity="info" sys="system" sub="up2date" name="No up2date packages available for installation" status="failed" action="preinst_check" package="mpfc"
    2010:01:08-18:42:57 wahine auisys[8934]: Searching for available up2date packages for type 'ips'
    2010:01:08-18:42:57 wahine auisys[8934]: id="371D" severity="info" sys="system" sub="up2date" name="No up2date packages available for installation" status="failed" action="preinst_check" package="ips"
    2010:01:08-18:43:02 wahine auisys[8934]: Searching for available up2date packages for type 'man-sw'
    2010:01:08-18:43:02 wahine auisys[8934]: id="371D" severity="info" sys="system" sub="up2date" name="No up2date packages available for installation" status="failed" action="preinst_check" package="man-sw"
    2010:01:08-18:43:07 wahine auisys[8934]: Searching for available up2date packages for type 'avira'
    2010:01:08-18:43:07 wahine auisys[8934]: id="371D" severity="info" sys="system" sub="up2date" name="No up2date packages available for installation" status="failed" action="preinst_check" package="avira"
    2010:01:08-18:43:12 wahine auisys[8934]: Searching for available up2date packages for type 'clam'
    2010:01:08-18:43:12 wahine auisys[8934]: Installing up2date package file '/var/up2date//clam/u2d-clam-7.5065-5085.patch.tgz.gpg'
    2010:01:08-18:43:12 wahine auisys[8934]: Verifying up2date package signature
    2010:01:08-18:43:12 wahine auisys[8934]: Unpacking installation instructions
    2010:01:08-18:43:12 wahine auisys[8934]: Unpacking up2date package container
    2010:01:08-18:43:13 wahine auisys[8934]: Running pre-installation checks
    2010:01:08-18:43:13 wahine auisys[8934]: Starting up2date package installation
    2010:01:08-18:43:28 wahine auisys[8934]: id="371Z" severity="info" sys="system" sub="up2date" name="Successfully installed Up2Date package" status="success" action="install" package_version="7.5085" package="clam"
    2010:01:08-18:43:29 wahine auisys[8934]: New Pattern Up2Dates installed

    Does this make any sense?
    This looks to me like a simple virus update.
    Could this have messed with the network config?

    Thanks,

    ~Doug
Children
No Data