ubuntuusers.de

via DuckDuckGo

Interpretation von Log Eintrag: INPUT chain violation

Status: Ungelöst | Ubuntu-Version: Ubuntu 10.04 (Lucid Lynx)
Antworten |

lordofazeroth

Anmeldungsdatum:
16. Mai 2010

Beiträge: Zähle...
Zitieren
13. Dezember 2012 21:18 (zuletzt bearbeitet: 13. Dezember 2012 21:43)

Ich hab leider ein kleines Problem mit der Interpretation meines syslogs ☹ Diese Meldung kommt jede Sekunde 2-3 Mal:

Dec 13 06:45:20 name kernel: [287835.578595] INPUT chain violation:IN=net0 OUT= MAC=ff:ff:ff:ff:ff:ff:14:da:e9:c4:f6:fc:08:00 SRC=129.23.121.22 DST=255.255.255.255 LEN=132 TOS=0x00 PREC=0x00 TTL=128 ID=28181 PROTO=UDP SPT=58438 DPT=8979 LEN=112

Könnt Ihr mir sagen, was das bedeutet? Danke im Vorraus

Bearbeitet von trebbel:

Zitat durch Codeblock ersetzt. →Forum/Syntax

lordofazeroth

(Themenstarter)

Anmeldungsdatum:
16. Mai 2010

Beiträge: 114
Zitieren
16. Dezember 2012 19:04

Keiner? ☹ Restart hilft nicht

lubux

Anmeldungsdatum:
21. November 2012

Beiträge: 14314
Zitieren
16. Dezember 2012 19:28

lordofazeroth schrieb:

Diese Meldung kommt jede Sekunde 2-3 Mal: 

Dec 13 06:45:20 name kernel: [287835.578595] INPUT chain violation:

Wie ist die Ausgabe von 

sudo iptables -nvx -L INPUT

?

lordofazeroth

(Themenstarter)

Anmeldungsdatum:
16. Mai 2010

Beiträge: 114
Zitieren
17. Dezember 2012 07:45 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
Chain INPUT (policy DROP 495158 packets, 56077963 bytes)
    pkts      bytes target     prot opt in     out     source               destination         
  146460 58800230 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
     171     8600 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 state NEW 
    1939   100828 ACCEPT     tcp  --  lo     *       0.0.0.0/0            0.0.0.0/0           multiport dports 8222,8333,902,8307,8308 state NEW 
   75762  4917299 ACCEPT     udp  --  net+   *       192.168.1.0/24       0.0.0.0/0           udp dpt:53 state NEW 
      12      648 ACCEPT     tcp  --  net+   *       192.168.1.0/24       0.0.0.0/0           tcp dpt:53 state NEW 
    7336   503331 ACCEPT     udp  --  net+   *       192.168.10.0/24      0.0.0.0/0           udp dpt:53 state NEW 
       0        0 ACCEPT     tcp  --  net+   *       192.168.10.0/24      0.0.0.0/0           tcp dpt:53 state NEW 
       0        0 ACCEPT     udp  --  net+   *       192.168.20.0/24      0.0.0.0/0           udp dpt:53 state NEW 
       0        0 ACCEPT     tcp  --  net+   *       192.168.20.0/24      0.0.0.0/0           tcp dpt:53 state NEW 
    3432  1282702 ACCEPT     udp  --  net+   *       0.0.0.0/0            0.0.0.0/0           udp spt:68 dpt:67 state NEW 
       1       44 ACCEPT     tcp  --  net+   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3000 state NEW 
    1862   110156 ACCEPT     tcp  --  net1   *       0.0.0.0/0            0.0.0.0/0           multiport dports 8333,8222,902,8308,8307 state NEW 
       0        0 ACCEPT     udp  --  net1   *       0.0.0.0/0            0.0.0.0/0           multiport dports 8333,8222,902,8308,8307 state NEW 
      27     1240 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:113 reject-with icmp-port-unreachable 
       1       44 ACCEPT     tcp  --  net+   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:25 state NEW 
     205    10613 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 state NEW 
   85723  8356062 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 67,135,137:139,235,445,1026,5060,5061 
    1088    55900 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 80,8080,1024 
  495157 56077923 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `INPUT chain violation:'

lubux

Anmeldungsdatum:
21. November 2012

Beiträge: 14314
Zitieren
17. Dezember 2012 14:52

lordofazeroth schrieb:

Ich hab leider ein kleines Problem mit der Interpretation meines syslogs ☹ Diese Meldung kommt jede Sekunde 2-3 Mal:

Dec 13 06:45:20 name kernel: [287835.578595] INPUT chain violation:IN=net0 OUT= MAC=ff:ff:ff:ff:ff:ff:14:da:e9:c4:f6:fc:08:00 SRC=129.23.121.22 DST=255.255.255.255 LEN=132 TOS=0x00 PREC=0x00 TTL=128 ID=28181 PROTO=UDP SPT=58438 DPT=8979 LEN=112

Könnt Ihr mir sagen, was das bedeutet?

Hast Du die unten stehende Regel, aus dem Internet kopiert oder hast Du diese Regel absichtlich und bewusst eingegeben?

lordofazeroth schrieb:

Chain INPUT (policy DROP 495158 packets, 56077963 bytes)
    pkts      bytes target     prot opt in     out     source               destination         
  495157 56077923 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `INPUT chain violation:'

lordofazeroth

(Themenstarter)

Anmeldungsdatum:
16. Mai 2010

Beiträge: 114
Zitieren
18. Dezember 2012 07:45

Ich weiß nicht, wer die gemacht hat oder wo die herkommt. Ich habe das System so wie es ist übernommen. Aber eigentlich sollte das System von einer kompetenten Person aufgesetzt worden sein, ist allerdings schon Jahre her.

Was sollte denn in/statt dieser Zeile stehen?

lubux

Anmeldungsdatum:
21. November 2012

Beiträge: 14314
Zitieren
18. Dezember 2012 15:30 (zuletzt bearbeitet: 18. Dezember 2012 15:31)

lordofazeroth schrieb:

Aber eigentlich sollte das System von einer kompetenten Person aufgesetzt worden sein, ...

OK, ... dann hatte diese kompetente Person das Bedürfnis und Interesse daran, den Datenverkehr der von dieser Regel erfasst wird, zu loggen. Du könntest diese LOG-Regel, im iptables-Script löschen oder deaktivieren.

Ist es wirklich so wie Du schreibst, dass diese Meldungen immer die SRC- und DST-IP-Adresse "SRC=129.23.121.22 DST=255.255.255.255" beinhalten? Wenn ja, dann siehe wegen "SRC=129.23.121.22", 

whois 129.23.121.22

im Terminal.
Antworten |