Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Onverklaarbaar netwerkverkeer op poort 22555

Pagina: 1
Acties:

maandag 24 november 2014 17:45

Acties:
  • LordSpud
  • Registratie: April 2008
  • Laatst online: 04-05 10:49

LordSpud

Topicstarter
Sinds enkele dagen valt mij op dat er van buitenaf zeer veel netwerk verkeer wordt gegenereerd die ik graag zou willen verklaren. Daar zou ik wat hulp bij kunnen gebruiken.

Vanaf een bepaald ip adres van buitenaf wordt steeds op poort 22555 verkeer gegenereerd. Dit beland uiteindelijk (als hij aan staat) op mijn Linux bak op poort 80 en 25 (staan open ivm hosten website en mailserver). Als die server uit staat, is deze netwerk activiteit nog steeds actief. Verkeer genereerd verder geen loggegevens (auth.log, mail.log, syslog, kern.log etc.). Het gaat om een Ubuntu 14.01 distro.

Poort 22555 zou mogelijk door ip telefonie worden gebruikt maar er zijn hier op het netwerk geen ip telefoons en ik zou niet weten waarom een adres van buitenaf dit soort verkeer genereerd. Ik heb verder te weinig ervaring om netwerk verkeer op de juiste manier te interpreteren en zie met tshark het volgende:

2007  34.594108 162.209.126.47 -> 10.1.1.10    TCP 66 [TCP Port numbers reused] vocaltec-wconf > smtp [SYN] Seq=0 Win=8192 Len=0 MSS=1452 WS=256 SACK_PERM=1
2008  34.594130    10.1.1.10 -> 162.209.126.47 TCP 54 [TCP ACKed unseen segment] smtp > vocaltec-wconf [ACK] Seq=1 Ack=1579224088 Win=29200 Len=0
2009  34.597346 162.209.126.47 -> 10.1.1.10    TCP 66 [TCP Port numbers reused] vocaltec-wconf > http [SYN] Seq=0 Win=8192 Len=0 MSS=1452 WS=256 SACK_PERM=1
2010  34.597368    10.1.1.10 -> 162.209.126.47 TCP 54 [TCP ACKed unseen segment] http > vocaltec-wconf [ACK] Seq=1 Ack=1012254425 Win=29200 Len=0
2011  34.662395 162.209.126.47 -> 10.1.1.10    TCP 66 [TCP Port numbers reused] vocaltec-wconf > smtp [SYN] Seq=0 Win=8192 Len=0 MSS=1452 WS=256 SACK_PERM=1
2012  34.662418    10.1.1.10 -> 162.209.126.47 TCP 54 smtp > vocaltec-wconf [ACK] Seq=1 Ack=2150156990 Win=29200 Len=0
2013  34.665612 162.209.126.47 -> 10.1.1.10    TCP 66 [TCP Port numbers reused] vocaltec-wconf > http [SYN] Seq=0 Win=8192 Len=0 MSS=1452 WS=256 SACK_PERM=1
2014  34.665634    10.1.1.10 -> 162.209.126.47 TCP 54 http > vocaltec-wconf [ACK] Seq=1 Ack=2914641989 Win=29200 Len=0


Enig idee wat men hier probeert te bereiken?

maandag 24 november 2014 17:49

Acties:
  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 04-07 16:30

johnkeates

162.209.126.47 is een IP va RackSpace. Misschien even bij RackSpace melden?

Je kan ook even kijken of je niet gewoon een daemon hebt draaien die wat uitspookt, ene hoge poort kan ook gewoon een (slechte) random source port zijn.

Kijk even of je met netstat verder komt, bijvoorbeeld:

sudo netstat -plant

En kijk even of 162.209.126.47 met een bepaald proces aan de slag is.

(misschien dat sudo netstaf -plant | grep 162.209.126.47 hem meteen kan vinden)

maandag 24 november 2014 17:52

Acties:
  • Sleepkever
  • Registratie: Juni 2007
  • Laatst online: 23:10

Sleepkever

Dit beland uiteindelijk (als hij aan staat) op mijn Linux bak op poort 80 en 25 (staan open ivm hosten website en mailserver).
Lijkt me logisch toch? Die hoge poort die je aan de andere kant ziet is verder niet relevant en is alleen maar een open poort toegekend door het OS / router aan de andere kant die toevallig beschikbaar was.
Kijk je webserver log ook eens door en neem nog eens een goed kijkje naar je mail log. Grep op alle logging files met het IP nummer kan misschien helpen?

En anders de pakketjes even inzichtelijk maken met tcpdump en de volledige data in console gooien, wellicht krijg je dan een idee naar wat voor requests er binnen komen. 80 en 25 moeten volgens mij beide unencrypted zijn en in ieder geval leesbaar.

maandag 24 november 2014 19:15

Acties:
  • LordSpud
  • Registratie: April 2008
  • Laatst online: 04-05 10:49

LordSpud

Topicstarter
netstat had ik inderdaad gedaan maar krijg dan alleen de status SYN_RECV op dat adres/poort:

tcp        0      0 10.1.1.10:80            162.209.126.47:22555    SYN_RECV    -
tcp        0      0 10.1.1.10:25            162.209.126.47:22555    SYN_RECV    -


Het verkeer doet zich ook voor als de betreffende server waar ik nu op monitor niet aan staat, hoewel ik dan niet kan bewijzen dat het hier om dezelfde ip adressen gaat. Hierdoor lijkt een proces die aan "mijn" kant met die servers communiceert uitgesloten (tenzij een ander apparaat in het netwerk dit doet). Het tooltje "nethogs" ziet het verkeer ook:

NetHogs version 0.8.0

  PID USER     PROGRAM                                                                                                                                                                                   DEV        SENT      RECEIVED
?     root     10.1.1.10:80-162.209.126.47:22555                                                                                                                                                                    0.633       0.773 KB/sec
?     root     10.1.1.10:25-162.209.126.47:22555                                                                                                                                                                    0.633       0.773 KB/sec
4066  bas      sshd: bas@pts/0                                                                                                                                                                           p4p1       0.761       0.095 KB/sec
?     root     unknown TCP                                                                                                                                                                                          0.000       0.000 KB/sec


Als ik tcpdump excerpts post, is het voor jullie dan te herleiden wat voor een verkeer dit is? Voorbeeld op poort 25 (sudo tcpdump -vv -x -X -s 1500 -i p4p1 'port 25')

19:13:04.355084 IP (tos 0x0, ttl 64, id 4782, offset 0, flags [DF], proto TCP (6), length 40)
    10.1.1.10.smtp > 162.209.126.47.22555: Flags [.], cksum 0x8c5b (correct), seq 0, ack 1, win 29200, length 0
        0x0000:  4500 0028 12ae 4000 4006 fc16 0a01 010a  E..(..@.@.......
        0x0010:  a2d1 7e2f 0019 581b 9fa3 31be b633 a593  ..~/..X...1..3..
        0x0020:  5010 7210 8c5b 0000                      P.r..[..


En poort 80:

19:14:16.360114 IP (tos 0x0, ttl 103, id 52276, offset 0, flags [DF], proto TCP (6), length 52)
    162.209.126.47.22555 > 10.1.1.10.http: Flags [S], cksum 0x81ac (correct), seq 1321204277, win 8192, options [mss 1452,nop,wscale 8,nop,nop,sackOK], length 0
        0x0000:  4500 0034 cc34 4000 6706 1b84 a2d1 7e2f  E..4.4@.g.....~/
        0x0010:  0a01 010a 581b 0050 4ebf fa35 0000 0000  ....X..PN..5....
        0x0020:  8002 2000 81ac 0000 0204 05ac 0103 0308  ................
        0x0030:  0101 0402


Alle logbestanden overigens bekeken en dit ip adres komt in het geheel niet voor...

maandag 24 november 2014 19:36

Acties:
  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 04-07 16:30

johnkeates

Nou, dan is het dus je average internet-ruis :) Meestal automatische pentests, exploit kits, portscans, service banging etc. Zo gek is dat niet voor een WAN server hoor.

maandag 24 november 2014 21:32

Acties:
  • LordSpud
  • Registratie: April 2008
  • Laatst online: 04-05 10:49

LordSpud

Topicstarter
Ja maar 'k vind het zo interessant om te weten wat ze precies aan 't uitspoken zijn :-) Bij ssh inlog fails is het vrij eenvoudig te zien wat ze aan 't doen zijn en die fail2ban tool is ook nogal verbose dus dan kun je precies zien wat er wanneer gebeurt. Thanks iig voor de feedback.

maandag 24 november 2014 21:37

Acties:
  • azerty
  • Registratie: Maart 2009
  • Laatst online: 22:20

azerty

Kun je er geen wireshark tussenhangen en dan filteren op dat specifiek IP adres? Dan zou je toch wel een beter idee moeten krijgen wat er precies gaande is.

maandag 24 november 2014 21:43

Acties:
  • Sendy
  • Registratie: September 2001
  • Niet online

Sendy

Het is toch duidelijk? Iemand stuurt een SYN en jij reageert met ACK. Daarna blijft het stil?

maandag 24 november 2014 21:50

Acties:
  • LordSpud
  • Registratie: April 2008
  • Laatst online: 04-05 10:49

LordSpud

Topicstarter
wsitedesign schreef op maandag 24 november 2014 @ 21:37:
Kun je er geen wireshark tussenhangen en dan filteren op dat specifiek IP adres? Dan zou je toch wel een beter idee moeten krijgen wat er precies gaande is.
Sendy schreef op maandag 24 november 2014 @ 21:43:
Het is toch duidelijk? Iemand stuurt een SYN en jij reageert met ACK. Daarna blijft het stil?
Misschien stel ik de verkeerde vragen.... Waarom stuurt een server uren, nee, dagen lang alleen maar SYN berichten (waarna mijn server dus een ACK terug stuurt) en verder niets? Wat is daar het nut van? Ik begrijp inmiddels dat ik het verder kan negeren enzo maar is nu dus meer uit interesse.

dinsdag 25 november 2014 00:48

Acties:
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 21:38

Kabouterplop01

chown -R me base:all

Wat ik wel gek vindt is de 2 TTL's, het is hetzelfde aantal hops. Of is dat normaal?
edit nvrmnd source-destination

[ Voor 19% gewijzigd door Kabouterplop01 op 25-11-2014 00:50 ]

dinsdag 25 november 2014 08:48

Acties:
  • PisPix
  • Registratie: Oktober 2003
  • Laatst online: 21:20

PisPix

Lijkt (gezien de lage frequentie acks syns) op een incorrect geconfigureerd monitor systeem op het internet wat toevallig bij jouw server uitgekomen is. Wellicht gaan er toeters/bellen rinkelen als je een drop doet op de ack syn. Dan komt er namelijk geen syn-ack terug. :-)

[ Voor 3% gewijzigd door PisPix op 26-11-2014 09:31 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq