PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Komische Netzwerkmeldungen im Log


imhotep
05.02.16, 08:42
Hallo Leute,

seit einiger Zeit habe ich merkwürdige Netzwerkmeldungen im Log:


Feb 05 09:30:04 esprimo kernel: SFW2-INext-ACC-TCP IN=enp0s25 OUT= MAC=00:01:80:68:f2:aa:ac:9e:17:b4:3b:aa:08:00 SRC=192.168.2.20 DST=192.168.2.9 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=51082 DF PROTO=TCP SPT=38113 DPT=443 WINDOW=29200 RES=0x00 SYN URGP=0 OPT (020405B40402080A0017325C0000000001030307)
Feb 05 09:30:34 esprimo kernel: SFW2-INext-ACC-TCP IN=enp0s25 OUT= MAC=00:01:80:68:f2:aa:ac:9e:17:b4:3b:aa:08:00 SRC=192.168.2.20 DST=192.168.2.9 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=25759 DF PROTO=TCP SPT=38115 DPT=443 WINDOW=29200 RES=0x00 SYN URGP=0 OPT (020405B40402080A00174FAD0000000001030307)
Feb 05 09:30:50 esprimo kernel: SFW2-INext-DROP-DEFLT IN=enp0s25 OUT= MAC=00:01:80:68:f2:aa:24:65:11:f4:21:ef:08:00 SRC=192.168.2.1 DST=192.168.2.9 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=6385 DF PROTO=TCP SPT=37265 DPT=14013 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40402080A05F5BEF00000000001030302)
Feb 05 09:30:50 esprimo kernel: SFW2-INext-ACC-TCP IN=enp0s25 OUT= MAC=00:01:80:68:f2:aa:00:11:e0:03:c3:85:08:00 SRC=192.168.2.142 DST=192.168.2.9 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=58739 DF PROTO=TCP SPT=55707 DPT=9000 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40402080A01DB9F7C0000000001030301)
Feb 05 09:30:53 esprimo kernel: SFW2-INext-DROP-DEFLT IN=enp0s25 OUT= MAC=00:01:80:68:f2:aa:24:65:11:f4:21:ef:08:00 SRC=192.168.2.1 DST=192.168.2.9 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=6386 DF PROTO=TCP SPT=37265 DPT=14013 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40402080A05F5C01C0000000001030302)
Feb 05 09:30:59 esprimo kernel: SFW2-INext-DROP-DEFLT IN=enp0s25 OUT= MAC=00:01:80:68:f2:aa:24:65:11:f4:21:ef:08:00 SRC=192.168.2.1 DST=192.168.2.9 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=6387 DF PROTO=TCP SPT=37265 DPT=14013 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40402080A05F5C2740000000001030302)
Feb 05 09:31:04 esprimo kernel: SFW2-INext-ACC-TCP IN=enp0s25 OUT= MAC=00:01:80:68:f2:aa:ac:9e:17:b4:3b:aa:08:00 SRC=192.168.2.20 DST=192.168.2.9 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=15789 DF PROTO=TCP SPT=38116 DPT=443 WINDOW=29200 RES=0x00 SYN URGP=0 OPT (020405B40402080A00176CF80000000001030307)
Feb 05 09:31:34 esprimo kernel: SFW2-INext-ACC-TCP IN=enp0s25 OUT= MAC=00:01:80:68:f2:aa:ac:9e:17:b4:3b:aa:08:00 SRC=192.168.2.20 DST=192.168.2.9 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=22141 DF PROTO=TCP SPT=38119 DPT=443 WINDOW=29200 RES=0x00 SYN URGP=0 OPT (020405B40402080A00178A430000000001030307)
Feb 05 09:31:36 esprimo kernel: SFW2-INext-ACC-TCP IN=enp0s25 OUT= MAC=00:01:80:68:f2:aa:00:11:e0:03:e0:62:08:00 SRC=192.168.2.11 DST=192.168.2.9 LEN=44 TOS=0x00 PREC=0x00 TTL=64 ID=60176 DF PROTO=TCP SPT=57616 DPT=9000 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B4)


Dabei ist 192.168.2.9 mein Medienserver, von dem dieser Log-Auszug stammt.

Kann es sein, dass ich mir einen Virus eingefangen habe?
imhotep
05.02.16, 14:30
Mittlerweile habe ich mal auf 192.168.2.9 einen Virenscan gemacht. Scheint alles OK zu sein.
Weiß jemand, was diese komischen Meldungen bedeuten?

----------- SCAN SUMMARY -----------
Known viruses: 4246369
Engine version: 0.99
Scanned directories: 155961
Scanned files: 1056820
Infected files: 0
Total errors: 304167
Data scanned: 36328.42 MB
Data read: 120238.20 MB (ratio 0.30:1)
Time: 16431.829 sec (273 m 51 s)
You have new mail in /var/mail/root
marce
05.02.16, 14:40
http://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/show/249_Firewall-meldet-Angriffe-an-TCP-Port-80-bzw-14013-oder-unangeforderte-Pakete-vom-Typ-0x88e1/
imhotep
07.02.16, 08:40
Vielen Dank für den Hinnweis. Das ist schon mal sehr beruhigend. Allerdings muss ich gestehen, dass ich nicht weiß, wie ich das nun in der SuSE Firewall konfigurieren muss.

"Wenn Sie diese Meldungen nicht mehr erhalten wollen, richten Sie die Firewall des Netzwerkgerätes so ein, dass eingehende Verbindungen an TCP-Port 80 und 14013 bzw. Pakete vom Typ 0x88e1 zugelassen werden."

Ich habe nun eine Weile gegoogelt, aber nicht herausbekommen, wie und wo man das konfiguriert.
Ich habe versucht das als "Custom Rule" einzurichten. Hat aber zu keiner Änderung geführt.

Kann mir jemand sagen, wie man das einrichtet oder hat 'nen Link auf ein Beispiel oder Tutorial?