kernel intrusion log

[mr.tsoo]

Καλησπέρα σε όλους,

Αντιμετωπίζω το εξής πρόβλημα εδώ και 2 ημέρες.

Έχω ένα tp link TD-W8960NB και σταθερά σε χρόνο κάθε 10 λεπτά το Log μου χτυπάει αυτό το error


kernel: Intrusion -> IN=ppp0 OUT= MAC= SRC=67.92.203.72 DST=( η ip μου οτενετ) LEN=64 TOS=0x18 PREC=0x20 TTL=46 ID=9369 DF PROTO=TCP SPT=51266 DPT=10792 WINDOW=65535 RES=0x00 SYN URGP=0

Σε κάθε χτύπημα η source ip αλλάζει, φυσικά, καθώς και οι πόρτες SPT και DPT.

Thanks,

[grgz]

Ρίξε μια ματιά εδώ κι εδώ. Προφανώς το firewall του router σου μπλοκάρει κάτι.

Μήπως έχεις "τσιμπήσει" κάποιο trojan;

[mr.tsoo]

Thanks for the info my friend....

[evakotsi]

Καλησπέρα,

Σήμερα συνειδητοποίησα ότι μου συμβαίνει ακριβώς το ίδιο...
Η σύνδεση είναι καινούργια και πριν από καμια βδομάδα συνέδεσα το router.
Για ευκολία (και αφού έπαιζε το ίντερνετ) άφησα τα default settings & δεν πείραξα τίποτα (ούτε το password).
Από τις 1ες κιόλας ημέρες παρατήρησα ότι κάτι δεν δούλευε σωστά γιατί όταν συνδέονταν πολλές συσκευές ταυτόχρονα στο wifi (2pc & i-phone ή laptop) κάτι κόλλημα έτρωγε & κάποια από τις συσκευές έκανε IP conflict με κάποια άλλη & αποσυνδεόταν...
Σήμερα λοιπόν συνέδεσα με καλώδιο το pc στο router για να δω μήπως έχει καμία πασηφανή ρύθμιση που να περιορίζει τον αριθμό των συσκευών, αλλά και για να αλλάξω τον κωδικό του wifi σε κάτι πιο απομνημονεύσιμο καθώς το default αποτελούνταν από 15 ψηφία...
Αυτό που είδα στο system log του router ήταν διάφορα alerts για kernel intrusion κάθε 10' περίπου από διάφορες IP για παράδειγμα:
(kernel: Intrusion -> IN=ppp0 OUT= MAC= SRC=117.200.145.32 DST=46.176.114.34 LEN=48 TOS=0x00 PREC=0x00 TTL=108 ID=32375 DF PROTO=TCP SPT=61083 DPT=27057 WINDOW=8192 RES=0x00 SYN URGP=0)
και ψάχνοντας βρήκα αυτό το thread...
Αυτό όμως που με προβλημάτισε είναι ότι εκτός από τα intrusion alerts υπάρχουν και 4 ίδια διαδοχικά μηνύματα:
"kernel: 100004 Detect remote http login(src ip = 95.42.42.195)!"
Στο google που έψαξα δεν βρήκα κάτι... Αυτό το μήνυμα σημαίνει ότι όντως κάποιος κατάφερε να κάνει remote login στο router μου?
Η IP αυτή μετά από ένα whois κάνει trace back στην Βουλγαρία...

Μπορεί κάποιος να μου εξηγήσει εάν αυτό είναι σοβαρό & πόσο & αν πρέπει εκτός από την αλλαγή του password να μπλοκάρω και κάτι άλλο μέσω του router?

Ευχαριστώ εκ των προτέρων για τη βοήθεια!

[evakotsi]

Κανείς?

[grgz]

Να υποθέσω ότι τουλάχιστον άλλαξες το password και έβαλες κάποιο δύσκολο...

Ρίξε μια ματιά στα: 1, 2, 3, 4, γιατί μπορεί το μήνυμα να προέρχεται από την Network Information Service του router σου, χωρίς να είμαι σίγουρος.

Αλήθεια ποιό router έχεις;

Επίσης κάνε ένα σκανάρισμα στα Pc σου με antivirus και antispyware. Μήπως το iPhone συνδέεται κάπου περίεργα;