* * *
Benvenuto! Effettua l'accesso oppure registrati.
Hai perso l'e-mail di attivazione?
23 Settembre 2020, 02:30:17

Inserisci il nome utente, la password e la durata della sessione.

Links

ads

Benvenuto


Benvenuto su la Community CentOS-Italia.Org

La Community Italiana di Linux CentOS e' lieta di averti tra noi , CentOS-Italia.Org e' un risorsa di guide e forum dal principiante al sistemista senior.
Clicca qua per registrati ora

La registrazione e' gratuita e ti consente di avere pieno accesso alle risorse di CentOS-Italia.org , come uso della ricerca avanzata , le funzioni interattive del portale e visualizzare i links nei post.
Gli utenti registrati non visualizzano gli ads, quindi registrati subito se non l'hai gia fatto.

Lo staff di CentOS-Italia.Org cerca di rendere la community un posto piacevole e il piu' produttivo possibile, invitiamo quindi i nuovi utenti a leggere le regole base.
Per info o problemi di registrazione scrivere a centos (at) centos-italia.org .

Autore Topic: Connessioni FTP sospette  (Letto 2969 volte)

Offline Riccardo80

  • Newbie
  • *
  • Post: 22
    • Mostra profilo
Connessioni FTP sospette
« il: 12 Luglio 2011, 08:46:47 »
Buongiorno a tutti.

Trovo nei log del router dei tentativi di connessioni FTP agli ip 62.94.0.11 e 192.54.34.190 che partono dal mio server centos

Ho cercato in rete ed il primo ip sembra essere un ip di test adsl di eutelia mentre per il secondo non trovo niente di utile.

Ho anche disinstallato ftp dal server.

Come posso capire cosa cerca di far partire queste connessioni. Nei file di log messages e secure non c' nulla in merito.

Grazie.
Riccardo

Offline LonelyWolf

  • Moderator
  • Hero Member
  • *****
  • Post: 1371
    • Mostra profilo
    • Traversate dei laghi
Re: Connessioni FTP sospette
« Risposta #1 il: 12 Luglio 2011, 08:52:25 »
Eutelia a qul server ftp ha dei repo di distribuzioni linux tra cui anche centos, probabilmente il demone che controlla se ci sono aggiornamenti.
Per l'altro indirizzo ip normale che tu non riesca a trovare nulla una classe "privata" ovvero utilizzata per le reti locali; non una macchina della tua rete? Controlla nelle impostazioni di centos.

Offline Riccardo80

  • Newbie
  • *
  • Post: 22
    • Mostra profilo
Re: Connessioni FTP sospette
« Risposta #2 il: 12 Luglio 2011, 09:02:44 »
Grazie per la riposta celere

l'ip 192.....  non la classe della mia rete e lo trovo nei log come ip di destinazione
Nel log del router ho

TCP Packet - Source:192.168.30.**,48166 Destination:192.54.34.190,21

Per l'ip eutelia una connessione nuova che prima non vedevo mai.

Ad ogni modo dici che l'ip riferito ad Eutelia dedicato a dei repo quindi un ip sicuro

Offline smeserver

  • Hero Member
  • *****
  • Post: 1313
    • Mostra profilo
Re: Connessioni FTP sospette
« Risposta #3 il: 12 Luglio 2011, 14:47:10 »
Buongiorno a tutti.

Trovo nei log del router dei tentativi di connessioni FTP agli ip 62.94.0.11 e 192.54.34.190 che partono dal mio server centos

sicuro? posta il log

Citazione
Ho cercato in rete ed il primo ip sembra essere un ip di test adsl di eutelia mentre per il secondo non trovo niente di utile.

ahem:
Citazione
netnum: 192.54.34.0 - 192.54.34.255
netname: GMDZ1-DE
descr: Fraunhofer-Gesellschaft e.V. Institutszentrum Birlinghoven
country: DE

Citazione
Ho anche disinstallato ftp dal server.

non ne vedo il motivo

Citazione
Come posso capire cosa cerca di far partire queste connessioni. Nei file di log messages e secure non c' nulla in merito.

per curiosit.. in che orari hai queste connessioni? e, sempre per curiosit, sul server centos, che operazioni schedulate hai negli stessi orari?

Offline Riccardo80

  • Newbie
  • *
  • Post: 22
    • Mostra profilo
Re: Connessioni FTP sospette
« Risposta #4 il: 12 Luglio 2011, 15:42:29 »
Ecco parte il Log


Mon, 2011-07-11 08:13:34 - TCP Packet - Source:192.168.30.**,48164 Destination:192.54.34.190,21 - [FTP rule match]
Mon, 2011-07-11 08:13:57 - TCP Packet - Source:192.168.30.**,48165 Destination:192.54.34.190,21 - [FTP rule match]
Mon, 2011-07-11 08:14:19 - TCP Packet - Source:192.168.30.**,48166 Destination:192.54.34.190,21 - [FTP rule match]
Mon, 2011-07-11 08:14:42 - TCP Packet - Source:192.168.30.**,48167 Destination:192.54.34.190,21 - [FTP rule match]
Mon, 2011-07-11 08:15:04 - TCP Packet - Source:192.168.30.**,48168 Destination:192.54.34.190,21 - [FTP rule match]
Mon, 2011-07-11 08:15:27 - TCP Packet - Source:192.168.30.**,48169 Destination:192.54.34.190,21 - [FTP rule match]
Mon, 2011-07-11 08:15:49 - TCP Packet - Source:192.168.30.**,34285 Destination:192.54.34.190,21 - [FTP rule match]
Mon, 2011-07-11 08:16:12 - TCP Packet - Source:192.168.30.**,34286 Destination:192.54.34.190,21 - [FTP rule match]
Mon, 2011-07-11 08:16:34 - TCP Packet - Source:192.168.30.**,34287 Destination:192.54.34.190,21 - [FTP rule match]
Mon, 2011-07-11 08:16:57 - TCP Packet - Source:192.168.30.**,34288 Destination:192.54.34.190,21 - [FTP rule match]
Mon, 2011-07-11 10:13:33 - TCP Packet - Source:192.168.30.**,42075 Destination:62.94.0.11,21 - [FTP rule match]
Mon, 2011-07-11 10:13:56 - TCP Packet - Source:192.168.30.**,42076 Destination:62.94.0.11,21 - [FTP rule match]
Mon, 2011-07-11 10:14:18 - TCP Packet - Source:192.168.30.**,42077 Destination:62.94.0.11,21 - [FTP rule match]
Mon, 2011-07-11 10:14:41 - TCP Packet - Source:192.168.30.**,42078 Destination:62.94.0.11,21 - [FTP rule match]
Mon, 2011-07-11 10:15:03 - TCP Packet - Source:192.168.30.**,42079 Destination:62.94.0.11,21 - [FTP rule match]
Mon, 2011-07-11 10:15:26 - TCP Packet - Source:192.168.30.**,42080 Destination:62.94.0.11,21 - [FTP rule match]
Mon, 2011-07-11 10:15:48 - TCP Packet - Source:192.168.30.**,33313 Destination:62.94.0.11,21 - [FTP rule match]
Mon, 2011-07-11 10:16:11 - TCP Packet - Source:192.168.30.**,33314 Destination:62.94.0.11,21 - [FTP rule match]
Mon, 2011-07-11 10:16:33 - TCP Packet - Source:192.168.30.**,33315 Destination:62.94.0.11,21 - [FTP rule match]
Mon, 2011-07-11 10:16:56 - TCP Packet - Source:192.168.30.**,33316 Destination:62.94.0.11,21 - [FTP rule match]

I tentativi continuano per tutto il giorno.

La regola definita FTP blocca tutto il traffico FTP.

Di sequito riporto il cron impostato alle 04:00

/etc/cron.daily/makewhatis.cron
/etc/cron.daily/logrotate
/etc/cron.daily/prelink
/etc/cron.daily/tmpwatch
/etc/cron.daily/0anacron
/etc/cron.daily/cups
/etc/cron.daily/0logwatch
/etc/cron.daily/mlocate.cron
/etc/cron.daily/rpm


Ho anche fermato il servizio yum-updatesd per vedere se opera sua.

l'IP 192.54.34.190 sembra appartenga a http://www.fraunhofer.de/en/about-fraunhofer/ un instituto di ricerca..

Offline mayers81

  • Hero Member
  • *****
  • Post: 613
    • Mostra profilo
    • E-mail
Re: Connessioni FTP sospette
« Risposta #5 il: 12 Luglio 2011, 16:01:47 »
Se e attivo yum-updates una volta ogni tot ricerca gli upgrade dipende come configurato file /etc/yum/yum-updates.conf se non sbaglio
Mayers

Where there is a shell, there is a way

Offline Riccardo80

  • Newbie
  • *
  • Post: 22
    • Mostra profilo
Re: Connessioni FTP sospette
« Risposta #6 il: 15 Luglio 2011, 08:55:59 »
Dal 12 quando ho fermato il servizio yum-updatesd non mi trovo pi tentativi di connessione ftp, credo di poter considerare risolto il mistero.


Grazie a tutti

Riccardo

 

Notizie

Per problemi di registrazione scrivere a centos (at) centos-italia (dot) org

Collegamenti

Posts Recenti

Utenti
Statistiche
  • Post in totale: 13106
  • Topic in totale: 2953
  • Online Oggi: 172
  • Massimi online: 9639
  • (14 Gennaio 2020, 10:20:21)
Utenti Online
Utenti: 0
Visitatori: 158
Totale: 158

Permessi

-no content-

ShoutBox!

Ultimo 5 Shout:

fzphoto

19 Febbraio 2018, 09:18:24
Ciao a tutti. Ho installato l'ultima versione di centos 7 per poter lavorare comodamente con DaVinci resolve 14. Solo che non riesco, ne a installare il programma Davinci, ne tanto meno, il driver nvidia per la scheda grafica geoforce 1080 ti. Sul web non trovo niente che mi aiuti. Premetto che sono

aner64

07 Febbraio 2018, 11:21:40
Buongiorno. Ho installato l'ultima versione di CENTOS7 aggiornata alla 7.0.4.1708. Ho bisogno di fare un restore di file da un filesystem reiserfs. CENTOS7 non ha reiserfs tra i FS e bisogna installarlo. Quando di cerca di installare kmod-reiserfs-0.0-2.el7.elrepo.x86_64.rpm escono errori per mancan
 

LonelyWolf

28 Dicembre 2017, 08:37:34
da ieri non vedo pi il css solo un problema mio?

trattore

28 Settembre 2015, 03:30:48
ma qui non c' mai nessuno
 ;)

ivo

26 Agosto 2015, 16:01:14
Ho configurato il DHCP creato il file /etc/dhcpd.conf con il seguente contenuto
-------------------------------------------------------------------------------
ddns-update-style interim;
ignore client-updates;

authoritative;

subnet 172.16.208.96 netmask 255.255.255.240 {
    option routers      

Mostra ultimi 50