Kernel Intrusion

Question

Kernel Intrusion

FReeKiSS 24 may 2007 13:50

Carpe Diem

1.132 mensajes
desde feb 2006
en Al norte de la península

Buenas EOLianos,

Llevo mucho tiempo ya aguantando ese mensaje en el log de mi router y no se a que demonios se debe. Los puertos que tiene abiertos, son los justos y necesarios (Para P2P, X360, algun juego en el que hago de server...) por supuesto, no son los que vienen por default.

El uPnP del router lo tengo activo, actualizado al ultimo firmware. Conecto todos los dispositivos via WiFi, con encriptacion WPA2-PSK (sin servidor) y TKIP+AES. Filtrado MAC habilitado. Ambos Pc´s estan completamente limpios de malware.

Os posteo el LOG que me tiene SUPER MOSQUEADO. Haber si podeis interpretar algunos valores a los que no llego. Deciros que de las IP´s que hay aparecen ninguna es la mia XD. Lo unico que alcanzo a ver son los protocolos de conexion (en este caso PPP) junto a los valores VC/VPI (8/35)... La IP publica supuestamente hostil y poco mas... Adjunto el fichero.

Solo decir que en la ultima semana he tenido un par de ataques DOS (denegacion de servicio).

¡Saludos y Gracias!

EDITO: Mierda, no me deja subir archivos con esa extension. Si lo paso a un TXT se descuadra completamente, asi que intentare poneoslo aqui. Os pido disculpas.

Jan 1 00:00:13 emergency Belkin ADSL Router started: BusyBox v1.00 (2006.03.15-07:27+0000)
Jan 1 00:00:13 emergency kernel: 4>BcmAdsl_Initialize=0xC0058208, g_pFnNotifyCallback=0xC006B374
Jan 1 00:00:13 critical kernel: ADSL G.994 training
Jan 1 00:00:22 critical kernel: ADSL G.992 channel analysis
Jan 1 00:00:27 critical kernel: ADSL link up, interleaved, us=800, ds=11251
Jan 1 00:00:55 critical pppd[521]: PPP LCP UP.
Jan 1 00:00:56 critical pppd[521]: Received valid IP address from server. Connection UP.
Jan 1 00:00:59 alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=83.55.129.38 DST=85.49.100.112 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=23446 DF PROTO=TCP SPT=4290 DPT=4662 WINDOW=16384 RES=0x00 SYN URGP=0
May 24 12:42:06 alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=83.55.129.38 DST=85.49.100.112 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=23533 DF PROTO=TCP SPT=4290 DPT=4662 WINDOW=16384 RES=0x00 SYN URGP=0
May 24 12:42:06 alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=85.49.195.240 DST=85.49.100.112 LEN=52 TOS=0x00 PREC=0x00 TTL=60 ID=4338 DF PROTO=TCP SPT=55884 DPT=4662 WINDOW=65535 RES=0x00 SYN URGP=0
May 24 12:42:09 alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=85.49.195.240 DST=85.49.100.112 LEN=52 TOS=0x00 PREC=0x00 TTL=60 ID=4706 DF PROTO=TCP SPT=55884 DPT=4662 WINDOW=65535 RES=0x00 SYN URGP=0
May 24 12:42:12 alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=83.55.129.38 DST=85.49.100.112 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=23682 DF PROTO=TCP SPT=4290 DPT=4662 WINDOW=16384 RES=0x00 SYN URGP=0
May 24 12:42:15 alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=85.49.195.240 DST=85.49.100.112 LEN=52 TOS=0x00 PREC=0x00 TTL=60 ID=5493 DF PROTO=TCP SPT=55884 DPT=4662 WINDOW=65535 RES=0x00 SYN URGP=0
May 24 12:52:06 alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=83.35.157.66 DST=85.49.100.112 LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=22583 DF PROTO=TCP SPT=19394 DPT=4662 WINDOW=65535 RES=0x00 SYN URGP=0
May 24 13:02:58 alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=80.103.96.137 DST=85.49.100.112 LEN=52 TOS=0x00 PREC=0x00 TTL=57 ID=61979 DF PROTO=TCP SPT=61795 DPT=4662 WINDOW=65535 RES=0x00 SYN URGP=0
May 24 13:11:29 alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=83.57.233.135 DST=85.49.100.112 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=13665 DF PROTO=TCP SPT=1792 DPT=4662 WINDOW=65535 RES=0x00 SYN URGP=0
May 24 13:11:32 alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=83.57.233.135 DST=85.49.100.112 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=14099 DF PROTO=TCP SPT=1792 DPT=4662 WINDOW=65535 RES=0x00 SYN URGP=0
May 24 13:11:38 alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=83.57.233.135 DST=85.49.100.112 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=14734 DF PROTO=TCP SPT=1792 DPT=4662 WINDOW=65535 RES=0x00 SYN URGP=0

4 respuestas

#1302# 24 may 2007 14:48 · Answer 1 · 2007-05-24T12:48:40+00:00

A ver si te puedo ayudar en algo.

Lo primero que veo es que el puerto destino "atacado" es el 4662 perteneciente a la red eDonkey (eMule). Ese tipo de LOG suele aparecer cuando alguien intenta acceder a ese puerto y se lo encuentra cerrado, ya que si el eMule no esta activo el router automáticamente deniega la conexión al puerto, a no ser que el router tenga un fallo y lo permita.

Haciendo un análisis, sale que la IP viene de Orange, algún usuario de dicha compañía. Lo mas seguro es que cuando tienes activo el eMule dicho usuario se "sube" de tu PC algo que tengas compartido.

Estoy un poco 'pegao' en temas de redes así que si no estoy en lo cierto que me corrijan...

Saludos.

Answer 2 · 2007-05-24T19:35:41+00:00

coyote escribió:A ver si te puedo ayudar en algo.

Lo primero que veo es que el puerto destino "atacado" es el 4662 perteneciente a la red eDonkey (eMule). Ese tipo de LOG suele aparecer cuando alguien intenta acceder a ese puerto y se lo encuentra cerrado, ya que si el eMule no esta activo el router automáticamente deniega la conexión al puerto, a no ser que el router tenga un fallo y lo permita.

Haciendo un análisis, sale que la IP viene de Orange, algún usuario de dicha compañía. Lo mas seguro es que cuando tienes activo el eMule dicho usuario se "sube" de tu PC algo que tengas compartido.

Estoy un poco 'pegao' en temas de redes así que si no estoy en lo cierto que me corrijan...

Saludos.

En primer lugar MUCHAS GRACIAS por contestar, es un tema que venia rondandome mucho tiempo la cabeza. [oki]

El puerto 4662 no lo utilizo para nada, tengo otro puerto completamente distinto (nunca conservo los puertos que vienen de serie).

Lo curioso esque esos ataques se "muestran" incluso cuando no tengo ningun P2P abierto. Hay veces que dejo el router encendido (sin haber puesto ningun programa P2P previamente o incluso sin encender ningun dispositivo que utilice la red) y aun asi, me muestra estos avisos en el log. No se si me explico. [comor?]

Mi ISP es Orange, por si sirve de algo.

Una vez mas, gracias por responder.

¡Saludos!

#1302# 24 may 2007 22:07 · Answer 3 · 2007-05-24T20:07:38+00:00

Acabo de ver esta noticia: http://barrapunto.com/article.pl?sid=07/05/24/175222&from=rss

Apuesto a que tiene algo que ver...

Answer 4 · 2007-05-25T16:05:04+00:00

Gracias de nuevo compañero.

Estoy barajando varias posibilidades ya que hoy he tenido que reinicializar el modem-router 3 veces:

1.Motivo de la noticia :-P

2.Exceso de recepcion y envio de paquetes (ayer y hoy he tenido el utorrent uploadeando a 70Kb/s) aunque lo dudo porque este Belkin ha recibido 3 veces mas tralla.
3.Problema del ISP (paso de llamar a Orange, me tienen mucho tiempo pegado al telefono para decir 4 gilipolleces; comprueba microfiltros, configuracion de conexion...)

Sin embargo sigo recibiendo en el log Kernel´s intrusion´s.
Lo curioso esque despues de muchos supuestos ataques DoS ha habido veces que he seguido con conexion.

Es decir, si segun el LOG he tenido 100 "ataques" "solo" se me ha ido dos veces la conexion. Es como si el router se saturase, me impide navegar por internet, nisiquiera responde a ping´s de red local y es imposible acceder a la configuracion mediante ip privada, por lo que tengo que desconectar/conectar.

Muchas gracias por la informacion.

Por cierto, en el router tanto la NAT como el firewall estan activos.

¡Saludos!