web-dev-qa-db-fra.com

Suis-je attaqué?

Lorsque j'ai vérifié ma visionneuse de journaux, j'ai remarqué que ufw bloque de nombreux ips que je ne connais pas! Je n'ai que trois ordinateurs dans mon réseau local au moment où je vérifiais ma visionneuse de journaux, je n'exécutais qu'un PC, les deux autres étaient fermés, j'ai également installé qBittorrent mais même lorsqu'il est fermé, le blocage de cet étrange ips se poursuit et sur! j'ai donc besoin d'aide pour comprendre cela, pourriez-vous m'aider s'il vous plaît!

ceci est un échantillon du journal, veuillez noter le SRC = ... et comment les ips changent à chaque fois!

Feb  6 10:36:47 kernel: [ 4483.535580] [UFW BLOCK] IN=eth0 OUT= MAC=00:23:ae:a8:a1:32:b0:48:7a:a3:3f:a5:08:00 SRC=173.194.35.96 DST=192.168.1.2 LEN=40 TOS=0x00 PREC=0x00 TTL=50 ID=63946 PROTO=TCP SPT=443 DPT=49390 WINDOW=0 RES=0x00 RST URGP=0 
Feb  6 10:36:47 kernel: [ 4483.550561] [UFW BLOCK] IN=eth0 OUT= MAC=00:23:ae:a8:a1:32:b0:48:7a:a3:3f:a5:08:00 SRC=173.194.35.96 DST=192.168.1.2 LEN=40 TOS=0x00 PREC=0x00 TTL=50 ID=63947 PROTO=TCP SPT=443 DPT=49390 WINDOW=0 RES=0x00 RST URGP=0 
Feb  6 10:36:49 kernel: [ 4485.451947] [UFW BLOCK] IN=eth0 OUT= MAC=00:23:ae:a8:a1:32:b0:48:7a:a3:3f:a5:08:00 SRC=173.194.70.84 DST=192.168.1.2 LEN=40 TOS=0x00 PREC=0x00 TTL=47 ID=26086 PROTO=TCP SPT=443 DPT=45573 WINDOW=0 RES=0x00 RST URGP=0 
Feb  6 10:37:07 kernel: [ 4503.589763] [UFW BLOCK] IN=eth0 OUT= MAC=00:23:ae:a8:a1:32:b0:48:7a:a3:3f:a5:08:00 SRC=86.90.23.194 DST=192.168.1.2 LEN=131 TOS=0x00 PREC=0x00 TTL=54 ID=46228 PROTO=UDP SPT=63799 DPT=6881 LEN=111 
Feb  6 10:37:09 kernel: [ 4505.436512] [UFW BLOCK] IN=Teredo OUT= MAC= SRC=2001:0000:9d38:90d7:30aa:09f8:a6de:fe07 DST=2001:0000:53aa:064c:3449:d78a:a642:b06c LEN=72 TC=0 HOPLIMIT=128 FLOWLBL=0 PROTO=TCP SPT=38331 DPT=6881 WINDOW=8192 RES=0x00 SYN URGP=0 
Feb  6 10:37:28 kernel: [ 4525.061666] [UFW BLOCK] IN=eth0 OUT= MAC=00:23:ae:a8:a1:32:b0:48:7a:a3:3f:a5:08:00 SRC=71.173.19.14 DST=192.168.1.2 LEN=134 TOS=0x00 PREC=0x00 TTL=116 ID=16433 PROTO=UDP SPT=37115 DPT=6881 LEN=114 
Feb  6 10:37:34 kernel: [ 4530.489483] [UFW BLOCK] IN=eth0 OUT= MAC=00:23:ae:a8:a1:32:b0:48:7a:a3:3f:a5:08:00 SRC=173.194.35.126 DST=192.168.1.2 LEN=40 TOS=0x00 PREC=0x00 TTL=50 ID=46264 PROTO=TCP SPT=443 DPT=48085 WINDOW=0 RES=0x00 RST URGP=0 
Feb  6 10:37:46 kernel: [ 4542.565319] [UFW BLOCK] IN=eth0 OUT= MAC=00:23:ae:a8:a1:32:b0:48:7a:a3:3f:a5:08:00 SRC=111.206.125.219 DST=192.168.1.2 LEN=120 TOS=0x00 PREC=0x00 TTL=39 ID=0 DF PROTO=UDP SPT=34207 DPT=6881 LEN=100 
Feb  6 10:37:52 kernel: [ 4548.637274] [UFW BLOCK] IN=Teredo OUT= MAC= SRC=2001:05c0:1400:000a:0000:0000:0000:0c39 DST=2001:0000:53aa:064c:3449:d78a:a642:b06c LEN=78 TC=0 HOPLIMIT=123 FLOWLBL=0 PROTO=UDP SPT=28768 DPT=6881 LEN=38 
Feb  6 10:37:55 kernel: [ 4551.519196] [UFW BLOCK] IN=Teredo OUT= MAC= SRC=2001:05c0:1400:000a:0000:0000:0000:0c39 DST=2001:0000:53aa:064c:3449:d78a:a642:b06c LEN=78 TC=0 HOPLIMIT=123 FLOWLBL=0 PROTO=UDP SPT=28768 DPT=6881 LEN=38 
Feb  6 10:38:01 kernel: [ 4557.832730] [UFW BLOCK] IN=Teredo OUT= MAC= SRC=2001:05c0:1400:000a:0000:0000:0000:0c39 DST=2001:0000:53aa:064c:3449:d78a:a642:b06c LEN=78 TC=0 HOPLIMIT=123 FLOWLBL=0 PROTO=UDP SPT=28768 DPT=6881 LEN=38 
Feb  6 10:38:08 kernel: [ 4564.966546] [UFW BLOCK] IN=eth0 OUT= MAC=00:23:ae:a8:a1:32:b0:48:7a:a3:3f:a5:08:00 SRC=92.46.77.51 DST=192.168.1.2 LEN=134 TOS=0x00 PREC=0x00 TTL=111 ID=14597 PROTO=UDP SPT=17851 DPT=6881 LEN=114 
Feb  6 10:38:26 kernel: [ 4582.324206] [UFW BLOCK] IN=Teredo OUT= MAC= SRC=2001:05c0:1400:000a:0000:0000:0000:0c39 DST=2001:0000:53aa:064c:3449:d78a:a642:b06c LEN=68 TC=0 HOPLIMIT=123 FLOWLBL=0 PROTO=TCP SPT=59992 DPT=6881 WINDOW=8192 RES=0x00 SYN URGP=0 
Feb  6 10:38:28 kernel: [ 4584.203917] [UFW BLOCK] IN=eth0 OUT= MAC=00:23:ae:a8:a1:32:b0:48:7a:a3:3f:a5:08:00 SRC=111.250.83.156 DST=192.168.1.2 LEN=134 TOS=0x00 PREC=0x00 TTL=48 ID=41676 PROTO=UDP SPT=56696 DPT=6881 LEN=114 
Feb  6 10:38:46 kernel: [ 4602.737591] [UFW BLOCK] IN=eth0 OUT= MAC=00:23:ae:a8:a1:32:b0:48:7a:a3:3f:a5:08:00 SRC=81.155.77.146 DST=192.168.1.2 LEN=131 TOS=0x18 PREC=0x60 TTL=112 ID=12922 PROTO=UDP SPT=33574 DPT=6881 LEN=111
securityufw
2
user245205

Ceux qui montrent qu'ils proviennent du port 443 (HTTPS) sont probablement des "restes" de paquets d'une connexion précédente .. le pare-feu devrait autoriser les paquets associés à une connexion existante, mais si pour une raison quelconque votre PC pensait que la connexion était fermée/délai avant la télécommande (qui semble être un serveur Google), vous pouvez toujours voir des paquets perdus.

Edit: Et les paquets du port 6881 sont probablement laissés sur les paquets de votre torrent .. lorsque les clients torrent reprennent leurs opérations, je crois qu'ils tentent de rétablir le contact avec les pairs auxquels ils étaient précédemment connectés, ce qui expliquerait ces paquets. Il n'y a presque certainement rien à craindre.

2
Steve Dee
whois 173.194.35.96

ressemble à google. Mais je n'ai pas vérifié les autres.

0
Klaus-Dieter Warzecha