martian source ..?

Imagen de juank6_66

Tema: 

Saludos comunidad

Alguien me podria orientar sobre lo que quiere decir este mensaje ...he buscado en el internet sobre los martian source pero nada concreto..!!! GRACIAS

Jul 19 15:15:38 JK kernel: printk: 5 messages suppressed.
Jul 19 15:15:38 JK kernel: martian source 192.168.1.2 from 192.168.1.222, on dev eth1
Jul 19 15:15:38 JK kernel: martian source 192.168.1.2 from 192.168.1.222, on dev eth0
Jul 19 15:15:38 JK kernel: ll header: ff:ff:ff:ff:ff:ff:00:19:de:61:26:f3:08:06
Jul 19 15:15:38 JK kernel: ll header: ff:ff:ff:ff:ff:ff:00:19:de:61:26:f3:08:06
Jul 19 15:15:38 JK kernel: martian source 172.11.3.6 from 172.11.3.2, on dev eth2
Jul 19 15:15:38 JK kernel: ll header: ff:ff:ff:ff:ff:ff:00:19:de:61:26:f3:08:06
Jul 19 15:15:38 JK kernel: martian source 172.11.3.6 from 172.11.3.2, on dev eth0
Jul 19 15:15:38 JK kernel: ll header: ff:ff:ff:ff:ff:ff:00:19:de:61:26:f3:08:06
Jul 19 15:15:38 JK kernel: martian source 192.168.1.8 from 192.168.1.222, on dev eth1
Jul 19 15:15:38 JK kernel: martian source 192.168.1.8 from 192.168.1.222, on dev eth0
Jul 19 15:15:38 JK kernel: ll header: ff:ff:ff:ff:ff:ff:00:19:de:61:26:f3:08:06
Jul 19 15:15:38 JK kernel: ll header: ff:ff:ff:ff:ff:ff:00:19:de:61:26:f3:08:06
Jul 19 15:15:38 JK kernel: martian source 172.11.3.4 from 172.11.3.2, on dev eth0
Jul 19 15:15:38 JK kernel: ll header: ff:ff:ff:ff:ff:ff:00:19:de:61:26:f3:08:06

Comentarios

fuentes marcianas

Imagen de acl

Si el kernel encuentra un paquete que es evidentemente erroneo en lo que se refiere a enrutamiento, te mostrara ese mensaje. Podemos ver tu tabla de enrutamiento para ilustrar el por que del mensaje? En resumen, si el kernel ve un paquete inesperado por alguna interfaz, mostrara ese mensaje.

Yo investigaria cuales son las maquinas que estan inyectando esos paquetes a la red, usando la informacion del ll header (la MAC de la maquina mugrosa es 00:19:de:61:26:f3)

Tambien puedes evitar que el kernel muestre esos mensajes escribiendo 1 en /proc/sys/net/ipv4/conf/*/log_martians

Esa es mi tabla

Imagen de juank6_66

Esa es mi tabla si me puedes ayudar a comprender mejor mi problema con los marcianos GRACIAS

201.218.6.192 * 255.255.255.248 U 0 0 0 eth0
172.11.3.0 * 255.255.255.0 U 0 0 0 eth1
192.168.1.0 * 255.255.255.0 U 0 0 0 eth2
169.254.0.0 * 255.255.0.0 U 0 0 0 eth2
default host-201.218.6 0.0.0.0 UG 0 0 0 eth0

Una pregunta ademas se me presenta un mensaje curioso como este no se que siginfica
Jul 19 18:39:28 JK userhelper[7579]: pam_timestamp: updated timestamp file `/var/run/sudo/root/unknown'
Jul 19 18:39:28 JK userhelper[7580]: running '/usr/sbin/system-config-packages' with root privileges on behalf of 'root'

Juank

Fijate en estos

Imagen de acl

Fijate en estos mensajes:
[quote]
Jul 19 15:15:38 JK kernel: martian source 192.168.1.2 from 192.168.1.222, on dev eth1
Jul 19 15:15:38 JK kernel: martian source 192.168.1.2 from 192.168.1.222, on dev eth0
[/quote]

y en el registro de tu tabla de ruteo:
[quote]
192.168.1.0 * 255.255.255.0 U 0 0 0 eth2
[/quote]

El kernel espera ver paquetes con destino a la red 192.168.1.0/24 en la interfaz eth2, pero los recibio en la eth1 y en la eth0, lo cual es raro porque esa red no es ruteable y tanto eth0 como eth1 tienen ips en redes publicas ruteables. El router nunca debio dejar pasar esos paquetes.

El mensaje que tienes mas abajo es simplemente un aviso de PAM (pluggable authentication modules, las bibliotecas que manejan autenticacion) mostrando el evento de aparicion de root a cierto momento del dia. Puedes ser un script de cron o tal vez simplemente corriste un programa que se convierte a permisos de root al ejecutarlo o aparentemente corriste sudo.

Y lo peor estos mensajes

Imagen de juank6_66

Y lo peor estos mensajes ...QUE ES ESO POR DIOS!!!! veo que tengo serios problemas de seguridades...y ahora como bloqueo esa ip

Jul 19 21:51:01 JK named[3081]: lame server resolving 'ns1.gays-cocks.com' (in 'gays-cocks.com'?): 81.95.149.218#53
Jul 19 21:51:01 JK named[3081]: lame server resolving 'ns2.gays-cocks.com' (in 'gays-cocks.com'?): 81.95.149.218#53
Jul 19 21:51:01 JK named[3081]: lame server resolving 'ns1.gays-cocks.com' (in 'gays-cocks.com'?): 81.95.146.112#53
Jul 19 21:51:01 JK named[3081]: lame server resolving 'ns2.gays-cocks.com' (in 'gays-cocks.com'?): 81.95.146.112#53

Juank

lame server

Imagen de acl

Este mensaje es simplemente un indicador que el dominio gays-cocks.com tiene mal configurado su servidor. Si tienes un DNS este tipo de mensajes es muy comun. Bienvenido al internet.

Bloquear la ip no te sirve de mucho, porque es tu dns el que esta haciendo la resolucion. Mas bien busca la maquina que esta haciendo esa busqueda y dile al usuario que tenga la bondad de ver su pornografia gay en el cafe net mas cercano o en su casa.

Ahi si te pasastes ACL que

Imagen de damage

Ahi si te pasastes ACL que risa jajaja :) :evil:, pero de que el usuario de esa IP es trolo, es trolo, se le caen las compras a ese usuario jaaaa
Keep The Fire Burning.....
Stryper 1988
http://counter.li.org/

mensajes de dns

Imagen de acl

jeje, no necesariamente. Capaz solo es una maquina con mucho spyware o es algun popup o quiza viene del banner de algun sitio de warez o capaz es un link en un spam o que se yo. En cualquier caso, vale la pena investigar el asunto si va en contra de la politica de uso de equipos (tienes la politica por escrito, verdad?).

Dicho sea de paso, todo mundo tiene derecho a sentir rico de la forma que mejor le parezca. Y si el usuario realmente le gusta ver eso, bien por el/ella. Sin embargo el trabajo no es el mejor lugar, pues los equipos no son suyos y hay gente que es responsable por el uso de esos equipos.