TCP: Treason uncloaked! Peer 85.75.187.70:55508/80

Είναι δωρεάν, είναι σταθερό, είναι γρήγορο.. ας το γνωρίσουμε και λίγο καλύτερα..

Συντονιστές: Super-Moderators, Software & Hardware Moderators

Απάντηση
Άβαταρ μέλους
Cha0s
SysAdmin
Δημοσιεύσεις: 10242
Εγγραφή: 28 Ιούλ 2001 03:00

TCP: Treason uncloaked! Peer 85.75.187.70:55508/80

Δημοσίευση από Cha0s » 17 Μαρ 2009 12:40

Κώδικας: Επιλογή όλων

TCP: Treason uncloaked! Peer 85.75.187.70:55508/80 shrinks window 1155543561:1155545891. Repaired.
TCP: Treason uncloaked! Peer 85.75.187.70:55508/80 shrinks window 1155543561:1155545891. Repaired.
TCP: Treason uncloaked! Peer 85.75.187.70:55508/80 shrinks window 1155543561:1155545891. Repaired.
TCP: Treason uncloaked! Peer 85.75.187.70:55508/80 shrinks window 1155543561:1155545891. Repaired.
printk: 1 messages suppressed.
TCP: Treason uncloaked! Peer 85.75.187.70:55316/80 shrinks window 1082285386:1082289049. Repaired.
printk: 2 messages suppressed.
TCP: Treason uncloaked! Peer 85.75.187.70:55766/80 shrinks window 1195327428:1195330332. Repaired.
printk: 1 messages suppressed.
TCP: Treason uncloaked! Peer 85.75.187.70:55766/80 shrinks window 1195327428:1195330332. Repaired.
printk: 4 messages suppressed.
TCP: Treason uncloaked! Peer 85.75.187.70:55316/80 shrinks window 1082416456:1082419360. Repaired.
printk: 4 messages suppressed.
TCP: Treason uncloaked! Peer 85.75.187.70:55363/80 shrinks window 1146741304:1146744208. Repaired.
printk: 3 messages suppressed.
TCP: Treason uncloaked! Peer 85.75.187.70:55363/80 shrinks window 1146806839:1146809743. Repaired.
printk: 5 messages suppressed.
TCP: Treason uncloaked! Peer 85.75.187.70:55363/80 shrinks window 1146806839:1146809743. Repaired.
printk: 1 messages suppressed.
TCP: Treason uncloaked! Peer 85.75.187.70:55508/80 shrinks window 1155871236:1155874140. Repaired.
TCP: Treason uncloaked! Peer 85.75.187.70:55508/80 shrinks window 1155871236:1155874140. Repaired.
printk: 1 messages suppressed.
TCP: Treason uncloaked! Peer 85.75.187.70:55508/80 shrinks window 1155871236:1155874140. Repaired.
TCP: Treason uncloaked! Peer 85.75.187.70:55998/80 shrinks window 1303449589:1303455397. Repaired.
printk: 2 messages suppressed.
TCP: Treason uncloaked! Peer 85.75.187.70:55998/80 shrinks window 1303515124:1303518028. Repaired.
TCP: Treason uncloaked! Peer 85.75.187.70:55998/80 shrinks window 1303515124:1303518028. Repaired.
printk: 2 messages suppressed.
TCP: Treason uncloaked! Peer 85.75.187.70:55508/80 shrinks window 1156002306:1156005210. Repaired.
printk: 1 messages suppressed.
TCP: Treason uncloaked! Peer 85.75.187.70:55998/80 shrinks window 1303646194:1303647061. Repaired.
TCP: Treason uncloaked! Peer 85.75.187.70:55998/80 shrinks window 1303646194:1303647061. Repaired.
TCP: Treason uncloaked! Peer 85.75.187.70:55998/80 shrinks window 1303646194:1303647061. Repaired.
TCP: Treason uncloaked! Peer 85.75.187.70:55998/80 shrinks window 1303646194:1303647061. Repaired.
printk: 1 messages suppressed.
TCP: Treason uncloaked! Peer 85.75.187.70:55998/80 shrinks window 1303711729:1303713853. Repaired.
TCP: Treason uncloaked! Peer 85.75.187.70:56031/80 shrinks window 1327739622:1327745235. Repaired.
TCP: Treason uncloaked! Peer 85.75.187.70:56031/80 shrinks window 1327739622:1327745235. Repaired.
printk: 2 messages suppressed.
TCP: Treason uncloaked! Peer 85.75.187.70:56028/80 shrinks window 1322807905:1322816617. Repaired.
TCP: Treason uncloaked! Peer 62.103.30.254:56087/80 shrinks window 3700935600:3700938480. Repaired.
TCP: Treason uncloaked! Peer 62.103.30.254:56087/80 shrinks window 3700935600:3700938480. Repaired.
TCP: Treason uncloaked! Peer 77.49.49.12:63504/80 shrinks window 3731625170:3731628074. Repaired.
TCP: Treason uncloaked! Peer 77.49.49.12:63504/80 shrinks window 3731625170:3731628074. Repaired.
TCP: Treason uncloaked! Peer 94.193.8.56:60966/80 shrinks window 555351952:555360712. Repaired.
TCP: Treason uncloaked! Peer 93.96.29.108:55911/80 shrinks window 4053425704:4053427362. Repaired.
TCP: Treason uncloaked! Peer 80.137.229.100:1603/80 shrinks window 3338342014:3338352178. Repaired.
TCP: Treason uncloaked! Peer 79.103.214.102:52377/80 shrinks window 193688426:193691050. Repaired.
TCP: Treason uncloaked! Peer 41.223.42.42:18495/80 shrinks window 3194351073:3194355361. Repaired.
TCP: Treason uncloaked! Peer 79.103.124.114:58405/80 shrinks window 4229413086:4229427370. Repaired.
Έχει κανείς ιδέα τι ακριβώς είναι τα παραπάνω και πως μπορώ να τα σταματήσω;

Τελευταία εμφανίζονται όλο και περισσότερο σχεδόν σε όλους τους servers που έχω τσεκάρει...

Στο google δεν βρηκα κάτι απόλυτα κατατοπιστικό.

Άλλοι λένε ότι είναι μαλακία των clients, άλλοι μιλάνε για DoS Attack κλπ.
Γενικα ο καθένας λέει το δικό του :P

So, any ideas? :)

sibas
Honorary Member
Δημοσιεύσεις: 1852
Εγγραφή: 21 Φεβ 2003 01:21
Τοποθεσία: Μια εδώ.. Μια εκεί.. Σήμερα είμαι εδώ!!!
Επικοινωνία:

TCP: Treason uncloaked! Peer 85.75.187.70:55508/80

Δημοσίευση από sibas » 17 Μαρ 2009 14:05

Πρώτη φορά το βλέπω δεν το ξέρω καθόλου, το έψαξα ελαφρώς και καταλήγω ότι

1) Αν δεν σου κρασάρουν οι servers και λειτουργούν κατά τα άλλα κανονικά τότε θεώρησε ότι είναι debug message και κανόνισε να μην σου γεμίζει τα log.

2) Αν έχουν downtime οι servers ξεκίνα από αναβάθμιση kernel και αν δεν δεις βελτίωση άλλαξε όλα τα προγράμματα που έχεις στις τελευταίες εκδόσεις.
(δεδομένου του ότι το TCP: Treason uncloaked! ξεκινάει πριν από το 2002)

3) Αν δεν λειτουργήσει το (2) τότε μάλλον είναι κάποιου είδους επίθεση όποτε ξεκίνα τα μαγικά με firewall και hard lock τα πάντα. :D

Άβαταρ μέλους
Cha0s
SysAdmin
Δημοσιεύσεις: 10242
Εγγραφή: 28 Ιούλ 2001 03:00

TCP: Treason uncloaked! Peer 85.75.187.70:55508/80

Δημοσίευση από Cha0s » 17 Μαρ 2009 14:17

1) δεν γεμίζει το log. Βγαίνει στο dmesg.

2) Δεν έχει να κάνει με έκδοση kernel ή service (at least δεν διορθώνεται κάτι μέχρι στιγμής). Το msg υφίσταται σε όλα τα Fedora, σε Debian, Ubuntu, CentOS και δεν θυμάμαι αν το έχω δει και σε άλλη distro.

3) Δεν μου αρκεί το 'μάλλον' για να αρχίσω να κόβω κόσμο. Άλλες IPs είναι από εξωτερικό αλλά άλλες είναι από Ελλάδα.

Αν δεν είναι DoS και είναι κάτι άλλο (πχ κακογραμμένους clients που δεν ακολουθούν κατά γράμα το RFC) τότε σε μηχανήματα με 100άδες accounts δεν γίνεται να κόβω κόσμο.

Ανέκαθεν υπήρχαν αυτά τα msgs αλλά σε πάρα πάρα πολυ μικρό βαθμό (άντε να πετύχαινα 1-2 ανά 6 μήνες σε 1 μηχάνημα).
Πλέον τα βλέπω σχεδόν σε όλα τα μηχανήματα που χειρίζομαι και σε μεγάλο βαθμό από πολλές IPs. :o

Μου φαίνεται τραγική σύμπτωση να κάνουν συγκεκριμένα attack τα δικά μας μηχανήματα μόνο και να χτυπάνε και τα Ελληνικά και τα Αγγλικά και τα Γερμανικά και τα Ολλανδικά και τα Αμερικάνικα μηχανήματα που έχουμε.
Δλδ μοιάζει ποιο global φαινόμενο και όχι στοχευμένη επίθεση...

sibas
Honorary Member
Δημοσιεύσεις: 1852
Εγγραφή: 21 Φεβ 2003 01:21
Τοποθεσία: Μια εδώ.. Μια εκεί.. Σήμερα είμαι εδώ!!!
Επικοινωνία:

TCP: Treason uncloaked! Peer 85.75.187.70:55508/80

Δημοσίευση από sibas » 17 Μαρ 2009 14:42

Από ότι λες μάλλον δεν είναι κάποια επίθεση (παρόλο που τα βλέπεις σε όλα τα μηχανήματα) αν ήταν θα σου έπεφταν όλα, δεν είπες έχεις πρόβλημα με crash και τα ρέστα?
αυτό που καταλαβαίνω είναι ότι κάποιο setup που έχετε (σε όλους τους server) σε συνδυασμό με κάποιο πρόγραμμα δημιουργεί αυτό το πρόβλημα

Άβαταρ μέλους
Cha0s
SysAdmin
Δημοσιεύσεις: 10242
Εγγραφή: 28 Ιούλ 2001 03:00

TCP: Treason uncloaked! Peer 85.75.187.70:55508/80

Δημοσίευση από Cha0s » 17 Μαρ 2009 14:59

Δεν ισχύει αυτό.

Το παραπάνω το βλέπω και σε μηχανήματα με cpanel και με plesk και με το δικό μας iconsole.
Και φυσικά και σε μηχανήματα στα οποία δεν έχω αναλάβει διαχείριση ή στήσιμο.

Άρα θεωρώ πως δεν είναι κάτι specific στο setup.

Επίσης το έχω παρατηρήσει μία φορά και στο desktop pc με Fedora 10 (κανένα web service, καθαρά desktop με Gnome).


Γενικά στο google έχω δει 2 εκδοχές.
Η μία είναι ο kernel να πετάει αυτό το warning γιατί ο client από την απέναντι πλευρά χρησιμοποιεί πχ browser ο οποίος δεν είναι σωστά γραμμένος βάση TCP/IP RFC και σκαλώνουν τα connections (αλλάζοντας το window size.... - δεν κατάλαβα και πολλά όταν κάποιοι μπήκαν σε λεπτομέριες περί tcp/ip).
Και η άλλη εκδοχή (χωρίς όμως κανείς να δώσει χειροπιαστό στοιχείο ή απόδειξη για κάτι τέτοιο) είναι ότι πρόκειται για DoS Attack.

Για DoS Attack δεν το κόβω μιας και όπως είπα συμβαίνει σε ότι μηχάνημα έχω δει με κίνηση και αρκετά accounts και δεν έχει κολήσει μηχάνημα από κάτι τέτοιο μέχρι στιγμής.

sibas
Honorary Member
Δημοσιεύσεις: 1852
Εγγραφή: 21 Φεβ 2003 01:21
Τοποθεσία: Μια εδώ.. Μια εκεί.. Σήμερα είμαι εδώ!!!
Επικοινωνία:

TCP: Treason uncloaked! Peer 85.75.187.70:55508/80

Δημοσίευση από sibas » 17 Μαρ 2009 15:11

Ναι αν τα μηχανήματα δεν έχουν το ίδιο setup/programs τότε δεν ισχύει.
Πάντως αν δεν έχεις ιδιαίτερα προβλήματα όπως είπα και στην αρχή, θεώρησε ότι είναι debug message και αγνόησετα (όσο μπορείς) :roll:

Ίσως και αν στείλεις κανένα debug σε μερικές λίστες να βρεις κάποια έγκυρη λύση.

sibas
Honorary Member
Δημοσιεύσεις: 1852
Εγγραφή: 21 Φεβ 2003 01:21
Τοποθεσία: Μια εδώ.. Μια εκεί.. Σήμερα είμαι εδώ!!!
Επικοινωνία:

TCP: Treason uncloaked! Peer 85.75.187.70:55508/80

Δημοσίευση από sibas » 17 Μαρ 2009 15:21

Μια ιδέα που μου ήρθε, υπάρχει περίπτωση να δεις με τι browser μπαίνουν οι συγκεκριμένες ip (λέω τώρα εγώ)
ίσως αν ανακαλύψεις ότι είναι από ένα συγκεκριμένο browser να λύσεις ένα μυστήριο, :lol: στο fedora10 με τι browser έπαιζες

Άβαταρ μέλους
agrippas
Script Master
Δημοσιεύσεις: 494
Εγγραφή: 18 Ιούλ 2002 14:52
Τοποθεσία: Υπερπέραν
Επικοινωνία:

TCP: Treason uncloaked! Peer 85.75.187.70:55508/80

Δημοσίευση από agrippas » 17 Μαρ 2009 18:15

Είναι bug στον κέρνελ. http://git.kernel.org/?p=linux/kernel/g ... 9c07261dd2

Λύση: Αναβάθμισε.

Άβαταρ μέλους
iNDEFiX
Honorary Member
Δημοσιεύσεις: 2569
Εγγραφή: 20 Δεκ 2002 00:48
Τοποθεσία: κλειστή λόγω έργων
Επικοινωνία:

TCP: Treason uncloaked! Peer 85.75.187.70:55508/80

Δημοσίευση από iNDEFiX » 19 Μαρ 2009 01:38

Ναι όντως είναι bug αλλά όχι στον Kernel από ότι λέει το kernel.org

"In fact, there really is a bug in the Linux TCP header prediction code
that's been there since at least 2.1.8. This bug was tracked down with
help from Dale Blount."

Με αναβάθμιση δεν αλλάζει τίποτα αλλά με το patch λογικά θα είναι οκ :) Αντε τώρα να patcharoume 40+ μηχανήματα... ουφ!


Thanks agrippas για το link. 8)

Απάντηση

Επιστροφή στο “Linux Guide”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 1 επισκέπτης