Zugriff auf Zombie IPs

  • Hallo zusammen,


    wir haben ein Phänomen bei uns festgestellt in Verbindung von tcp Connections von der Starface zu irgendwelchen Ziel IPs.
    Und zwar haben wir das "Problem" schon seit mehreren Wochen und es hat sich nun sogar über ein Versionsupgrade der Starface hinaus mitgeschleppt.


    Wir sehen im Firewalllog immer wieder Verbindungen von der Anlage (IP 10.1.X.X) auf die Client IP 10.242.X.X (das ist unser VPN IP Bereich)


    [root@starface ~]# netstat -pnt | grep 10.242.X.X
    tcp 0 1 10.1.X.X:41128 10.242.X.X:44361 SYN_SENT 27388/asterisk


    Die IP 10.242.X.X gibt es nicht, und gab es auch vor dem Upgrade der Starface auf die 6.7.3.11 am vergangenen Samstag nicht (geprüft).
    Trotzdem tauchte die Verbindung gleich wieder auf, und die Starface versucht fleissig, dort hinzukommen, getriggerd durch asterisk.
    Es ist kein Telefon, die sind in einem komplett andren Range. Was ich mir vorstellen kann, dass es eine temporäre IP eines UCC Clients war. Das würde Sinn ergeben.


    Dann ist aber die Frage, wieso die Anlage es lediglich bei der IP immer wieder und wieder versucht, 2-3 Mal die Minute, jeweils tcp 44361 (vermutlich random high ports).
    Ein Diensteneustart bzw. Anlagenneustart bringt nichts, die IP taucht wieder auf.


    Ideen?


    dominic

  • Hallo boppkta


    Ich nehme an, das ist eine interne STARFACE, und keine Cloudanlage?


    Denn das 10 er Netz wird nach mir bei den Cloudanlagen ohne öffentliche IP's verwendet.


    MfG


    Fabian

  • Hast du mal geschaut, ob du unter Telefone=>konfigurierte Endgeräte ein Gerät mit dieser IP findest?
    Wenn ja, dann einfach das Gerät löschen (gerade wenn es ein UCC-Client ist).


    Vielen Dank für den Hinweis, da haben wir tatsächlich was gefunden. Ein alter Starface Android Client, der per VPN (irgendwann) mal eingeloggt war. Das war's :)

  • Hallo Fabian,


    ja, geht um eine selbst gehostete VM, keine Cloudanlage. Hätte ich schreiben sollen :) Aber scheinbar haben wir den "Übeltäter" gefunden, siehe Antwort vorher (alter Android Client).


    Viele Grüße
    dominic

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!