Was soll das ... (Marc!)
Hallo zusammen, INSBESONDERE Marc Schiffbauer ich habe soeben reichlich Eintraege in meiner /var/log/messages bekommen. ---------- Auszug-Anfang: (nur Beispiel) Jun 11 09:31:00 PC-1 kernel: Packet log: rulchain REJECT ppp0 PROTO=6 195.20.250.152:54058 62.157.79.117:113 L=44 S=0x00 I=6382 F=0x4000 T=53 SYN (#6) Jun 11 09:31:03 PC-1 kernel: Packet log: rulchain REJECT ppp0 PROTO=6 195.20.250.152:54058 62.157.79.117:113 L=44 S=0x00 I=7712 F=0x4000 T=53 SYN (#6) Jun 11 09:31:09 PC-1 kernel: Packet log: rulchain REJECT ppp0 PROTO=6 195.20.250.152:54058 62.157.79.117:113 L=44 S=0x00 I=10659 F=0x4000 T=53 SYN (#6) Jun 11 09:31:18 PC-1 kernel: Packet log: rulchain REJECT ppp0 PROTO=6 195.20.250.152:54078 62.157.79.117:113 L=44 S=0x00 I=15089 F=0x4000 T=53 SYN (#6) Jun 11 09:31:18 PC-1 kernel: Packet log: rulchain REJECT ppp0 PROTO=6 195.20.250.152:54079 62.157.79.117:113 L=44 S=0x00 I=15090 F=0x4000 T=53 SYN (#6) Jun 11 09:31:20 PC-1 kernel: Packet log: rulchain REJECT ppp0 PROTO=6 195.20.250.152:54078 62.157.79.117:113 L=44 S=0x00 I=16560 F=0x4000 T=53 SYN (#6) Jun 11 09:31:20 PC-1 kernel: Packet log: rulchain REJECT ppp0 PROTO=6 195.20.250.152:54079 62.157.79.117:113 L=44 S=0x00 I=16568 F=0x4000 T=53 SYN (#6) Jun 11 09:31:25 PC-1 pppd[1008]: sent [LCP EchoReq id=0x73 magic=0xaffa520] Jun 11 09:31:25 PC-1 pppd[1008]: rcvd [LCP EchoRep id=0x73 magic=0x0] Jun 11 09:31:26 PC-1 kernel: Packet log: rulchain REJECT ppp0 PROTO=6 195.20.250.152:54078 62.157.79.117:113 L=44 S=0x00 I=19133 F=0x4000 T=53 SYN (#6) Jun 11 09:31:26 PC-1 kernel: Packet log: rulchain REJECT ppp0 PROTO=6 195.20.250.152:54079 62.157.79.117:113 L=44 S=0x00 I=19145 F=0x4000 T=53 SYN (#6) ---------- Auszug-Ende: Ein traceroute hat folgendes ergeben: ---------- Auszug-Anfang: schwab@PC-1:~/temp > /usr/sbin/traceroute 195.20.250.152 traceroute to 195.20.250.152 (195.20.250.152), 30 hops max, 40 byte packets 1 193.158.141.13 (193.158.141.13) 137 ms 120 ms 120 ms 2 193.158.141.14 (193.158.141.14) 220 ms 310 ms 210 ms 3 EF-gw1.EF.net.DTAG.DE (212.185.10.145) 120 ms 130 ms 110 ms 4 S-gw13.S.net.DTAG.DE (62.154.22.166) 130 ms 120 ms 120 ms 5 62.156.128.218 (62.156.128.218) 120 ms 120 ms 120 ms 6 c2.gw-core-b.ka.schlund.net (212.227.113.20) 130 ms 120 ms 120 ms 7 marc-schiffbauer.de (195.20.250.152) 130 ms 150 ms 140 ms ---------- Auszug-Ende: Wenn Du das bist, Marc, dann lass das! Oder ist das jetzt usus, zu versuchen, die Rechner von anderen Listen-Teilnehmern zu hacken??? Bernd -- Wer HTML postet oder gepostetes HTML quotet oder sich gepostetes oder gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
Tag, At 09:37 11.06.01 +0200, Bernd Schwab wrote:
Hallo zusammen, INSBESONDERE Marc Schiffbauer
ich habe soeben reichlich Eintraege in meiner /var/log/messages bekommen.
---------- Auszug-Anfang: (nur Beispiel)
Jun 11 09:31:00 PC-1 kernel: Packet log: rulchain REJECT ppp0 PROTO=6 195.20.250.152:54058 62.157.79.117:113 L=44 S=0x00 I=6382 F=0x4000 T=53 SYN (#6)
---schnippel---
Ein traceroute hat folgendes ergeben:
---------- Auszug-Anfang: schwab@PC-1:~/temp > /usr/sbin/traceroute 195.20.250.152 traceroute to 195.20.250.152 (195.20.250.152), 30 hops max, 40 byte packets 1 193.158.141.13 (193.158.141.13) 137 ms 120 ms 120 ms 2 193.158.141.14 (193.158.141.14) 220 ms 310 ms 210 ms 3 EF-gw1.EF.net.DTAG.DE (212.185.10.145) 120 ms 130 ms 110 ms 4 S-gw13.S.net.DTAG.DE (62.154.22.166) 130 ms 120 ms 120 ms 5 62.156.128.218 (62.156.128.218) 120 ms 120 ms 120 ms 6 c2.gw-core-b.ka.schlund.net (212.227.113.20) 130 ms 120 ms 120 ms 7 marc-schiffbauer.de (195.20.250.152) 130 ms 150 ms 140 ms ---------- Auszug-Ende:
Wenn Du das bist, Marc, dann lass das!
Oder ist das jetzt usus, zu versuchen, die Rechner von anderen Listen-Teilnehmern zu hacken???
wie dir vielleicht aufgefallen ist, sind das alles Anfragen auf Port 113, also den identd, und nur weil marc-schiffbauer.de versucht hat zu deinem identd eine Verbindung aufzubauen würde ich das nicht gleich als Hackversuch deuten. Eine Freundin würde jetzt sagen 'In Amerika könnt ich dich dafür verklagen' ;) (<- !!). ciao
* Bernd Schwab -- Monday 11 June 2001 09:37:
ich habe soeben reichlich Eintraege in meiner /var/log/messages bekommen.
Jun 11 09:31:00 PC-1 kernel: Packet log: rulchain REJECT ppp0 PROTO=6 195.20.250.152:54058 62.157.79.117:113 L=44 S=0x00 I=6382 F=0x4000 T=53 SYN (#6) [...] Oder ist das jetzt usus, zu versuchen, die Rechner von anderen Listen-Teilnehmern zu hacken???
Nein!! Eine Anfrage auf Port 113 ist weder unmoralisch noch ungewoehnlich! Diese Anfrage wurde auch nicht durch Marcs "persoenliches Verschulden" ausgeloest, sondern ist das normale Verhalten von sendmail. Wenn ein Unix-Rechner (swendmail) Post zugeschickt bekommt (Port 25) dann fragt er auf Port 113 an, um wen es sich beim Sender handelt. Der Sender kann diese Anfrage nun beantworten oder eine Antwort verweigern. Weil Windows-Rechner zur Beantwortung sowieso unfaehig sind und die Anfrage auf einem schlecht aufgesetzten Rechner etwas mehr an Informationen liefert, als man das im allgemeinen wuenscht, schadet es nicht, diese Antwort zu verweigern. Ich beantworte z.B. nur die identd-Anfragen meines Providers und meines Rechners in der Uni. Im uebrigen sieht es so aus, als haettest Du direket an Marc Post verschickt (ohne Smarthost) und haettest =deswegen= von seinem sendmail diese Port 113 Anfragen bekommen. Die wuerdest Du auch von =meinem= sendmail bekommen! Erst informieren, dann beschuldigen ... ;-) m.
Hallo Melchior, Am Montag, 11. Juni 2001 11:24 schrieb Melchior FRANZ:
* Bernd Schwab -- Monday 11 June 2001 09:37:
ich habe soeben reichlich Eintraege in meiner /var/log/messages bekommen.
Jun 11 09:31:00 PC-1 kernel: Packet log: rulchain REJECT ppp0 PROTO=6 195.20.250.152:54058 62.157.79.117:113 L=44 S=0x00 I=6382 F=0x4000 T=53 SYN (#6)
Das waren eben nicht nur ein paar Eintraege dieser Art, sondern das waren reichlich mehr. Ich habe davon nur einen Bruchteil aufgefuehrt.
[...]
Oder ist das jetzt usus, zu versuchen, die Rechner von anderen Listen-Teilnehmern zu hacken???
Nein!! Eine Anfrage auf Port 113 ist weder unmoralisch noch ungewoehnlich! Diese Anfrage wurde auch nicht durch Marcs "persoenliches Verschulden" ausgeloest, sondern ist das normale Verhalten von sendmail. Wenn ein Unix-Rechner (swendmail) Post zugeschickt bekommt (Port 25) dann fragt er auf Port 113 an, um wen es sich beim Sender handelt. Der Sender kann diese Anfrage nun beantworten oder eine Antwort verweigern. Weil
Das wusste ich so nicht.
Windows-Rechner zur Beantwortung sowieso unfaehig sind und die Anfrage auf einem schlecht aufgesetzten Rechner etwas mehr an Informationen liefert, als man das im allgemeinen wuenscht, schadet es nicht, diese Antwort zu verweigern. Ich beantworte z.B. nur die identd-Anfragen meines Providers und meines Rechners in der Uni. Im uebrigen sieht es so aus, als haettest Du direket an Marc Post verschickt (ohne Smarthost) und haettest =deswegen= von seinem sendmail diese Port 113 Anfragen bekommen. Die wuerdest Du auch von =meinem= sendmail bekommen!
Bin mir relativ sicher, dass das nicht der Fall ist. Habe deshalb nochmal meinen Folder mit den gesendeten Mails durchgesehen - nix direkt an Marc. Habe auch nichts direkt von ihm bekommen. Nur via Mailingliste.
Erst informieren, dann beschuldigen ... ;-)
Das ist vollkommen richtig. Wenn das also so ist, moechte meine erste Mail relativieren. Ich habe das da evtl. zu hart formuliert. Es passierte halt in dieser Form zum ersten Mal, dass derartige Eintraege meine Log-Datei 'UEBERFLUTET' haben.
m.
Gruss Bernd -- Wer HTML postet oder gepostetes HTML quotet oder sich gepostetes oder gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
* Bernd Schwab schrieb am 11.06.01 um 09:37 Uhr:
Hallo zusammen, INSBESONDERE Marc Schiffbauer
ich habe soeben reichlich Eintraege in meiner /var/log/messages bekommen.
---------- Auszug-Anfang: (nur Beispiel)
[log Eintraege] Hi Bernd, Ich waere eher dafuer, dass du Deine Firewall mal richtig konfigurierst. Eigendlich ist ja durch die Replies der Anderen schon alles geklaert. Du hast ja auch schon geschrieben, dass du auf packman zugegriffen hast. Auf die Konfiguration der Dienste habe ich leider absolut keinen Einfluss, da der Webserver komplett bei Schlund gehostet wird. Ich denk ich muss jetzt nicht extra erwaehnen, dass du etwas uebereifrig warst. Es sei Dir vergeben. Gruss -Marc -- +------------------------------------------------------------------+ | --> http://www.links2linux.de <-- Jetzt mit neuen Features! | | wie z.B. [EasyLink] | +---Registered-Linux-User-#136487------------http://counter.li.org +
Hallo Marc, Am Montag, 11. Juni 2001 16:29 schrieb Marc Schiffbauer:
* Bernd Schwab schrieb am 11.06.01 um 09:37 Uhr:
Hallo zusammen, INSBESONDERE Marc Schiffbauer
ich habe soeben reichlich Eintraege in meiner /var/log/messages bekommen.
---------- Auszug-Anfang: (nur Beispiel)
[log Eintraege]
Hi Bernd,
Ich waere eher dafuer, dass du Deine Firewall mal richtig konfigurierst.
Eigendlich ist ja durch die Replies der Anderen schon alles geklaert. Du hast ja auch schon geschrieben, dass du auf packman zugegriffen hast.
Ja und Ja.
Auf die Konfiguration der Dienste habe ich leider absolut keinen Einfluss, da der Webserver komplett bei Schlund gehostet wird.
Ich denk ich muss jetzt nicht extra erwaehnen, dass du etwas uebereifrig warst. Es sei Dir vergeben.
Ja und DANKE!
Gruss -Marc
Bernd
participants (4)
-
BerndSchwab@t-online.de -
Marc Schiffbauer -
Matthias Strack -
Melchior FRANZ