Danke fürs Lesen! Ich habe auf der IP 195.202.171.67 einen Suse 7.3 Server mit folgenden Services laufen: Bind Apache 1.3 Sendmail FTP Webmin Aus unverständlichen Gründen protokolliert eine Firewall meines Kunden folgende angriffe: 09/26/2002 15:18:34.83 System gestartet 09/26/2002 15:25:05.53 Port Scan attack !!! 195.202.171.67:34997 195.202.171.72:113 TCP 09/26/2002 15:25:14.53 Port Scan attack !!! 195.202.171.67:34997 195.202.171.72:113 TCP 09/26/2002 15:25:25.03 Port Scan attack !!! 195.202.171.67:34998 195.202.171.72:113 TCP 09/26/2002 15:25:35.43 Port Scan attack !!! 195.202.171.67:34999 195.202.171.72:113 TCP 09/26/2002 15:25:45.88 Port Scan attack !!! 195.202.171.67:35000 195.202.171.72:113 TCP 09/26/2002 15:26:05.43 Port Scan attack !!! 195.202.171.67:35001 195.202.171.72:113 TCP 09/26/2002 15:26:14.38 Port Scan attack !!! 195.202.171.67:35001 195.202.171.72:113 TCP 09/26/2002 15:29:20.33 Port Scan attack !!! 195.202.171.67:35002 195.202.171.72:113 TCP 09/26/2002 15:29:29.33 Port Scan attack !!! 195.202.171.67:35002 195.202.171.72:113 TCP 09/26/2002 15:29:39.83 Port Scan attack !!! 195.202.171.67:35003 195.202.171.72:113 TCP 09/26/2002 15:29:50.28 Port Scan attack !!! 195.202.171.67:35004 195.202.171.72:113 TCP 09/26/2002 15:30:00.73 Port Scan attack !!! 195.202.171.67:35006 195.202.171.72:113 TCP 09/26/2002 15:30:07.43 Port Scan attack !!! 195.202.171.67:35007 195.202.171.72:113 TCP 09/26/2002 15:30:16.43 Port Scan attack !!! 195.202.171.67:35007 195.202.171.72:113 TCP 09/26/2002 15:33:23.98 Port Scan attack !!! 195.202.171.67:35008 195.202.171.72:113 TCP 09/26/2002 15:33:32.98 Port Scan attack !!! 195.202.171.67:35008 195.202.171.72:113 TCP 09/26/2002 15:33:43.28 Port Scan attack !!! 195.202.171.67:35009 195.202.171.72:113 TCP 09/26/2002 15:33:49.98 Port Scan attack !!! 195.202.171.67:35010 195.202.171.72:113 TCP 09/26/2002 15:33:58.98 Port Scan attack !!! 195.202.171.67:35010 195.202.171.72:113 TCP 09/26/2002 15:34:09.28 Port Scan attack !!! 195.202.171.67:35011 195.202.171.72:113 TCP 09/26/2002 15:34:19.68 Port Scan attack !!! 195.202.171.67:35012 195.202.171.72:113 TCP 09/26/2002 15:37:22.03 Port Scan attack !!! 195.202.171.67:35013 195.202.171.72:113 TCP 09/26/2002 15:37:31.03 Port Scan attack !!! 195.202.171.67:35013 195.202.171.72:113 TCP 09/26/2002 15:37:41.63 Port Scan attack !!! 195.202.171.67:35014 195.202.171.72:113 TCP 09/26/2002 15:37:51.98 Port Scan attack !!! 195.202.171.67:35015 195.202.171.72:113 TCP 09/26/2002 15:38:02.28 Port Scan attack !!! 195.202.171.67:35016 195.202.171.72:113 TCP mit anderen Worten: er versucht alle Ports! Was könnte die Ursache dafür sein? danke für Antworten Daniel
Daniel Schmatz schrieb:
Danke fürs Lesen!
Ich habe auf der IP 195.202.171.67 einen Suse 7.3 Server mit folgenden Services laufen:
Bind Apache 1.3 Sendmail FTP Webmin
Aus unverständlichen Gründen protokolliert eine Firewall meines Kunden folgende angriffe:
09/26/2002 15:18:34.83 System gestartet 09/26/2002 15:25:05.53 Port Scan attack !!! 195.202.171.67:34997 195.202.171.72:113 TCP 09/26/2002 15:25:14.53 Port Scan attack !!! 195.202.171.67:34997 195.202.171.72:113 TCP
[...]
mit anderen Worten: er versucht alle Ports!
Nein, nur einen Port und zwar 113 (auth). Verantwortlich ist wahrscheinlich ftp. Beim FTP-Zugriff von 195.202.171.72 auf 195.202.171.67 macht Dein Rechner einen ident-lookup, der von 195.202.171.72 abgelehnt wird (firewall).
Was könnte die Ursache dafür sein?
s.o. Nix wildes also. Du kannst Deinem FTP-Server mit Sicherheit auch sagen, daß er dass unterbinden soll. Bei Proftp heisst das "IdentLookups" (??). Schau mal bei stonki.de vorbei, wenn Du proftp nutzt. Gruß Martin
Von: Martin Knipper [mailto:suse@mk-os.de] Daniel Schmatz schrieb:
Danke fürs Lesen!
Ich habe auf der IP 195.202.171.67 einen Suse 7.3 Server mit folgenden Services laufen:
Bind Apache 1.3 Sendmail FTP Webmin
Aus unverständlichen Gründen protokolliert eine Firewall meines Kunden folgende angriffe:
09/26/2002 15:18:34.83 System gestartet 09/26/2002 15:25:05.53 Port Scan attack !!! 195.202.171.67:34997 195.202.171.72:113 TCP 09/26/2002 15:25:14.53 Port Scan attack !!! 195.202.171.67:34997 195.202.171.72:113 TCP
[...]
mit anderen Worten: er versucht alle Ports!
Nein, nur einen Port und zwar 113 (auth). Verantwortlich ist wahrscheinlich ftp. Beim FTP-Zugriff von 195.202.171.72 auf 195.202.171.67 macht Dein Rechner einen ident-lookup, der von 195.202.171.72 abgelehnt wird (firewall).
Was könnte die Ursache dafür sein?
s.o.
Nix wildes also. Du kannst Deinem FTP-Server mit Sicherheit auch sagen, daß er dass unterbinden soll. Bei Proftp heisst das "IdentLookups" (??).
ich weiss dass kein FTP im Haus verwendet wird, aber AUTH könnte doch SASL SMTP Auth dein oder? danke daniel
Hi Daniel * Daniel Schmatz schrieb:
Ich habe auf der IP 195.202.171.67 einen Suse 7.3 Server mit folgenden Services laufen:
[schnipp]
09/26/2002 15:25:05.53 Port Scan attack !!! 195.202.171.67:34997 195.202.171.72:113 TCP
[schnipp]
Was könnte die Ursache dafür sein?
Deine sendmail config ! ciao Thomas
Von: Thomas Widmann [mailto:thomas.widmann@icn.siemens.de] * Daniel Schmatz schrieb:
Ich habe auf der IP 195.202.171.67 einen Suse 7.3 Server mit folgenden Services laufen:
[schnipp]
09/26/2002 15:25:05.53 Port Scan attack !!! 195.202.171.67:34997 195.202.171.72:113 TCP
[schnipp]
Was könnte die Ursache dafür sein?
Deine sendmail config !
Welcher Eintrag? Machts sinn ihn zu verändern? Daniel
Hi * Daniel Schmatz schrieb:
Von: Thomas Widmann [mailto:thomas.widmann@icn.siemens.de]
* Daniel Schmatz schrieb:
Ich habe auf der IP 195.202.171.67 einen Suse 7.3 Server mit folgenden Services laufen:
[schnipp]
09/26/2002 15:25:05.53 Port Scan attack !!! 195.202.171.67:34997 195.202.171.72:113 TCP
[schnipp]
Was könnte die Ursache dafür sein?
Deine sendmail config !
Welcher Eintrag? Machts sinn ihn zu verändern?
AFAIK: define(`confTO_IDENT', `0')dnl und dann /etc/sendmail.cf neu erstellen (m4). ciao Thomas
* On Thu, 26 Sep 2002 at 20:48 +0200, Daniel Schmatz wrote:
Ich habe auf der IP 195.202.171.67 einen Suse 7.3 Server mit folgenden Services laufen:
Bind Apache 1.3 Sendmail FTP Webmin
Aus unverständlichen Gründen protokolliert eine Firewall meines Kunden folgende angriffe:
09/26/2002 15:18:34.83 System gestartet 09/26/2002 15:25:05.53 Port Scan attack !!! 195.202.171.67:34997 195.202.171.72:113 TCP 09/26/2002 15:25:14.53 Port Scan attack !!! 195.202.171.67:34997 195.202.171.72:113 TCP [...] mit anderen Worten: er versucht alle Ports!
Nein. Der Destination Port ist immer 113. Das ist genau _einer_.
Was könnte die Ursache dafür sein?
Ein scheinbar äusserst dämliches Ding, daß sich Firewall nennt. Das sind ganz normale handelsübliche ident-Lookups, mit denen manche Dienste auf Deinem Rechner (195.202.171.67) beim Client (195.202.171.72) anfragen, weclher Benutzer die Verbindung aufgebaut hat. Mit einem Portscan hat das nichts, aber auch _gar_nichts_ zu tun[1]. Du hast 3 Möglichkeiten: - Erklär Deinem Kunden, daß er Schrott hat, und das ignorieren soll. - Installiere etwas, was den Namen firewall verdient beim Kunden. - Blockiere ausgehende Anfragen von Dir an dport 113 per reject (Nicht per deny, sonst kannst Du jedesmal einen 30 sec Timeout abwarten): iptables -A OUTPUT -p tcp --dport ident -j REJECT [1] Solange man die Definition von Portscan nicht so ausweitet, daß das Probieren eines einzigen Ports ein Portscan ist. Womit aber dann so ziemlich jeder, der tcp oder udp requests/Verbindungen macht, portscannen tun würde. -- Adalbert PGP welcome, request public key: mailto:adalbert+key@lopez.at
Hallo, On Thu, 26 Sep 2002, Adalbert Michelic wrote:
- Blockiere ausgehende Anfragen von Dir an dport 113 per reject (Nicht per deny, sonst kannst Du jedesmal einen 30 sec Timeout abwarten):
iptables -A OUTPUT -p tcp --dport ident -j REJECT
Waren das nicht eingehende Connections? Naja, egal, ich hab hier: iptables -A INPUT -i ppp0 -p tcp --dport 113 \ -j REJECT --reject-with tcp-reset iptables -A OUTPUT -o ppp0 -p tcp --dport 113 \ -j REJECT --reject-with tcp-reset Dazu aus man iptables: ==== Finally, the option tcp-reset can be used on rules which only match the TCP protocol: this causes a TCP RST packet to be sent back. This is mainly useful for blocking ident probes which frequently occur when sending mail to broken mail hosts (which won't accept your mail otherwise). ==== Aeh, das Interface sollte man per Variable setzen ;) -dnh -- Ich denke mir mal das es so etwas wie Intelligenz gibt. Und diese zu nutzen ist doch keine Schande oder? [WoKo in dag°]
On Fri, Sep 27, 2002 at 00:49:12 +0200, David Haller wrote:
On Thu, 26 Sep 2002, Adalbert Michelic wrote:
- Blockiere ausgehende Anfragen von Dir an dport 113 per reject (Nicht per deny, sonst kannst Du jedesmal einen 30 sec Timeout abwarten):
iptables -A OUTPUT -p tcp --dport ident -j REJECT
Waren das nicht eingehende Connections? Naja, egal, ich hab hier:
iptables -A INPUT -i ppp0 -p tcp --dport 113 \ -j REJECT --reject-with tcp-reset iptables -A OUTPUT -o ppp0 -p tcp --dport 113 \ -j REJECT --reject-with tcp-reset
Nein. Die eingehenden Port-113-Boesewichter ;-) muessen auf dem Kundenserver, der sich da beschwert, abgewiesen werden. Aber auf den hat er vielleicht keinen Zugriff. Er soll aber grundsaetzlich verhindern, dass ueberhaupt Ident-Abfragen seines Servers nach draussen gehen. Also ist es schon korrekt, dass er diese Abfragen gleich im eigenen Ausgang verhindert. Ich wuerde allerdings die Interfacebezeichnung (ppp0 oder ippp0 oder was auch immer) mit dazunehmen, im eigenen Netz ist das naemlich durchaus sinnvoll, die Ident-Dinger drinzulassen, also sollen sie nur nach "draussen" geblockt werden.
Aeh, das Interface sollte man per Variable setzen ;)
Klar. Und noch viel mehr Dinger. Am Anfang solcher Skripte stehen ein paar Zeilen mit Variablen, darunter kommt eine dicke Linie und darunter hat niemand nie und nimmer nie nicht mehr etwas verloren. Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht...
Von: Peter Blancke [mailto:blancke@gmx.de] On Fri, Sep 27, 2002 at 00:49:12 +0200, David Haller wrote:
On Thu, 26 Sep 2002, Adalbert Michelic wrote:
- Blockiere ausgehende Anfragen von Dir an dport 113 per reject (Nicht per deny, sonst kannst Du jedesmal einen 30 sec Timeout abwarten):
iptables -A OUTPUT -p tcp --dport ident -j REJECT
Waren das nicht eingehende Connections? Naja, egal, ich hab hier:
iptables -A INPUT -i ppp0 -p tcp --dport 113 \ -j REJECT --reject-with tcp-reset iptables -A OUTPUT -o ppp0 -p tcp --dport 113 \ -j REJECT --reject-with tcp-reset
Nein. Die eingehenden Port-113-Boesewichter ;-) muessen auf dem Kundenserver, der sich da beschwert, abgewiesen werden. Aber auf den hat er vielleicht keinen Zugriff.
Er soll aber grundsaetzlich verhindern, dass ueberhaupt Ident-Abfragen seines Servers nach draussen gehen. Also ist es schon korrekt, dass er diese Abfragen gleich im eigenen Ausgang verhindert.
Ich wuerde allerdings die Interfacebezeichnung (ppp0 oder ippp0 oder was auch immer) mit dazunehmen, im eigenen Netz ist das naemlich durchaus sinnvoll, die Ident-Dinger drinzulassen, also sollen sie nur nach "draussen" geblockt werden.
Frage: Wenn es diese Abfragen gibt, haben sie sicher einen Sinn - welchen? Sollte man sinnvolle Fragen nicht lassen? Daniel
On Fri, Sep 27, 2002 at 10:35:10 +0200, Daniel Schmatz wrote:
Von: Peter Blancke [mailto:blancke@gmx.de]
Er soll aber grundsaetzlich verhindern, dass ueberhaupt Ident-Abfragen seines Servers nach draussen gehen. Also ist es schon korrekt, dass er diese Abfragen gleich im eigenen Ausgang verhindert.
Frage:
Wenn es diese Abfragen gibt, haben sie sicher einen Sinn - welchen?
Sollte man sinnvolle Fragen nicht lassen?
Nicht unbedingt. Wenn ich in meinem Hause einen wildfremden Menschen anquatsche: "Wer sind Sie eigentlich?", macht das durchaus Sinn. Wenn ich das gleiche auf der Einkaufspassage 200 Meter weiter tue, kriege ich einen Vogel gezeigt. Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht...
Hallo, On Fri, 27 Sep 2002, Peter Blancke wrote:
On Fri, Sep 27, 2002 at 00:49:12 +0200, David Haller wrote:
On Thu, 26 Sep 2002, Adalbert Michelic wrote:
- Blockiere ausgehende Anfragen von Dir an dport 113 per reject (Nicht per deny, sonst kannst Du jedesmal einen 30 sec Timeout abwarten):
iptables -A OUTPUT -p tcp --dport ident -j REJECT
Waren das nicht eingehende Connections? Naja, egal, ich hab hier:
iptables -A INPUT -i ppp0 -p tcp --dport 113 \ -j REJECT --reject-with tcp-reset iptables -A OUTPUT -o ppp0 -p tcp --dport 113 \ -j REJECT --reject-with tcp-reset
Nein. Die eingehenden Port-113-Boesewichter ;-) muessen auf dem Kundenserver, der sich da beschwert, abgewiesen werden. Aber auf den hat er vielleicht keinen Zugriff.
Er soll aber grundsaetzlich verhindern, dass ueberhaupt Ident-Abfragen seines Servers nach draussen gehen. Also ist es schon korrekt, dass er diese Abfragen gleich im eigenen Ausgang verhindert.
*huh* Verhindern obige Rules nicht eben das? "Alles was in Richtung TCP/port 113 auf ppp0 reinkommt: REJECT (with reset)" "Alles was in Richtung TCP/port 113 auf ppp0 rausgeht: REJECT (with reset)"
Ich wuerde allerdings die Interfacebezeichnung (ppp0 oder ippp0 oder was auch immer) mit dazunehmen, im eigenen Netz ist das naemlich durchaus sinnvoll, die Ident-Dinger drinzulassen, also sollen sie nur nach "draussen" geblockt werden.
Jepp. s.o. Is drin :)
Aeh, das Interface sollte man per Variable setzen ;)
Klar. Und noch viel mehr Dinger. Am Anfang solcher Skripte stehen ein paar Zeilen mit Variablen, darunter kommt eine dicke Linie und darunter hat niemand nie und nimmer nie nicht mehr etwas verloren.
Jep. Nur sind die Variablennamen nicht immer gleich "schluessig" ;) Daher hab ich sie expandiert... Ich hab zwar konkret nur ein $IPT statt "/usr/local/sbin/iptables", aber bei mir laeuft jedes Byte, das die FW auch nur im entferntesten interessieren koennte via ppp0, nur deshalb ist das bei mir noch nicht in einer Variablen gelandet... Ansonsten ist mein script (so hoffe ich) weitgehendst portabel (musste aber "schon laengst" mal ueberarbeitet werden, scripttechnisch, nicht wg. der Regeln (da kenne ich sowieso nur "meine" wichtigen ;), ein Ansatz habe ich schon seit laengerem "brachliegen"... Das "Framework" (also der (geplante) Mechanismus, wie ich das ganze "verteile"/"konfiguriere"), das mag ich nach wie vor... Leider ist das "aktuelle", "mal eben" zusammengehackte (init-)script zu gut, so dass ich bisher nicht ueber einen Ansatz hinausgekommen bin... Hm... Sollen wir mal ne "OpenFirewall"[1] AG/SIG o.ae. gruenden? -dnh [1] *snigger* -- 133: Linux Das Windows98 unter den Unixen. (Heiko Schlichting)
participants (6)
-
Adalbert Michelic -
Daniel Schmatz -
David Haller -
Martin Knipper -
Peter Blancke -
Thomas Widmann