martian source geht von Port 80 aus (Idee?)
Hallo *, ich habe jetzt mal versucht herauszufinden woher diese martian sources kommen: [...] [...] kernel: martian source 212.202.39.61 from 127.0.0.1, on dev ppp0 [...] kernel: ll header: 45:08:00:28 [...] kernel: martian source 212.202.39.61 from 127.0.0.1, on dev ppp0 [...] kernel: ll header: 45:08:00:28 [...] Dazu habe ich einfach mal folgendes gemacht: es:~ # tethereal -f "src host 127.0.0.1" -i ppp0 -w lo.dump -S -n Capturing on ppp0 127.0.0.1 -> 212.202.39.61 TCP 80 > 1971 [RST, ACK] Seq=0 Ack=2127691777 Win=0 Len=0 127.0.0.1 -> 212.202.39.61 TCP 80 > 1193 [RST, ACK] Seq=0 Ack=1050476545 Win=0 Len=0 127.0.0.1 -> 212.202.39.61 TCP 80 > 1434 [RST, ACK] Seq=0 Ack=2027094017 Win=0 Len=0 127.0.0.1 -> 212.202.39.61 TCP 80 > 1786 [RST, ACK] Seq=0 Ack=1615527937 Win=0 Len=0 127.0.0.1 -> 212.202.39.61 TCP 80 > 1958 [RST, ACK] Seq=0 Ack=1221591041 Win=0 Len=0 127.0.0.1 -> 212.202.39.61 TCP 80 > 1864 [RST, ACK] Seq=0 Ack=712704001 Win=0 Len=0 127.0.0.1 -> 212.202.39.61 TCP 80 > 1728 [RST, ACK] Seq=0 Ack=2112225281 Win=0 Len=0 127.0.0.1 -> 212.202.39.61 TCP 80 > 1094 [RST, ACK] Seq=0 Ack=2005991425 Win=0 Len=0 [...] Irgendwie scheint das alles von Port 80 an 127.0.0.1 auszugehen. Ich Daraufhin habe ich einfach mal meinen Apache ausgeschaltet. Leider hat das die Sache nicht weiter verbessert. Die "Marsianer" kommen trotzdem noch. Hat denn niemand eine Idee, wie ich das abstellen kann, oder woher das kommt? Damit keine Missverständnisse aufkommen - ich habe bereits fleißig gegoogelt und ich möchte nicht wissen, wie ich die Meldung unterdrücken kann, sondern woher sie kommt und wie ich sie an der Wurzel beseitigen kann. Viele Grüße Bastian
Am Montag Februar 2 2004 13:47 schrieb Bastian Schern:
Hallo *,
ich habe jetzt mal versucht herauszufinden woher diese martian sources kommen: [...] [...] kernel: martian source 212.202.39.61 from 127.0.0.1, on dev ppp0 [...] kernel: ll header: 45:08:00:28 [...] kernel: martian source 212.202.39.61 from 127.0.0.1, on dev ppp0 [...] kernel: ll header: 45:08:00:28 [...]
[...]
Hat denn niemand eine Idee, wie ich das abstellen kann, oder woher das kommt?
Damit keine Missverständnisse aufkommen - ich habe bereits fleißig gegoogelt und ich möchte nicht wissen, wie ich die Meldung unterdrücken kann, sondern woher sie kommt und wie ich sie an der Wurzel beseitigen kann.
Anscheinend nicht gut genug :-) http://www.mathematik.tu-darmstadt.de/dalug/mailingliste/2001/7/msg00094.sht... <Zitat> In /usr/src/linux/Documentation/Configure.help findet sich dazu: IP: verbose route monitoring CONFIG_IP_ROUTE_VERBOSE If you say Y here, which is recommended, then the kernel will print verbose messages regarding the routing, for example warnings about received packets which look strange and could be evidence of an attack or a misconfigured system somewhere. The information is handled by the klogd daemon which is responsible for kernel messages ("man klogd"). </Zitat> Gruß Udo -- if (argc > 1 && strcmp(argv[1], "-advice") == 0) { printf("Don't Panic!\n"); exit(42); } (Arnold Robbins in the LJ of February '95, describing RCS)
Udo Neist schrieb:
Hat denn niemand eine Idee, wie ich das abstellen kann, oder woher das kommt?
Damit keine Missverständnisse aufkommen - ich habe bereits fleißig gegoogelt und ich möchte nicht wissen, wie ich die Meldung unterdrücken kann, sondern woher sie kommt und wie ich sie an der Wurzel beseitigen kann.
Anscheinend nicht gut genug :-)
http://www.mathematik.tu-darmstadt.de/dalug/mailingliste/2001/7/msg00094.sht...
<Zitat> In /usr/src/linux/Documentation/Configure.help findet sich dazu:
IP: verbose route monitoring CONFIG_IP_ROUTE_VERBOSE If you say Y here, which is recommended, then the kernel will print verbose messages regarding the routing, for example warnings about received packets which look strange and could be evidence of an attack or a misconfigured system somewhere. The information is handled by the klogd daemon which is responsible for kernel messages ("man klogd"). </Zitat>
Gruß Udo
Ich glaube die Frage zielte mehr darauf ab was (also welche Dienst, bzw. welches Programm) diese falsch konfigurierten Pakete sendet und warum. Man sollte doch wohl jedes Programm so konfigurieren können, dass so was gar nicht erst durch die Leitungen gepustet wird. Das reine Unterdrücken von den Warnings ist zwar oberflächlich eine Lösung ändert aber nichts am zumüllen der Leitung. Gruss Micha
Michael Kundt schrieb: [...]
Ich glaube die Frage zielte mehr darauf ab was (also welche Dienst, bzw. welches Programm) diese falsch konfigurierten Pakete sendet und warum. Man sollte doch wohl jedes Programm so konfigurieren können, dass so was gar nicht erst durch die Leitungen gepustet wird. Das reine Unterdrücken von den Warnings ist zwar oberflächlich eine Lösung ändert aber nichts am zumüllen der Leitung.
Genau, das is' es. Wie ich die Meldung unterdrücken kann, weiß ich schon. Ich würde aber gerne Wissen wo sich der Marsbewohner eingenistet hat. ;-) Denn diese Meldungen deuten auf ein fehlerhaft konfiguriertes Device/Service/Netz hin. Man kann es Perfektionismus nennen, aber ich würde diesen Fehler echt gerne beseitigen. Viele Grüße Bastian
Am Dienstag Februar 3 2004 01:10 schrieb Michael Kundt: [...]
Ich glaube die Frage zielte mehr darauf ab was (also welche Dienst, bzw. welches Programm) diese falsch konfigurierten Pakete sendet und warum. Man sollte doch wohl jedes Programm so konfigurieren können, dass so was gar nicht erst durch die Leitungen gepustet wird. Das reine Unterdrücken von den Warnings ist zwar oberflächlich eine Lösung ändert aber nichts am zumüllen der Leitung.
Gruss Micha
Hallo Die Meldungen sagen _nur_ das ein System irgendwelche mysteriöse Datenpackete an deinen Rechner liefert. Es muß nicht dein System sein, es kann auch IP-Spoofing sein, also das ein anderer Rechner gefälschte Pakete an deinen schickt. Wenn du also ausschliessen kannst, dass dein betroffener Rechner nicht die Quelle ist, dann mußt du woanders suchen. Ich denke, da es sich um ppp0 handelt, das ein versuchter Angriff stattgefunden hat. Es wird dir wohl nichts anderes übrigbleiben, als solche Angriffe zu filtern. Gruß Udo -- But it's real. And if it's real it can be affected ... we may not be able to break it, but, I'll bet you credits to Navy Beans we can put adent in it. -- deSalle, "Catspaw", stardate 3018.2
On Mon, 02 Feb 2004 13:47:44 +0100
Bastian Schern
Hallo *,
Hallo Bastian,
ich habe jetzt mal versucht herauszufinden woher diese martian sources
kommen: [...] [...] kernel: martian source 212.202.39.61 from 127.0.0.1, on dev ppp0 [...] kernel: ll header: 45:08:00:28 [...] kernel: martian source 212.202.39.61 from 127.0.0.1, on dev ppp0 [...] kernel: ll header: 45:08:00:28 [...] [...] Irgendwie scheint das alles von Port 80 an 127.0.0.1 auszugehen.
Genau diese Pakete hatte ich auch in meinen Logfiles. Sie kamen über den Gateway herein und hatten immer 127.0.0.1 als source Adresse und 80 als source port und > 999 als destination port (das konnte ich mit ethereal nachvollziehen). Nicht nur ich, sondern auch diverse andere Clients im Netzwerk haben diese Pakete erhalten. Ich habe ein Posting in de.comp.os.unix.networking gemacht [1] und so genau konnten wir den Ursprung dieser Pakete nicht klären. Ich weiss aber, dass der Gateway korrekt konfiguriert ist. Am wahrscheinlichsten erschien mir dann eine Erklärung in einem anderen Posting [2], dass es sich um "Backscatter von einem Scan oder einer Denial-of-Service Attacke (RST/ACK Flags gesetzt)" handelt. Ich habe noch vermutet, dass es sich um absichtlich fehlgeleitete Blaster Pakete handeln könnte. Lies einfach mal beide Threads durch. Kommentare oder eigene Ideen sind gerne willkommen.
Hat denn niemand eine Idee, wie ich das abstellen kann, oder woher das kommt?
Es ist mir nicht gelungen, den Ursprung zu orten. Ich habe auch sonst keine Blaster/Wurm/DoS-Aktivitäten bei uns im Netz entdecken können. Aufgehört hat es von ganz alleine, seit ca. 5 Tagen sind die Marsianer weg. ;-) HTH, Frank [1] http://kuerzer.de/martians [2] http://kuerzer.de/moremartians
participants (4)
-
Bastian Schern
-
Frank Wolk
-
Michael Kundt
-
Udo Neist