Bernd Schwab wrote:
Jun 11 09:31:00 PC-1 kernel: Packet log: rulchain REJECT ppp0 PROTO=6 195.20.250.152:54058 62.157.79.117:113 L=44 S=0x00 I=6382 F=0x4000 T=53 SYN (#6)
Wie schon geschrieben wurde: Das sind ganz gewöhnliche Anfragen an den identd. Ein Rechner kann damit versuchen, herauszufinden, welcher Benutzer auf einem entfernten Rechner eine bestimmte TCP-Verbindung zu ihm unterhält. Manche Server machen solche Anfragen an ihre Clients. Das sowas oft von Mail-Servern gemacht wird, wurde ja schon erwähnt. Aber auch, bei Diensten, die über den inetd gestartet werden und einen TCP-Wrapper vorgeschaltet haben, finden üblicherweise solche Anfragen statt. Und es gibt durchaus auch Web-Server, die solche Anfragen machen, auch wenn das weniger gebräuchlich ist.
7 marc-schiffbauer.de (195.20.250.152) 130 ms 150 ms 140 ms
An direkt gesendeten Mails kann es ja nach Deiner Aussage nicht liegen. Wäre auch sehr seltsam, da die MX-Einträge (zuständige Mail-Server) für diese Domain auf andere Server verweisen. Aber falls Du z.B. auf www.marc-schiffbauer.de bzw. www.links2linux.de (werden beide auf diesem Rechner gehostet) zugegriffen hast, könnte das die Sache schon erklären, falls Marcs Web-Server identd-Anfragen macht. Die Anzahl der Meldungen ergibt sich dann wahrscheinlich einfach daraus, daß nicht nur für jede einzelne Web-Seite, sondern (je nach Browser und verwendeter HTTP-Version) auch für jede eingebundene Grafik etc. eine neue Verbindung zum Web-Server aufgebaut wird, die jedesmal wieder eine identd-Anfrage auslöst.
Oder ist das jetzt usus, zu versuchen, die Rechner von anderen Listen-Teilnehmern zu hacken???
Nicht wirklich. Der identd wäre auch nicht gerade der geeignetste Angriffspunkt ;-) Eilert -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik eilert@informatik.uni-bremen.de - eilert@tzi.org http://www.informatik.uni-bremen.de/~eilert/
Hallo Eilert, Am Montag, 11. Juni 2001 12:56 schrieb Eilert Brinkmann:
Bernd Schwab wrote:
Jun 11 09:31:00 PC-1 kernel: Packet log: rulchain REJECT ppp0 PROTO=6 195.20.250.152:54058 62.157.79.117:113 L=44 S=0x00 I=6382 F=0x4000 T=53 SYN (#6)
Wie schon geschrieben wurde: Das sind ganz gewöhnliche Anfragen an den identd. Ein Rechner kann damit versuchen, herauszufinden, welcher Benutzer auf einem entfernten Rechner eine bestimmte TCP-Verbindung zu ihm unterhält. Manche Server machen solche Anfragen an ihre Clients. Das sowas oft von Mail-Servern gemacht wird, wurde ja schon erwähnt. Aber auch, bei Diensten, die über den inetd gestartet werden und einen TCP-Wrapper vorgeschaltet haben, finden üblicherweise solche Anfragen statt. Und es gibt durchaus auch Web-Server, die solche Anfragen machen, auch wenn das weniger gebräuchlich ist.
7 marc-schiffbauer.de (195.20.250.152) 130 ms 150 ms 140 ms
An direkt gesendeten Mails kann es ja nach Deiner Aussage nicht liegen. Wäre auch sehr seltsam, da die MX-Einträge (zuständige Mail-Server) für diese Domain auf andere Server verweisen. Aber falls Du z.B. auf www.marc-schiffbauer.de bzw. www.links2linux.de (werden beide auf diesem Rechner gehostet) zugegriffen hast, könnte das die Sache schon erklären, falls Marcs Web-Server identd-Anfragen macht.
Danke soweit erstmal fuer die Erlaeuterungen. Das wirds wohl gewesen sein (packman.links2linux.de). Hatte nur nicht erwartet, dass dann derartige Anfragen von woanders kommen koennten. ... wieder was gelernt.
Die Anzahl der Meldungen ergibt sich dann wahrscheinlich einfach daraus, daß nicht nur für jede einzelne Web-Seite, sondern (je nach Browser und verwendeter HTTP-Version) auch für jede eingebundene Grafik etc. eine neue Verbindung zum Web-Server aufgebaut wird, die jedesmal wieder eine identd-Anfrage auslöst.
Oder ist das jetzt usus, zu versuchen, die Rechner von anderen Listen-Teilnehmern zu hacken???
Insofern ist ... ^^^^^^ ungerechtfertigt gewesen, von mir!
Nicht wirklich. Der identd wäre auch nicht gerade der geeignetste Angriffspunkt ;-)
Hab nur unter WinNT4 schon so einiges erlebt. Und unter Linux muss ich wohl noch einiges Lernen - vor allem: erstmal ruhig bleiben.
Eilert
Ich habe bereits ein PM an Marc geschickt und hoffe, dass er mich am Leben laesst. Gruss und Danke Bernd -- Wer HTML postet oder gepostetes HTML quotet oder sich gepostetes oder gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
Hallo Bernd, * Bernd Schwab schrieb:
Ich habe bereits ein PM an Marc geschickt und hoffe, dass er mich am Leben laesst.
Bin dagegen. Marc gib ihm Saures. SCNR cya Waldemar -- It's naive to assume that just installing a firewall is going to protect you from all potential security threat. That assumption creates a false sense of security, and having a false sense of security is worse than having no security at all. -- Kevin Mitnick
Hi, das ganze muß sich nicht unbedint um mails drehen!! $ host ftp.links2linux.de ftp.links2linux.de has address 195.20.250.152 $ host 195.20.250.152 152.250.20.195.IN-ADDR.ARPA domain name pointer marc-schiffbauer.de Henne -- Hendrik Vogelsang aka Henne mailto: mickey@naturalbornkiller.de "Eureka!" -Professor "Did you build the Smell-o-scope?" -Fry "No. I remembered that I built one last year." -Professor # random sigs made with fortune
participants (4)
-
BerndSchwab@t-online.de
-
Eilert Brinkmann
-
Henne Vogelsang
-
Waldemar Brodkorb