Moins, seit einiger Zeit habe ich versucht postfix und cyrus zu installieren. Das folgende Problem trat erst auf, nachdem ich cyrus installiert und eingerichtet habe. Mein Server wählt sich in gewissen Abständen ins Netz ein. Ich kann mir das nicht so richtig erklären, kann mich aber nur erinnern, dass es wohl seitdem passiert. ausschnitt aus der /var/log/messages ------ Apr 25 21:19:45 club modify_resolvconf: Service ipppd modified /etc/resolv.conf. See info block in this file Apr 25 21:19:49 club SuSEfirewall2: Firewall rules successfully set from /etc/sysconfig/SuSEfirewall2 Apr 25 21:19:53 club kernel: SuSE-FW-DROP-DEFAULT IN=ippp0 OUT= MAC= SRC=217.4.173.146 DST=217.4.189.213 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=30404 DF PROTO=TCP SPT=4620 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402) Apr 25 21:20:10 club kernel: SuSE-FW-DROP-DEFAULT IN=ippp0 OUT= MAC= SRC=217.4.170.20 DST=217.4.189.213 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=27303 DF PROTO=TCP SPT=2941 DPT=135 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405B401010402) Apr 25 21:20:45 club isdnlog: Apr 25 21:20:45 tei 93 calling T-Online with +49 38xxx/xxxxxxx, Goldberg 2.CI 3.178 ¢ (after 0:01:00) Apr 25 21:21:11 club kernel: isdn_net: Hupflags of ippp0 are 5 Ap -------------------- Liege ich mit meiner Vermutung richtig? Und wenn ja, woran kann es liegen? Wenn nein, was kann es dann sein? Danke für Eure Hilfe. Christian
Am Sonntag, 25. April 2004 22:01 schrieb Christian Banek:
seit einiger Zeit habe ich versucht postfix und cyrus zu installieren. Das folgende Problem trat erst auf, nachdem ich cyrus installiert und eingerichtet habe. Mein Server wählt sich in gewissen Abständen ins Netz ein. Ich kann mir das nicht so richtig erklären, kann mich aber nur erinnern, dass es wohl seitdem passiert.
ausschnitt aus der /var/log/messages
------ Apr 25 21:19:45 club modify_resolvconf: Service ipppd modified /etc/resolv.conf. See info block in this file Apr 25 21:19:49 club SuSEfirewall2: Firewall rules successfully set from /etc/sysconfig/SuSEfirewall2 Apr 25 21:19:53 club kernel: SuSE-FW-DROP-DEFAULT IN=ippp0 OUT= MAC= SRC=217.4.173.146 DST=217.4.189.213 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=30404 DF PROTO=TCP SPT=4620 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402) Apr 25 21:20:10 club kernel: SuSE-FW-DROP-DEFAULT IN=ippp0 OUT= MAC= SRC=217.4.170.20 DST=217.4.189.213 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=27303 DF PROTO=TCP SPT=2941 DPT=135 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405B401010402) Apr 25 21:20:45 club isdnlog: Apr 25 21:20:45 tei 93 calling T-Online with +49 38xxx/xxxxxxx, Goldberg 2.CI 3.178 ¢ (after 0:01:00) Apr 25 21:21:11 club kernel: isdn_net: Hupflags of ippp0 are 5 Ap --------------------
Liege ich mit meiner Vermutung richtig? Und wenn ja, woran kann es liegen? Wenn nein, was kann es dann sein?
Sieht sehr stark nach dem uralten Blaster-Wurm oder einem seiner zahlreichen Inkaranationen, aus. Urheber dürften ein paar Clients, die immernoch keinen Virenscanner installiert haben. Dies dürfte nix mit Cyrus zu tun haben. z.B.: http://securityresponse1.symantec.com/SARC/sarc-intl.nsf/html/de-w32.blaster... -- Andreas
Moin, Am So, 2004-04-25 um 22.33 schrieb Andreas Winkelmann:
Sieht sehr stark nach dem uralten Blaster-Wurm oder einem seiner zahlreichen Inkaranationen, aus. Urheber dürften ein paar Clients, die immernoch keinen Virenscanner installiert haben. Dies dürfte nix mit Cyrus zu tun haben.
z.B.:
http://securityresponse1.symantec.com/SARC/sarc-intl.nsf/html/de-w32.blaster...
Wenn ich das richtig überflogen habe, dann sollte hier ein Windowsrechner betroffen sein. Den hab ich da aber nicht aktiv. Es läuft nur der Server und der mit Suse 9.0. Und wenn ich Windos zu laufen habe, dann 98, und das sollte laut Info nicht davon betroffen sein. Tja, und nun? Danke Christian
-- Andreas
Am Sonntag, 25. April 2004 22:47 schrieb Christian Banek:
Sieht sehr stark nach dem uralten Blaster-Wurm oder einem seiner zahlreichen Inkaranationen, aus. Urheber dürften ein paar Clients, die immernoch keinen Virenscanner installiert haben. Dies dürfte nix mit Cyrus zu tun haben.
z.B.:
http://securityresponse1.symantec.com/SARC/sarc-intl.nsf/html/de-w32.blas ter.worm.html
Wenn ich das richtig überflogen habe, dann sollte hier ein Windowsrechner betroffen sein. Den hab ich da aber nicht aktiv. Es läuft nur der Server und der mit Suse 9.0. Und wenn ich Windos zu laufen habe, dann 98, und das sollte laut Info nicht davon betroffen sein.
Diese Pakete kamen über Dein ippp0-Interface (isdn) rein. Vermute mal, dass dort auf der anderen Seite das Internet ist. Also ist irgendein Client dort betroffen.
Tja, und nun?
Wie in dem Auszug aus Deinem Log schon ersichtlich ist, werden diese Pakete bereits geblockt, viel mehr kannst Du nicht tun. -- Andreas
Moins, nein, es war fetchmail, bzw. eine nicht zu Ende bearbeitete /etc/ppp/ip-up Anweisung, nachdem ich die entsprechenden Anweisung in separate ip-up.local und ip-down.local kopiert hatte, ging es. Danke für die Hilfe Christian Am So, 2004-04-25 um 22.01 schrieb Christian Banek:
Moins,
seit einiger Zeit habe ich versucht postfix und cyrus zu installieren. Das folgende Problem trat erst auf, nachdem ich cyrus installiert und eingerichtet habe. Mein Server wählt sich in gewissen Abständen ins Netz ein. Ich kann mir das nicht so richtig erklären, kann mich aber nur erinnern, dass es wohl seitdem passiert.
ausschnitt aus der /var/log/messages
------ Apr 25 21:19:45 club modify_resolvconf: Service ipppd modified /etc/resolv.conf. See info block in this file Apr 25 21:19:49 club SuSEfirewall2: Firewall rules successfully set from /etc/sysconfig/SuSEfirewall2 Apr 25 21:19:53 club kernel: SuSE-FW-DROP-DEFAULT IN=ippp0 OUT= MAC= SRC=217.4.173.146 DST=217.4.189.213 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=30404 DF PROTO=TCP SPT=4620 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402) Apr 25 21:20:10 club kernel: SuSE-FW-DROP-DEFAULT IN=ippp0 OUT= MAC= SRC=217.4.170.20 DST=217.4.189.213 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=27303 DF PROTO=TCP SPT=2941 DPT=135 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405B401010402) Apr 25 21:20:45 club isdnlog: Apr 25 21:20:45 tei 93 calling T-Online with +49 38xxx/xxxxxxx, Goldberg 2.CI 3.178 ¢ (after 0:01:00) Apr 25 21:21:11 club kernel: isdn_net: Hupflags of ippp0 are 5 Ap --------------------
Liege ich mit meiner Vermutung richtig? Und wenn ja, woran kann es liegen? Wenn nein, was kann es dann sein?
Danke für Eure Hilfe.
Christian
participants (2)
-
Andreas Winkelmann
-
Banek@t-online.de