Aufgrund der augenblicklichen Portscans des Port 135 würde mich interessieren wie oft ich in 24h gescannt wurde. Zum Teil passiert das einige Minuten lang alle paar Sekunden mit meiner ISDN-Verbindung, dann ist wieder manchmal 1-2 Minuten Pause. Braucht man dafür ein Script um die /var/log/messages nach Ports und Zeitraum auszuwerten oder geht das auch mit grep? Al
Hallo Al, * Al schrieb am 15.08.2003:
Aufgrund der augenblicklichen Portscans des Port 135 würde mich interessieren wie oft ich in 24h gescannt wurde. Zum Teil passiert das einige Minuten lang alle paar Sekunden mit meiner ISDN-Verbindung, dann ist wieder manchmal 1-2 Minuten Pause.
Braucht man dafür ein Script um die /var/log/messages nach Ports und Zeitraum auszuwerten oder geht das auch mit grep?
egrep -A 100000 "Aug 15 18:02:21" current | egrep -B 100000 "Aug 15 18:07:09" | egrep DPT=135 Ja, ist zwar brachial, geht aber mit Bordmitteln. Grüße, Tom
Hi, 0n 03/08/16@06:51 Thomas Preissler told me:
Hallo Al,
* Al schrieb am 15.08.2003:
Aufgrund der augenblicklichen Portscans des Port 135 würde mich interessieren wie oft ich in 24h gescannt wurde. Zum Teil passiert das einige Minuten lang alle paar Sekunden mit meiner ISDN-Verbindung, dann ist wieder manchmal 1-2 Minuten Pause.
Braucht man dafür ein Script um die /var/log/messages nach Ports und Zeitraum auszuwerten oder geht das auch mit grep?
egrep -A 100000 "Aug 15 18:02:21" current | egrep -B 100000 "Aug 15 18:07:09" | egrep DPT=135
Ja, ist zwar brachial, geht aber mit Bordmitteln.
Wieso -A und -B und was ist current? work:~# grep Aug\ 15.*DPT=135 /var/log/messages | wc -l 109 -- bye maik
Am Samstag, 16. August 2003 10:10 schrieb Maik Holtkamp:
work:~# grep Aug\ 15.*DPT=135 /var/log/messages | wc -l 109
Danke. Mein Rechner ist jeden Tag ca. 12h online: grep Aug\ 14.*DPT=135 /var/log/messages | wc -l 0 grep Aug\ 15.*DPT=135 /var/log/messages | wc -l 1034 Heute nach 10min: grep Aug\ 16.*DPT=135 /var/log/messages | wc -l 93 Kann das an meiner dynam. IP liegen, dass ich gegenüber Maik viel öfter am Port 135 gescannt werde? Im Schnitt wähle ich mich 3-4x pro Stunde per ISDN ein. Al
Hi, 0n 03/08/16@10:45 Al Bogner told me:
Am Samstag, 16. August 2003 10:10 schrieb Maik Holtkamp:
work:~# grep Aug\ 15.*DPT=135 /var/log/messages | wc -l 109
Danke. Mein Rechner ist jeden Tag ca. 12h online:
grep Aug\ 14.*DPT=135 /var/log/messages | wc -l 0
Schau mal wo Deine /var/log/messages beginnt. Denn das hatte ich vorhin auch nicht beachtet: work:~# grep Aug\ 15.*DPT=135 /var/log/messages.0 | wc -l 49 work:~# grep Aug\ 14.*DPT=135 /var/log/messages.0 | wc -l 335
grep Aug\ 15.*DPT=135 /var/log/messages | wc -l 1034
Kann das an meiner dynam. IP liegen, dass ich gegenüber Maik viel öfter am Port 135 gescannt werde? Im Schnitt wähle ich mich 3-4x pro Stunde per ISDN ein.
Ich habe auch eine dynamische IP. work:~# isdnrep -t 15/8/03 -S ... 1 IN= 0:08:27, 118 OUT= 9:57:50, 0 failed Mein ISP ist aber sehr klein, vielleicht ist daher sein Subnet nicht interessant genug fuer ein paar SkriptKids. Vielleicht hast Du auch nur die interessanteren files auf der Platte und das hat sich in der Szene rumgesprochen ;). IMHO ist das einfach Zufall. -- bye maik
Am Samstag, 16. August 2003 11:35 schrieb Maik Holtkamp:
grep Aug\ 14.*DPT=135 /var/log/messages | wc -l 0
Schau mal wo Deine /var/log/messages beginnt. Denn das hatte ich vorhin auch nicht beachtet:
work:~# grep Aug\ 15.*DPT=135 /var/log/messages.0 | wc -l 49
# ls -1 messages* messages messages-20030811.gz messages-20030812.gz messages-20030815.gz Gibt es da eine Möglichkeit alle messages zu durchsuchen? Aug 15 00:16:01 gw syslogd 1.4.1: restart. Aug 15 00:16:20 gw su: (to nobody) root on none Aug 15 00:16:20 gw su: pam_unix2: session started for user nobody, service su Aug 15 00:16:37 gw kernel: SuSE-FW-ILLEGAL-TARGET IN=ippp0 OUT= MAC= SRC=195.3.9 3.70 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=36686 PROTO=2 Aug 15 00:16:37 gw kernel: klogd 1.4.1, ---------- state change ---------- Aug 15 00:16:37 gw kernel: Cannot find map file. Aug 15 00:16:37 gw kernel: Loaded 527 symbols from 25 modules. Aug 15 00:17:37 gw kernel: SuSE-FW-ILLEGAL-TARGET IN=ippp0 OUT= MAC= SRC=195.3.9 3.70 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=37374 PROTO=2 Aug 15 00:18:00 gw kernel: SuSE-FW-DROP-DEFAULT IN=ippp0 OUT= MAC= SRC=62.46.158 .18 DST=62.46.150.201 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=2361 DF PROTO=TCP SPT =2552 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402) Was lese ich denn da: "Cannot find map file." ls -1 System.map-* System.map--2.4.21-grsec-ippp System.map-2.4.20-4GB System.map-2.4.22-rc2 Da hatte ich wohl ein "-" zu viel im Namen. Warum lief aber dann das System ohne Probleme? Zu o.a. Log lief 2.4.21-grsec-ippp Wie ist dieser "DPT=135"-Eintrag unterschiedlich zu o.a. zu lesen Aug 16 11:48:42 gw kernel: SuSE-FW-DROP-DEFAULT IN=ippp0 OUT= MAC= SRC=62.134.76.1 DST=62.46.150.211 LEN=116 TOS=0x00 PREC=0x00 TTL=113 ID=4704 PROTO=UDP SPT=3489 DPT=135 LEN=96 ... DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402) ... DPT=135 LEN=96
Kann das an meiner dynam. IP liegen, dass ich gegenüber Maik viel öfter am Port 135 gescannt werde? Im Schnitt wähle ich mich 3-4x pro Stunde per ISDN ein.
Damit hatte ich auch meine Online-Zeit falsch beschrieben. Der Rechner ist pro Tag ca. 12h eingeschaltet, aber die Online-Zeit ist wesentlich geringer, da 4x pro h einige Mails abgeholt werden und der Rechner nach 3min. offline geht, wenn sonst keine Internetaktivität von mir ausgeht. Der augenblickliche Wurn/Virus dürfte also ganz schöne Auswirkungen haben. Übrigens eine interessante Theorie dazu: http://www.heise.de/newsticker/data/ju-15.08.03-001/ Al
Hi, 0n 03/08/16@13:00 Al Bogner told me:
Am Samstag, 16. August 2003 11:35 schrieb Maik Holtkamp:
grep Aug\ 14.*DPT=135 /var/log/messages | wc -l 0
Schau mal wo Deine /var/log/messages beginnt. Denn das hatte ich vorhin auch nicht beachtet:
work:~# grep Aug\ 15.*DPT=135 /var/log/messages.0 | wc -l 49
# ls -1 messages* messages messages-20030811.gz messages-20030812.gz messages-20030815.gz
Gibt es da eine Möglichkeit alle messages zu durchsuchen?
Ich wuerde zgrep nehmen, geht IMHO am problemlosesten.
3.70 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=37374 PROTO=2 Aug 15 00:18:00 gw kernel: SuSE-FW-DROP-DEFAULT IN=ippp0 OUT= MAC= SRC=62.46.158 .18 DST=62.46.150.201 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=2361 DF PROTO=TCP ^^^ SPT =2552 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Was lese ich denn da: "Cannot find map file."
ls -1 System.map-* System.map--2.4.21-grsec-ippp System.map-2.4.20-4GB System.map-2.4.22-rc2
Da hatte ich wohl ein "-" zu viel im Namen. Warum lief aber dann das System ohne Probleme?
Weiss ich auch nicht genau :(. <Korrekturen willkommen> Aber wenn sich Kleinigkeiten aendern spielt die System.map wohl nicht den Walzer. Ausserdem findet der kernel, laut man depmode die Info aus der System.map auch unter /proc/ksyms und wird wohl das verwenden, wenn er /proc mal drin hat.
Zu o.a. Log lief 2.4.21-grsec-ippp
Wie ist dieser "DPT=135"-Eintrag unterschiedlich zu o.a. zu lesen
Aug 16 11:48:42 gw kernel: SuSE-FW-DROP-DEFAULT IN=ippp0 OUT= MAC= SRC=62.134.76.1 DST=62.46.150.211 LEN=116 TOS=0x00 PREC=0x00 TTL=113 ID=4704 PROTO=UDP SPT=3489 DPT=135 LEN=96 ^^^
Das oben war TCP und hier ist es UDP. AFAIK fuenktionieren RPC Aufrufe ueber UDP. Zumindest werder sie so initiert, aber das muss nichts heissen, grad bei MS.
... DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402) ... DPT=135 LEN=96
Kann das an meiner dynam. IP liegen, dass ich gegenüber Maik viel öfter am Port 135 gescannt werde? Im Schnitt wähle ich mich 3-4x pro Stunde per ISDN ein.
Damit hatte ich auch meine Online-Zeit falsch beschrieben. Der Rechner ist pro Tag ca. 12h eingeschaltet, aber die Online-Zeit ist wesentlich geringer, da 4x pro h einige Mails abgeholt werden und der Rechner nach 3min. offline geht, wenn sonst keine Internetaktivität von mir ausgeht.
Hast Du active filter auf 135 gesetzt? Sonst haelt der Wurm Dir die Verbindung oben.
Der augenblickliche Wurn/Virus dürfte also ganz schöne Auswirkungen haben. Übrigens eine interessante Theorie dazu:
404 :( -- bye maik
Hi, 0n 03/08/16@18:06 Maik Holtkamp told me:
404 :(
Bloedsinn, ich habe hier rel. frisch installiert und muss mir meine urlview config nochmal anschauen, sorry :(. Ganz netter Text, aber mir eigentlich egal warum da drueber das Licht ausgeht ;). -- bye maik
Moin, bei mir liefert grep Aug\ 10.*DPT=135 /var/log/messages (bewusst ohne die Zählung) z.B. folgenden "Treffer": Aug 10 16:37:57 gold kernel: SuSE-FW-ILLEGAL-TARGET IN=ppp0 OUT= MAC= SRC=217.231.203.89 DST=212.144.7.146 LEN=376 TOS=0x00 PREC=0x00 TTL=118 ID=8282 PROTO=UDP SPT=1360 DPT=135 LEN=356 Verstehe ich dass richtig, dass meine SuSE-Firewall den Portscan auf DPT=135 abgeblockt hat? Vielen Dank, Joerg -- Joerg Schirmacher j.schirmacher@gmx.de
participants (4)
-
Al Bogner
-
J. Schirmacher
-
Maik Holtkamp
-
Thomas Preissler