Einbruchsversuch in den Rechner?
Hi! Ich werde alle paar Sekunden mit Meldungen der Firewall bombadiert. Ich habe lleider bisher nichts gefunden, was mir diese Meldungen "übersetzen" könnte. Versucht da jemand in den Rechner einzudringen? Oder sind die Meldungen eher harmlos? Hat jemand eine anfängerfreundliche deutsche Anleitung für die FW? Beste Grüße Ralf Tempel Sep 9 23:27:15 Foliant-Linux-Server kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=217.225.13.67 DST=80.129.253.176 LEN=34 TOS=0x00 PREC=0x00 TTL=123 ID=11882 PROTO=UDP SPT=64534 DPT=4665 LEN=14 Sep 9 23:27:24 Foliant-Linux-Server kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=81.86.109.224 DST=80.129.253.176 LEN=34 TOS=0x00 PREC=0x00 TTL=118 ID=41590 PROTO=UDP SPT=3016 DPT=4665 LEN=14 Sep 9 23:27:37 Foliant-Linux-Server kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=217.35.27.236 DST=80.129.253.176 LEN=34 TOS=0x00 PREC=0x00 TTL=116 ID=11441 PROTO=UDP SPT=1517 DPT=4665 LEN=14 Sep 9 23:27:41 Foliant-Linux-Server kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=80.128.22.164 DST=80.129.253.176 LEN=34 TOS=0x00 PREC=0x00 TTL=124 ID=2118 PROTO=UDP SPT=1028 DPT=4665 LEN=14 Sep 9 23:28:00 Foliant-Linux-Server kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=62.57.26.206 DST=80.129.253.176 LEN=34 TOS=0x00 PREC=0x20 TTL=115 ID=33947 PROTO=UDP SPT=1067 DPT=4665 LEN=14 Sep 9 23:28:13 Foliant-Linux-Server kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=195.205.36.3 DST=80.129.253.176 LEN=34 TOS=0x00 PREC=0x00 TTL=117 ID=43903 PROTO=UDP SPT=1026 DPT=4665 LEN=14 Sep 9 23:28:37 Foliant-Linux-Server kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=62.83.143.104 DST=80.129.253.176 LEN=34 TOS=0x00 PREC=0x00 TTL=114 ID=31578 PROTO=UDP SPT=2147 DPT=4665 LEN=14 Sep 9 23:29:02 Foliant-Linux-Server kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=80.136.240.132 DST=80.129.253.176 LEN=34 TOS=0x00 PREC=0x00 TTL=124 ID=31556 PROTO=UDP SPT=1032 DPT=4665 LEN=14 Sep 9 23:29:12 Foliant-Linux-Server kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=130.234.185.202 DST=80.129.253.176 LEN=34 TOS=0x00 PREC=0x00 TTL=112 ID=1470 PROTO=UDP SPT=1034 DPT=4665 LEN=14 Sep 9 23:29:20 Foliant-Linux-Server kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=172.176.8.177 DST=80.129.253.176 LEN=34 TOS=0x00 PREC=0x00 TTL=116 ID=10167 PROTO=UDP SPT=1457 DPT=4665 LEN=14 Sep 9 23:29:21 Foliant-Linux-Server kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=217.162.26.229 DST=80.129.253.176 LEN=34 TOS=0x00 PREC=0x00 TTL=121 ID=825 PROTO=UDP SPT=17589 DPT=4665 LEN=14 Sep 9 23:29:23 Foliant-Linux-Server kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=80.14.80.161 DST=80.129.253.176 LEN=34 TOS=0x00 PREC=0x00 TTL=117 ID=61530 PROTO=UDP SPT=1219 DPT=4665 LEN=14
Ralf Tempel wrote: [...]
einzudringen? Oder sind die Meldungen eher harmlos?
Ja [...]
Sep 9 23:29:23 Foliant-Linux-Server kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=80.14.80.161 DST=80.129.253.176 LEN=34 TOS=0x00 PREC=0x00 TTL=117 ID=61530 PROTO=UDP SPT=1219 DPT=4665 LEN=14 ^^^^^^^^Edonkey-Chatport
Befrage mal google mit udp 4665 MfG Benn -- #250319 - http://counter.li.org
Am 09.09.2002 um 23:53 schrieb Ralf Tempel:
Ich werde alle paar Sekunden mit Meldungen der Firewall bombadiert. Ich habe lleider bisher nichts gefunden, was mir diese Meldungen "übersetzen" könnte. Versucht da jemand in den Rechner einzudringen? Oder sind die Meldungen eher harmlos?
Sieht nach Verbindungsversuchen von eDonkey aus. Harmlos.
Hat jemand eine anfängerfreundliche deutsche Anleitung für die FW?
Im Netz gibt es eine Menge Anleitungen unt HowTos zum Thema iptables. MfG, Dennis -- Dennis Stosberg eMail: dennis@stosberg.net gpg key: http://stosberg.net/dennis.asc icq: 63537718
Hallo zusammen, am Dienstag, 10. September 2002 um 00:04 schrieb stosberg@gmx.de:
Sieht nach Verbindungsversuchen von eDonkey aus. Harmlos.
Ich habe eDonkey aber nicht installiert. Auf einem Client-Rechner ist Kazaa-Lite installiert, die Meldungen erscheinen aber auch, wenn nur der Server läuft und der client ausgeschaltet ist. Mit besten Grüssen Ralf Tempel
Am 10.09.2002 um 00:23 schrieb Ralf Tempel:
Sieht nach Verbindungsversuchen von eDonkey aus. Harmlos.
Ich habe eDonkey aber nicht installiert. Auf einem Client-Rechner ist Kazaa-Lite installiert, die Meldungen erscheinen aber auch, wenn nur der Server läuft und der client ausgeschaltet ist.
Die Anfragen kommen ja auch nicht aus dem lokalen Netz, sondern von ganz verschiedenen Hosts aus dem Netz. Ich schätze mal, dass eDonkey entweder versucht, über diese Nachrichten neue Hosts zu finden, oder dass du eine dynamische IP hast, deren Vormieter eDonkey benutzt hat. Aber ich weiß auch nichts Genaues. MfG, Dennis -- Dennis Stosberg eMail: dennis@stosberg.net gpg key: http://stosberg.net/dennis.asc icq: 63537718
Am Montag, 9. September 2002 23:53 schrieb Ralf Tempel:
Hi!
Ich werde alle paar Sekunden mit Meldungen der Firewall bombadiert. Ich habe lleider bisher nichts gefunden, was mir diese Meldungen "übersetzen" könnte. Versucht da jemand in den Rechner einzudringen? Oder sind die Meldungen eher harmlos?
Wie schon die Vorredner beschrieben haben: Das ist ein Edonkey connect Version. Dieser kann zustande kommen wenn: Dein Vorgägnger (Benutzer der IP) hatte den Edonkey laufen Dein Vorgänger hatte nen Edonkey Server mit DynIP laufen Du in deinem Netzwerk nen EDonkey Client startest es Routing Schwierigkeiten gibt und du halt an dem Ende sitzt das die Pakete abbekommt... Aber was dramatisches is das nicht wirklich. Aber natürlich müllt es die Kiste zu ...
Hallo, Am Montag, 9. September 2002 23:53 schrieb Ralf Tempel:
Ich werde alle paar Sekunden mit Meldungen der Firewall bombadiert. Ich habe lleider bisher nichts gefunden, was mir diese Meldungen "übersetzen" könnte. Versucht da jemand in den Rechner einzudringen? Oder sind die Meldungen eher harmlos?
Hat jemand eine anfängerfreundliche deutsche Anleitung für die FW?
Ich hab ein anfängerfreundliches Skript für dich, welches die Ausgaben von SuSEfirewall2 in etwas besser Lesbares "übersetzt": --- schnipp ----- #!/bin/bash # # SuSE-FW-analysis by Hartmut Meyer (c) 2002 # # Felder der SuSE-FW Meldungen in /var/log/messages: # # 1-3: date # 4: hostname # 5: message from (always "kernel") # 6: SuSE-FW classification (typical: "DROP-DEFAULT", \\"UNAUTHORIZED-TARGET" # 7: incoming interface # 8: outgoing interface # 9: MAC address # 10: source IP # 11: destination IP # 12: LEN (?) # 13: TOS (?) # 14: PREC (?) # 15: TTL (time to live) # 16: ID (?) # 17: protocol (ususally TCP or UDP) # 18: source port # 19: destination port # 20-: not of interest # # the varible $INTERESTING defines, which fields of the SuSE-FW output \\in # /var/log/messages we want to keep # # use /etc/services from http://www.seifried.org/security/ports/ for # better results # # for more information on port numbers see # http://isc.incidents.org/port_details.html #set -x # INTERESTING: adjust this to your own needs INTERESTING="1-3,6,10,11,17-19" TEMPDIR=/tmp/SuSE-FW-analysis SERVICES_TCP=$TEMPDIR/services.tcp SERVICES_UDP=$TEMPDIR/services.udp OUTFILE=/var/log/SuSE-FW-analysis # this is where we keep the single files geneerated from \\/var/log/messages # (one file per line) rm -R $TEMPDIR 2> /dev/null mkdir -p $TEMPDIR/vlm cd $TEMPDIR/vlm # generate single files from /var/log/messages (one file per line) grep SuSE-FW /var/log/messages | tr -s " " | sed s/\ DF// | split -l 1 - \\vlm. # collect all source and destination IPs from the vlm files for n in $( ls ) ; do cat $n | cut -d " " -f 10 | sed s/SRC=// >> $TEMPDIR/IP cat $n | cut -d " " -f 11 | sed s/DST=// >> $TEMPDIR/IP done sort $TEMPDIR/IP | uniq > $TEMPDIR/IP.uniq mkdir -p $TEMPDIR/IP.cache # for each IP found, create a file with that IP as the name its DNS # name as content for IP in $( cat $TEMPDIR/IP.uniq ) ; do DNS_NAME=$( host $IP | cut -d " " -f 5 | sed s/.$// ) if [ $(echo $DNS_NAME | cut -d " " -f 2) ]; then DNS_NAME=$(echo $DNS_NAME | cut -d " " -f 2) fi IP_CHECK=$(host $DNS_NAME | cut -d " " -f 4) # if lookup or reverse lookup fail, just stick to the IP if [ "$DNS_NAME" = "3(NXDOMAIN" ] || [ "$IP_CHECK" != "$IP" ] ; then DNS_NAME=$IP fi echo $DNS_NAME > $TEMPDIR/IP.cache/$IP done # create to files from /etc/services: one for UDP and one for TCP cat /etc/services | grep -v ^# | tr "\t" " " | tr -s " " | grep /tcp > \\$SERVICES_TCP cat /etc/services | grep -v ^# | tr "\t" " " | tr -s " " | grep /udp > \\$SERVICES_UDP # for each file/line try to add a "translation" for the numerical # SPT and DPT based on /etc/services for n in $( ls $TEMPDIR/vlm ) ; do SPT=$(cut -d " " -f 18 $n | cut -d "=" -f 2) DPT=$(cut -d " " -f 19 $n | cut -d "=" -f 2) if [ "$( grep "PROTO=TCP" $n )" != "" ] ; then SERVICES=$SERVICES_TCP fi if [ "$( grep "PROTO=UDP" $n )" != "" ] ; then SERVICES=$SERVICES_UDP fi SPT=$( echo $SPT | sed s/$SPT/$SPT\($( echo $( grep " $SPT/" $SERVICES \\) | cut -d " " -f 1 )\)/ ) DPT=$( echo $DPT | sed s/$DPT/$DPT\($( echo $( grep " $DPT/" $SERVICES \\) | cut -d " " -f 1 )\)/ ) cut -d " " -f 1-17 $n > tmp echo "SPT=$SPT DPT=$DPT" >> tmp echo $( cat tmp | tr "\n" " " ) > $n done rm tmp # collect all files (already with translated SPT/DPT) and create # $OUTFILE cat * > $OUTFILE # replace IPs with DNS names for n in $( ls $TEMPDIR/IP.cache ) ; do IP=$n DNS_NAME=$( cat $TEMPDIR/IP.cache/$n ) cat $OUTFILE | sed s/$IP/$DNS_NAME/ > tmp mv tmp $OUTFILE done # reduce output to keep only the $INTERESTING fields cut -d " " -f $INTERESTING $OUTFILE > tmp mv tmp $OUTFILE rm -R $TEMPDIR echo "You can find the output in $OUTFILE" --- schnapp ----- Achtung: in der Mail sind einige Zeilenumbrüche reingekommen, die so in dem Skript nicht sein dürfen: Alle Zeilen, die mit "\\" anfangen gehören ans Ende der vorherigen Zeile. Vielleicht hilft's dir ja. Schöne Grüße aus Bremen hartmut
participants (6)
-
Bernd Schmelter
-
Dennis Stosberg
-
Hartmut Meyer
-
Jan
-
Peter Wiersig
-
Ralf Tempel