Hallo, wenn ich von außen gescannt würde, sollte eigentlich eine andere IP-Adresse als 127.0.0.1 im Protokoll stehen, oder ? Ich gehe mal davon aus, daß ich keinen Trojaner habe, der dies verursacht. Hoffe ich jedenfalls. Das Problem mit den Verbindungsabbrüchen habe nicht nur ich, sondern alle in Firma. Das Phänomen tritt richtigerweise auf, wenn ich im Internet bin, da der Rechner mittels Standleitung am Internet hängt und auch als Mailserver fungiert. Primär hat nur squid ein Problem, weil ja eine mittels Samba kopierte Datei keine Fehler aufweist. Evtl. könnte auch ein Masquerading mittels ipchains das Problem verursachen. Alle Requests auf Port 80 werden auf Port 8080 (squid) umgeleitet. Diese Regeln habe ich jedoch auch schon immer aktiviert und nicht geändert. Daher schließe ich das mal aus. Im übrigen habe ich nicht behauptet, daß scanlogd den Rechner scannt.... Gruß Thorsten -- Newell Window Fashions Germany GmbH EDV / Dept. IT Neutrauchburger Str. 20 D-88316 Isny Thorsten Schneider Tel.: (+49) 7562 / 985-112 Fax: - 100 t.schneider@newellwf-de.com www.newellwf-de.com -----Ursprüngliche Nachricht----- Von: Ulrich Klenk [SMTP:uli.klenk@gmx.de] Gesendet am: Donnerstag, 8. Februar 2001 10:38 An: SuSE Linux Betreff: RE: Mein Linuxrechner macht selbstständige Portscans... Von: Thorsten Schneider [mailto:t.schneider@newellwf-de.com] Gesendet: Donnerstag, 8. Februar 2001 09:06
scanlogd: From 127.0.0.1 to 127.0.0.1 ports 4228, 4230, 4232, 4234, 4236, 4238, 4240, 4242, 4244, ..., flags f?rp?u, TOS > > 00, TTL 64, started at 08:09:22
Es sieht so aus, als ob der Rechner seine eigene Ports scannt... Gleichzeitig bricht squid beim Laden von Seiten mittendrinnen ab. Ein Reload der Seite hilft manchmal, aber nicht immer. Auch ein Neustart von squid hilft nicht. Das eine Mal habe ich den Rechner komplett neu gestartet und dann war es weg. Das letzt mal verschwand es von alleine.
An der Netzwerkkarte kann es eigenlich nicht liegen, da ich versuchsweise eine 50MB-Datei via Samba auf den Rechner kopiert habe. Das klappte ohne Probleme auch wenn squid die Verbindung abbrach.
Moin, scanlogd macht keine portscans, sondern er berichtet, wenn eben solche stattfinden. <Ratemodus> 1. Das Phänomen tritt auf, wenn Du im Internet bist 2. Du wirst von aussen gescannt 3. Der Logingprozess bzw. ein evtl. DOS auf Deinen Rechner führen zur Überlastung/Abbruch 4. .... </Ratemodus> Gruesse aus dem Bergischen Land, Uli --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com