Hallo, On Monday 17 September 2001 16:15, Jürgen Fahnenschreiber wrote:
In meiner /var/log/messages entdeckte ich solcher Eindräge:
Sep 16 22:50:01 Server ippl: port 1243 connection attempt from 217.0.3.196 Sep 16 22:50:01 Server kernel: Packet log: input ACCEPT ippp0 PROTO=6 217.0.3.196:4764 217.0.149.24:1243 L=48 S=0x00 I=54671 F=0x4000 T=123 SYN (#39) Sep 16 22:50:01 Server ippl: port 1243 connection attempt from 217.0.3.196 Sep 16 22:50:01 Server kernel: Packet log: input ACCEPT ippp0 PROTO=6 217.0.3.196:4764 217.0.149.24:1243 L=48 S=0x00 I=64143 F=0x4000 T=123 SYN (#39) Sep 16 22:50:02 Server kernel: Packet log: input ACCEPT ippp0 PROTO=6 217.0.3.196:4764 217.0.149.24:1243 L=48 S=0x00 I=64911 F=0x4000 T=123 SYN (#39) Sep 16 22:50:02 Server ippl: port 1243 connection attempt from 217.0.3.196 Sep 16 22:50:02 Server kernel: Packet log: input ACCEPT ippp0 PROTO=6 217.0.3.196:4764 217.0.149.24:1243 L=48 S=0x00 I=400 F=0x4000 T=123 SYN (#39) Sep 16 22:50:02 Server ippl: port 1243 connection attempt from 217.0.3.196
Kann es sein, das jemand mit der IP 217.0.3.196 meinen Port 1243 gescannt hat? Für was ist dieser Port zuständig? In /etc/services finde ich diesen Port nicht.
laut http://www.simovits.com/sve/nyhetsarkiv/1999/nyheter9902.html lauschen auf diesem Port die (Windows-)Trojaner "BackDoor-G, SubSeven, SubSeven Apocalypse, Tiles". Solche Anfragen sollten mit "üblichen" Firewallkonfigurationen wegen ihres gesetzten SYN-Bits abgewiesen werden. Betreibst Du eine Firewall? Falls ja, ist diese vermutlich misskonfiguriert - da Du diese Frage gestellt hast, schließe ich aus, dass Du diese Zugriffe explizit erlaubt hast. Wenn Du Windows-Kisten hinter Deinem Router betreibst, könnte das zu einem Sicherheitsproblem werden. Schöne Grüße, Stephan -- /* Stephan Hakuli -=-=-=- http://www.hakuli.de/stephan Encryption with GnuPG/GPG is strongly encouraged, my public key is available on my website. -=- Kernel_source_comment_of_the_month=\ `grep gently /usr/src/linux-2.2.19/arch/sparc/kernel/ptrace.c` */