Am Samstag, 16. August 2003 11:35 schrieb Maik Holtkamp:
grep Aug\ 14.*DPT=135 /var/log/messages | wc -l 0
Schau mal wo Deine /var/log/messages beginnt. Denn das hatte ich vorhin auch nicht beachtet:
work:~# grep Aug\ 15.*DPT=135 /var/log/messages.0 | wc -l 49
# ls -1 messages* messages messages-20030811.gz messages-20030812.gz messages-20030815.gz Gibt es da eine Möglichkeit alle messages zu durchsuchen? Aug 15 00:16:01 gw syslogd 1.4.1: restart. Aug 15 00:16:20 gw su: (to nobody) root on none Aug 15 00:16:20 gw su: pam_unix2: session started for user nobody, service su Aug 15 00:16:37 gw kernel: SuSE-FW-ILLEGAL-TARGET IN=ippp0 OUT= MAC= SRC=195.3.9 3.70 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=36686 PROTO=2 Aug 15 00:16:37 gw kernel: klogd 1.4.1, ---------- state change ---------- Aug 15 00:16:37 gw kernel: Cannot find map file. Aug 15 00:16:37 gw kernel: Loaded 527 symbols from 25 modules. Aug 15 00:17:37 gw kernel: SuSE-FW-ILLEGAL-TARGET IN=ippp0 OUT= MAC= SRC=195.3.9 3.70 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=37374 PROTO=2 Aug 15 00:18:00 gw kernel: SuSE-FW-DROP-DEFAULT IN=ippp0 OUT= MAC= SRC=62.46.158 .18 DST=62.46.150.201 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=2361 DF PROTO=TCP SPT =2552 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402) Was lese ich denn da: "Cannot find map file." ls -1 System.map-* System.map--2.4.21-grsec-ippp System.map-2.4.20-4GB System.map-2.4.22-rc2 Da hatte ich wohl ein "-" zu viel im Namen. Warum lief aber dann das System ohne Probleme? Zu o.a. Log lief 2.4.21-grsec-ippp Wie ist dieser "DPT=135"-Eintrag unterschiedlich zu o.a. zu lesen Aug 16 11:48:42 gw kernel: SuSE-FW-DROP-DEFAULT IN=ippp0 OUT= MAC= SRC=62.134.76.1 DST=62.46.150.211 LEN=116 TOS=0x00 PREC=0x00 TTL=113 ID=4704 PROTO=UDP SPT=3489 DPT=135 LEN=96 ... DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402) ... DPT=135 LEN=96
Kann das an meiner dynam. IP liegen, dass ich gegenüber Maik viel öfter am Port 135 gescannt werde? Im Schnitt wähle ich mich 3-4x pro Stunde per ISDN ein.
Damit hatte ich auch meine Online-Zeit falsch beschrieben. Der Rechner ist pro Tag ca. 12h eingeschaltet, aber die Online-Zeit ist wesentlich geringer, da 4x pro h einige Mails abgeholt werden und der Rechner nach 3min. offline geht, wenn sonst keine Internetaktivität von mir ausgeht. Der augenblickliche Wurn/Virus dürfte also ganz schöne Auswirkungen haben. Übrigens eine interessante Theorie dazu: http://www.heise.de/newsticker/data/ju-15.08.03-001/ Al