Am Sonntag, 19. September 2004 00:04 schrieb Torsten E.:
Guten Abend Liste,
nun habe ich heute ca. 460000 Einträge in der Art: Sep 18 23:45:51 warblade kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=64.92.150.46 DST=217.255.54.135 LEN=98 TOS=0x00 PREC=0x00 TTL=58 ID=12723 DF PROTO=UDP SPT=4672 DPT=11164 LEN=78 in /var/log/messages (rund 97 pro Sekunde).
Die Datenquelle schaut immer aus in der Art (nur Auszüge ... ;)): SRC=64.209.193.4 SRC=64.209.193.5 [...] oder aber: SRC=64.92.150.51 SRC=64.92.150.66 [...]
Um das Ganze aber nicht langweilig zu machen, werden die Ports 11164 & 6881 angesprochen ...
Sehr klug! Alles unnassigned Ports. Schuß ins Blaue! Da ist ein "Wurmfinder" am Werk und versucht Verbindung zu seinen Kindern aufzunehmen. Oder es ist einfach eine DOS-Attacke.
Die Logdatei hat mittlerweile (nur für heute, 18.09.2004), eine Größe von 180MB.
Ich hoffe Du hast /var auf einer eigenen Partition.
Kann man da irgendetwas gegen tun, außer die Verbindung zum Internet zu trennen?
Eine Abuse-Mail an abuse@savvis.net schreiben mit relevanten Auszügen aus Deinen Logs und eventuell, dass Du Dir das Recht vorbehältst Strafanzeige zu erstatten, sollte der Mißstand nicht abgestellt werden.
Rein rechtlich würde ich denjenigen gerne anstinken, da es, wenn man keine Flatrate haben sollte, teuer werden kann ...
Ich denke, dass SAVVIS dafür haftbar gemacht werden kann. lg, Andreas.