Hallo Michael,
Michael Molthagen
Hallo Dieter,
Am 24. Oct 2000 schrieb Dieter Kluenter:
...
Drucken im Netzwerk
Was ja AFAIK auch wieder TCP/IP ist, wenn ich mich nicht irre...
Ja, aber vermutlich ist port 515 nicht betroffen.
Nein, und das heißt dann doch, nicht TCP/IP selbst hat ein Problem, sondern irgend etwas eine Stufe darunter.
Oder nur die ports bis (vermutlich) 138
BTW: Was ist eigentlich Port 8? Ich habe immer wieder in meiner /var/log/firewall ACCEPTS auf Port 8, ohne daß in /etc/services da irgend etwas eingetragen wäre... macht mich schon stutzig...
Die RFC 1700, Assigned Numbers, sagt dazu: 8 PIP The P Internet Protocol Frag mich aber nicht, was das ist ;-)
[...]
Das hieße, mich vom SuSE-Firewals-Skript zu verabschieden und mich selbst in die Tiefen des ipchainings zu begeben... *zitter*
Das ist nicht so schlimm, beherrschst du in zwei Stunden.
Vielleicht sollte ich mal die Ausgabe von ipchains -l zur Verfügung stellen, falls jemand damit etwas anfangen kann... Ich will das aber wegen des Umfangs nicht ohne Aufforderung tun...
Nein danke :-) Ich sende dir mal als PM ein script, das dir weiterhilft.
Ich denke mir schon, daß da der Wurm drin ist, in der Firewall...
Nicht unbedingt, koennte auch eine Netzkarte sein, oder ein Speichermodul, ein mangelhaft kompilierter Kernel und, und ... Aber ich vermute auch, dass ipchains Regeln dazu fuehren, dass der kernel mit Paketen durch ein loop ueberflutet wird. Gruss Dieter -- Dieter Kluenter mailto: dkluenter@gmx.de http: http://www.l4b.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hi @ all!
BTW: Was ist eigentlich Port 8? Ich habe immer wieder in meiner /var/log/firewall ACCEPTS auf Port 8, ohne daß in /etc/services da irgend etwas eingetragen wäre... macht mich schon stutzig...
Die RFC 1700, Assigned Numbers, sagt dazu: 8 PIP The P Internet Protocol
8 EGP Exterior Gateway Protocol [RFC888,DLM1] [..] The Exterior Gateway Protocol used to connect Stub Gateways to an Autonomous System of core Gateways [...] cu Marc Mc Guinness --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo Dieter, hallo allerseits, Am 24. Oct 2000 schrieb Dieter Kluenter:
...
Ich denke mir schon, daß da der Wurm drin ist, in der Firewall...
Nicht unbedingt, koennte auch eine Netzkarte sein, oder ein Speichermodul, ein mangelhaft kompilierter Kernel und, und ... Aber ich vermute auch, dass ipchains Regeln dazu fuehren, dass der kernel mit Paketen durch ein loop ueberflutet wird.
Also... nun hatte ich mich wegen meines stehenbleibenden Servers einige Tage nicht gemeldet. Ich habe nämlich alle Tipps und Tricks ausprobiert. Und wollte dann abwarten, was geschieht. Nun gut. Vor allem bin ich von Linux 2.2.16-SuSE auf 2.2.14-SuSE gewech- selt. Noch ein paar Spielereien an Kernel-Config und Firewall, und der Server erreichte tatsächlich fast vier Tage Uptime. Letzte Nacht jedoch stürzte er ab - allerdings kann ich leider nicht feststellen, wie und warum, da er die /var/log/messages vernichtet hat. Sie wurde mit Einträgen von Leafnode zugemüllt sowie unleserlichen Einträgen, die wahrscheinlich nach /var/log/messages gehörten, aber nur Zeichenmüll enthielten, kaum noch zu entziffern. Es gab jedenfalls zwei /var/log/messages, nach dem Reboot begann das System eine neue. Die beiden alten sahen so aus: /var/log/messages-20001029:
Oct 25 14:19:12 p100 popper[5136]: connect from root@tux.molthagen.de (192.168.0.1) Oct 25 14:19:36 p100 isdnlog: Oct 25 14:19:36 tei 118 calling 0191011 with +49 7154/186881, Kornwestheim 146.CI 7.300 DM (after Oct 25 14:19:55 p100 popper[5137]: connect fien:32348 32349 RE: Etext version of LOTR "Von Ranke"
Sun, 15 Oct 2000 21:48:01 +0200 <8sd1fr$r8 32350 Re: Gondor? tbarrie@cs.toronto.edu (Trevor Barrie) 15 Oct 2000 19:57:14 GMT <2000Oct15.155714.1298@jarvis.cs.t 32351 Re: Gondor? "Conrad Dunkerson" Sun, 15 Oct 2000 20:58:15 GMT Sun, 15 Oct 2000 20:01:06 +0100 <8 32353 Re: OT: Anti-American Flame(TM) "Nelson and Bronte" Sun, 15 Oct 2000 16:29:40 -0400 <8 32354 Re: OT: Anti-American Flame(TM) "Conrad Dunkerson" Sun, 15 Oct 2000 21:25:15 GMT <% 32355 Re: Slightly OT Paganism and Christianity was (Re: Religion) Flame of the West Sun, 15 Oct 2000 1 32356 Re: OT: Anti-American Flame(TM) Flame of the West Sun, 15 Oct 2000 15:02:11 -0400 <39E9FF31.D2DD29E3 32357 Re: OT: Anti-American Flame(TM) Flame of the West Sun, 15 Oct 2000 14:59:45 -0400 <39E9FEA0.8B578E4D 32358 Re: OT: Anti-American Flame(TM) Flame of the West Sun, 15 Oct 2000 14:58:51 -0400 <39E9FE69.AC2D6385 <<<
/var/log/messages-20001029.gz:
Oct 23 19:41:27 p100 popper[1941]: connect from root@tux.molthagen.de (192.168.0.1) Oct 23 19:41:58 p100 isdnlog: Oct 23 19:41:58 tei 116 calling 0191011 with +49 7154/186881, Kornwestheim 85.CI 4.250 DM (after 1 Oc6 62.1556 Kornwestheim 85.CI 4.250 DM (after 1:2e (192.168.0.1) Oc6 p100 popper[1916813 p100 popper[1766]: connect from root@tux.molthagen.de (1927154/186881, Kornwestheim 85.CI 4.250 DM (after Oct 23 9g: Oct 23 19:40:58 tei 116 calling 0191011 with +49 7154/1868820.6 Oct 540]: conx.molthagen.de (192.168.0.1) Oc3iOc92.1 I=358250.c0t8nnect f122n.de Iect 8659M (91750i2 pop1 591000OTO=136: conneptux.mE226n.t5389590019100 tei23 19:20:34 p100 Oc3iOc22t@tt5 co91io503.0h819p100 pop519560019100 tei23 19:20:34 p100 32754/19:4006gen.de 3.000On615854/19:400ct f122n.de Iect onn Oct0 Oc@t pop16isdage6 68 119100 teih0019100 tei8estheim 83.CI t51mog6th817883nt1n 6M (91750i2 pop1 591000OTO=136: conneptux.mE226n.t5 Oct0 Oc@t pop13de8.0.1) Oct 23 1polt u26) Oc@t00 p81nect6503.0ot@tux.molthag967]: connect from325en.d53 50 log: ind53 <<<
Die aktuelle /var/log/messages sieht wieder ganz normal aus. Jedenfalls ging nichts mehr - ein laufender Telnet auf den Server sprach nicht mehr an, pingen ging nicht mehr, drucken nicht, kein Warmstart - von daher ist dieser heutige Absturz ganz anders als alle bisherigen. In gewisser Weise vom Regen in die Traufe... Ich muß jetzt abwarten, was weiterhin geschieht. Vielleicht war der letzte Absturz eine Ausnahme, vielleicht wird er sich wiederholen. Ich frage mich, ob ich mir irgendwie, irgendwo etwas Bösartiges eingefangen habe - eine Backdoor, ein trojanisches Pferd - und nur noch eine komplette Neuinstallation hilft... Danke jedenfalls an alle für alle Tipps und Tricks und Hinweise :-)) Grüße, Michael --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Monday, October 30, 2000 11:49 AM schrieb Michael Molthagen
Hallo Dieter, hallo allerseits,
Am 24. Oct 2000 schrieb Dieter Kluenter:
...
Ich denke mir schon, daß da der Wurm drin ist, in der Firewall...
Nicht unbedingt, koennte auch eine Netzkarte sein, oder ein
[..]
ausprobiert. Und wollte dann abwarten, was geschieht.
Nun gut. Vor allem bin ich von Linux 2.2.16-SuSE auf 2.2.14-SuSE gewech- selt. Noch ein paar Spielereien an Kernel-Config und Firewall, und der Server erreichte tatsächlich fast vier Tage Uptime.
Letzte Nacht jedoch stürzte er ab - allerdings kann ich leider nicht feststellen, wie und warum, da er die /var/log/messages vernichtet hat. Sie wurde mit Einträgen von Leafnode zugemüllt sowie unleserlichen
[..]
Die aktuelle /var/log/messages sieht wieder ganz normal aus.
Jedenfalls ging nichts mehr - ein laufender Telnet auf den Server sprach nicht mehr an, pingen ging nicht mehr, drucken nicht, kein Warmstart - von daher ist dieser heutige Absturz ganz anders als alle bisherigen. In gewisser Weise vom Regen in die Traufe...
Ich muß jetzt abwarten, was weiterhin geschieht. Vielleicht war der letzte Absturz eine Ausnahme, vielleicht wird er sich wiederholen.
Ich frage mich, ob ich mir irgendwie, irgendwo etwas Bösartiges eingefangen habe - eine Backdoor, ein trojanisches Pferd - und nur noch eine komplette Neuinstallation hilft...
Hallo halloooo, ich will ja jetzt nicht den Teufel an die Wand malen .... aber bei mir sah es heute morgen ganz aehnlich aus. Am Freitag habe ich meine 'final Version' der SuSEfirewall installiert, den Linux Server isoliert (zur Sicherheit) und uebers WE am Netz gelassen. Und siehe da - heute morgen lief nix mehr. Die /messages lag verstuemmelt auf der Console, kein ping, kein telnet, kein gar nix. Eine neue /messages hat er dann angelegt, da aber auch die Firewall messages drin stehen wird die analyse noch ein wenig dauern. Hat vielleicht jemand aehnliche Erfahrungen gemacht? Das beunruhigt mich ja doch schon ein wenig. Gruss, L@rs --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo Lars,
----- Original Message -----
From: Lars Mueller
...
ich will ja jetzt nicht den Teufel an die Wand malen .... aber bei mir sah es heute morgen ganz aehnlich aus.
Am Freitag habe ich meine 'final Version' der SuSEfirewall installiert, den Linux Server isoliert (zur Sicherheit) und uebers WE am Netz gelassen. Und siehe da - heute morgen lief nix mehr. Die /messages lag verstuemmelt auf der Console, kein ping, kein telnet, kein gar nix. Eine neue /messages hat er dann angelegt, da aber auch die Firewall messages drin stehen wird die analyse noch ein wenig dauern.
Hat vielleicht jemand aehnliche Erfahrungen gemacht? Das beunruhigt mich ja doch schon ein wenig.
Könnte es mit der Umstellung auf die Winterzeit zusammenhängen? Daß da irgend etwas die Umstellung nicht mitgemacht hat und Chaos verursachte? Nur so ein Gedanke, der mir jetzt ganz spontan kam. Für alle, die das gleiche Problem haben: Hier läuft SuSE 6.4, Kernel 2.2.14-SuSE. Grüße, Michael --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hi @ all! Michael Molthagen wrote:
Könnte es mit der Umstellung auf die Winterzeit zusammenhängen? Daß da irgend etwas die Umstellung nicht mitgemacht hat und Chaos verursachte?
Nur so ein Gedanke, der mir jetzt ganz spontan kam.
Für alle, die das gleiche Problem haben: Hier läuft SuSE 6.4, Kernel 2.2.14-SuSE.
Okay, also bei mir läuft auch 6.4 mit 2.2.14, aber bemerkt habe ich nix. Also okay. Mal ne Frage: Um wieviel Uhr sind die Rechner denn hängenge- blieben, wenn wir dieser Theorie auf den Grund gehen wollen. cu Marc Mc Guinness --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (4)
-
dkluenter@gmx.de
-
mc_guinness@gmx.de
-
michael@molthagen.de
-
suse@rodcraft.com