Hallo, heute vormittag spuckte scanlogd zwei Meldungen aus, mit denen ich nichts anfangen kann: -------------------------------8<------------------------------ Jan 13 10:44:50 localhost scanlogd: 192.168.0.22 to 212.227.119.103 ports 62916, 62920, 62921, 62923, 62929, 62937, ..., ??r??uxy, TOS 00, TTL 64 @10:44:32 [...] Jan 13 10:45:39 localhost scanlogd: 192.168.0.22 to 212.227.119.103 ports 63167, 63171, 63174, 63176, 63179, 63181, ..., ??r??uxy, TOS 00, TTL 64 @10:45:27 ------------------------------->8------------------------------- Bei 192.168.0.22 handelt es sich uebrigens um eth0. Weitere auffaellige Eintraege lassen sich in den diversen log-Dateien nicht finden, wobei wegen eines Fehlers meinerseits leider in den letzten Tagen kein apache.transfer_log geschrieben wurde. Beste Gruesse, Heinz. -- http://www.pahlke-online.de/reisenews/ http://www.Pahlke-KunstWebDesign.de/
Am Dienstag, 13. Januar 2004 22:20 schrieb Heinz W. Pahlke:
-------------------------------8<------------------------------
Jan 13 10:44:50 localhost scanlogd: 192.168.0.22 to 212.227.119.103 ports 62916, 62920, 62921, 62923, 62929, 62937, ..., ??r??uxy, TOS 00, TTL 64 @10:44:32 [...] Jan 13 10:45:39 localhost scanlogd: 192.168.0.22 to 212.227.119.103 ports 63167, 63171, 63174, 63176, 63179, 63181, ..., ??r??uxy, TOS 00, TTL 64 @10:45:27
------------------------------->8-------------------------------
solche Einträge habe ich immer, wenn ich mich selber mit nmap scanne und mit den optionen ein wenig rumspiele. cu stonki -- www.stonki.de: the more I see, the more I know....... www.proftpd.de: Deutsche ProFTPD Dokumentation www.krename.net: Der Batch Renamer für KDE www.kbarcode.net: Die Barcode Solution für KDE
Hallo, On 13-Jan-2004 Stefan Onken wrote:
Am Dienstag, 13. Januar 2004 22:20 schrieb Heinz W. Pahlke:
-------------------------------8<------------------------------
Jan 13 10:44:50 localhost scanlogd: 192.168.0.22 to 212.227.119.103 ports 62916, 62920, 62921, 62923, 62929, 62937, ..., ??r??uxy, TOS 00, TTL 64 @10:44:32 [...] Jan 13 10:45:39 localhost scanlogd: 192.168.0.22 to 212.227.119.103 ports 63167, 63171, 63174, 63176, 63179, 63181, ..., ??r??uxy, TOS 00, TTL 64 @10:45:27
------------------------------->8-------------------------------
solche Einträge habe ich immer, wenn ich mich selber mit nmap scanne und mit den optionen ein wenig rumspiele.
Dass hier Zugriffsversuche (?) stattfanden, ist schon klar. Nur ich selber habe nichts in der Richtung getan. Da bin ich mir ausnahmesweise sicher, weil ich zu der Zeit mit Hochdruck an der Fertigstellung eines Kundenauftrags gearbeitet habe. Inzwischen habe ich mal mit google nach "uxy TOS 00 TTL 64" gesucht. Hat mich aber leider auch nicht schlauer gemacht. Beste Gruesse, Heinz. -- http://www.pahlke-online.de/reisenews/ http://www.Pahlke-KunstWebDesign.de/
Am Dienstag, 13. Januar 2004 23:06 schrieb Heinz W. Pahlke:
hdruck an der Fertigstellung eines Kundenauftrags gearbeitet habe.
passives FTP ? Wenn Du SEHR Viele kleine Dateien verschiebst, kann das ähnliche Effekte haben .. cu stonki -- www.stonki.de: the more I see, the more I know....... www.proftpd.de: Deutsche ProFTPD Dokumentation www.krename.net: Der Batch Renamer für KDE www.kbarcode.net: Die Barcode Solution für KDE
Hallo, On 13-Jan-2004 Stefan Onken wrote:
Am Dienstag, 13. Januar 2004 23:06 schrieb Heinz W. Pahlke:
hdruck an der Fertigstellung eines Kundenauftrags gearbeitet habe.
passives FTP ? Wenn Du SEHR Viele kleine Dateien verschiebst, kann das ähnliche Effekte haben ..
Waren aber nur ein Dutzend Dateien mit jeweils 10 bis 15 KB. Beste Gruesse, Heinz. -- http://www.pahlke-online.de/reisenews/ http://www.Pahlke-KunstWebDesign.de/
Hallo Heinz, Am Die, den 13.01.2004 schrieb Heinz W. Pahlke um 23:06: ...
Dass hier Zugriffsversuche (?) stattfanden, ist schon klar. Nur ich selber habe nichts in der Richtung getan. Da bin ich mir ausnahmesweise sicher, weil ich zu der Zeit mit Hochdruck an der Fertigstellung eines Kundenauftrags gearbeitet habe.
Inzwischen habe ich mal mit google nach "uxy TOS 00 TTL 64" gesucht. Hat mich aber leider auch nicht schlauer gemacht.
Hast Du mal in die /etc/services reingesehen und die ports abgeglichen, die im log aufgelistet sind? Grüße, Tobias
Hallo, On 13-Jan-2004 Tobias Weisserth wrote:
Hast Du mal in die /etc/services reingesehen und die ports abgeglichen, die im log aufgelistet sind?
Ja, aber bei 49151 ist dort Schluss bzw. es folgt nur noch 50000. Ansonsten heisst es nur, dass es sich bei den ports "from 49152 through 65535" um "Dynamic and/or Private Ports" handelt. Beste Gruesse, Heinz. -- http://www.pahlke-online.de/reisenews/ http://www.Pahlke-KunstWebDesign.de/
Hallo Heinz,
"Heinz W. Pahlke"
Hallo,
heute vormittag spuckte scanlogd zwei Meldungen aus, mit denen ich nichts anfangen kann:
-------------------------------8<------------------------------
Jan 13 10:44:50 localhost scanlogd: 192.168.0.22 to 212.227.119.103 ports 62916, 62920, 62921, 62923, 62929, 62937, ..., ??r??uxy, TOS 00, TTL 64 @10:44:32 [...] Jan 13 10:45:39 localhost scanlogd: 192.168.0.22 to 212.227.119.103 ports 63167, 63171, 63174, 63176, 63179, 63181, ..., ??r??uxy, TOS 00, TTL 64 @10:45:27
------------------------------->8-------------------------------
Bei 192.168.0.22 handelt es sich uebrigens um eth0.
TOS steht für Type Of Service, 00, eigentlich 0x00, wird von ICMP benutzt, also Internet Control Message Protocol, du hast wohl in deinen Paketfilter Regeln ein Reject oder ähnliches, stehen, so daß dein Host einkommende, unerlaubte Pakete, mit einer ICMP Meldung ablehnt. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
Hallo, On 13-Jan-2004 Dieter Kluenter wrote:
TOS steht für Type Of Service, 00, eigentlich 0x00, wird von ICMP benutzt, also Internet Control Message Protocol, du hast wohl in deinen Paketfilter Regeln ein Reject oder ähnliches, stehen, so daß dein Host einkommende, unerlaubte Pakete, mit einer ICMP Meldung ablehnt.
Die Doku zum Router (Devolo Microlink Lan Router) ist nicht so sehr ergiebig bzw. ich missverstehe sie moeglicherweise auch, jedenfalls ist eine einfache Firewall (oder besser vermutlich ein Paketfilter) integriert. Wenn ich den noetigen Platz haette, haette ich mir lieber einen Linuxrechner als Router hingestellt. Aber so muss ich eben mit den Vorgaben von Devolo leben. Beste Gruesse, Heinz. -- http://www.pahlke-online.de/reisenews/ http://www.Pahlke-KunstWebDesign.de/
hallo Heinz,
"Heinz W. Pahlke"
Hallo,
On 13-Jan-2004 Dieter Kluenter wrote:
TOS steht für Type Of Service, 00, eigentlich 0x00, wird von ICMP benutzt, also Internet Control Message Protocol, du hast wohl in deinen Paketfilter Regeln ein Reject oder ähnliches, stehen, so daß dein Host einkommende, unerlaubte Pakete, mit einer ICMP Meldung ablehnt.
Die Doku zum Router (Devolo Microlink Lan Router) ist nicht so sehr ergiebig bzw. ich missverstehe sie moeglicherweise auch, jedenfalls ist eine einfache Firewall (oder besser vermutlich ein Paketfilter) integriert. Wenn ich den noetigen Platz haette, haette ich mir lieber einen Linuxrechner als Router hingestellt. Aber so muss ich eben mit den Vorgaben von Devolo leben.
Man kann ja damit leben und auf den Linuxrechnern noch zusätzliche Paketfiler installieren (gemeinhin als Firewall bezeichnet). Übrigens TTL steht natürlich für Time To Live, also ein Wert für die Gültigkeitsdauer des Datenpaketes. Noch mal einige prinzipielle Aussagen zu geloggten Meldungen. 1. alles was geloggt wird ist gut, denn das ist nur ein Hinweis, das da etwas unerlaubtes beabsichtigt wurde. 2. Pakete von einem Highport an einen Highport, also alles über 1023, sind meistens ungefährlich, denn der Service der von diesen Ports genutzt wird,kann unterschiedlich sein. Es sei denn, du hast dir einen Trojaner eingefangen, der dann an dem definierten Highport lauscht. Meine Logdatei ist voll von versuchten Kontaktaufnahmen, vorzugsweise an die Ports 135, 137, 4262. Also schlecht konfigurierte Windowsclients die ihren Wins-Server suchen und Edonkey, wobei Edonkey nicht direkt gefährlich ist, aber in Sekundenabständen ein Paket mit einem SYN Bit (synchronize) sendet, das führt dann dazu, daß jedesmal mit einer Reject ICMP geantwortet wird. Ich habe es schon erlebt, daß so ein Blödel mir 24 Stunden eine ISDN-Leitung offen hielt, mit entsprechend hohen Entgelten am Monatsende. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
Hallo Dieter, On 14-Jan-2004 Dieter Kluenter wrote:
Man kann ja damit leben und auf den Linuxrechnern noch zusätzliche Paketfiler installieren (gemeinhin als Firewall bezeichnet). Übrigens
Das wird wohl das naechste grosse Thema sein, mit dem ich mich beschaeftigen muss. Hier liegt zwar seit ewigen Zeiten "Linux Firewalls" von M&T im Regal, aber das basiert noch auf ipchains :-( Aber vielleicht ist ein Einstieg mit der suse-firewall2 ja nicht der schlechteste Weg.
TTL steht natürlich für Time To Live, also ein Wert für die Gültigkeitsdauer des Datenpaketes. Noch mal einige prinzipielle Aussagen zu geloggten Meldungen. 1. alles was geloggt wird ist gut, denn das ist nur ein Hinweis, das da etwas unerlaubtes beabsichtigt wurde.
Beruhigend.
2. Pakete von einem Highport an einen Highport, also alles über 1023, sind meistens ungefährlich, denn der Service der von diesen Ports genutzt wird,kann unterschiedlich sein. Es sei denn, du hast dir einen Trojaner eingefangen, der dann an dem definierten Highport lauscht.
Kann ich hoffentlich ausschliessen.
Meine Logdatei ist voll von versuchten Kontaktaufnahmen, vorzugsweise an die Ports 135, 137, 4262. Also schlecht konfigurierte Windowsclients die ihren Wins-Server suchen und Edonkey, wobei
Solche Meldungen habe ich hier auch immer wieder. Bloss die zitierte wich doch deutlich von diesen ab.
Edonkey nicht direkt gefährlich ist, aber in Sekundenabständen ein Paket mit einem SYN Bit (synchronize) sendet, das führt dann dazu, daß jedesmal mit einer Reject ICMP geantwortet wird. Ich habe es schon erlebt, daß so ein Blödel mir 24 Stunden eine ISDN-Leitung offen hielt, mit entsprechend hohen Entgelten am Monatsende.
Deshalb gab es bis vor kurzem hier auch kein dial on demand, weder mit ISDN noch mit DSL. Bloss mit einem Router, an dem mehrere Rechner haengen, scheint nichts anderes zu gehen als dial on demand. Oder kennt jemand eine Moeglichkeit, wie man einen Linuxrechner bei nicht benoetigter Verbindung nach aussen wirklich abschotten kann? Beste Gruesse, Heinz. -- http://www.pahlke-online.de/reisenews/ http://www.Pahlke-KunstWebDesign.de/
participants (4)
-
Dieter Kluenter
-
Heinz W. Pahlke
-
Stefan Onken
-
Tobias Weisserth