Meldung in der xconsole

older
Sax2 - Aerger geht echt weiter....

Mike Brumlich

11 Mar 2002 11 Mar '02

19:43

Hallo Wer kann mir erklären was die folgende Meldung auf der xconsole bedeutet: IN=ppp0 OUT= MAC= SRC= DST= LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=12345 DF PROTO=TCP SPT=1234 DPT=1234 WINDOW=1234 RES=0x00 SYN URGP=0 Diese Meldung erscheint manchmal wenn ich online bin. Ich vermute das diese Meldung von der Personal Firewall ausgegeben wird. Die IP-Adressen hinter SRC u. DST sind entfernt und die Zahlenwerte abgeändert. mfg Mike

Show replies by date

Bernd Schmelter

11 Mar 11 Mar

19:54

On Mon, Mar 11, 2002 at 08:43:22PM +0100, Mike Brumlich wrote:

...

Hallo

Wer kann mir erklären was die folgende Meldung auf der xconsole bedeutet:

IN=ppp0 OUT= MAC= SRC= DST= LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=12345 DF PROTO=TCP SPT=1234 DPT=1234 WINDOW=1234 RES=0x00 SYN URGP=0

Das Synflag zeigt eine Verbindungsanfrage von 'Aussen' via ppp0 an einen Dienst auf Port DPT an

...

Diese Meldung erscheint manchmal wenn ich online bin. Ich vermute das diese Meldung von der Personal Firewall ausgegeben wird. Die IP-Adressen hinter SRC u. DST sind entfernt und die Zahlenwerte abgeändert.

Ja, sieht ganz nach aktivierter PF aus. Eine Vielzahl solcher Meldungen findest Du in /var/log/firewall ;-)

...

mfg Mike

MfG Benn -- #250319 - http://counter.li.org

Christian Weickhmann

19:55

Hallo Mike!

...

IN=ppp0 OUT= MAC= SRC= DST= LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=12345 DF PROTO=TCP SPT=1234 DPT=1234 WINDOW=1234 RES=0x00 SYN URGP=0

Diese Meldung erscheint manchmal wenn ich online bin. Ich vermute das diese Meldung von der Personal Firewall ausgegeben wird. Die IP-Adressen hinter SRC u. DST sind entfernt und die Zahlenwerte abgeändert.

Jepp, das stimmt. Hier hat die Firewall ein Paket (vermutlich) abgefangen. Vermutlich, weil die Zeile _nicht_ vollständig ist! Vergleiche mal, wenn du willst, die Einträge mit /var/log/messages oder /var/log/firewall. Diese sollten übereinstimmen.

...

mfg Mike

Tschüss, Christian

Mike Brumlich

20:21

Am Montag, 11. März 2002 20:55 schrieb Christian Weickhmann:

...

Hallo Mike!

...
IN=ppp0 OUT= MAC= SRC= DST= LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=12345 DF PROTO=TCP SPT=1234 DPT=1234 WINDOW=1234 RES=0x00 SYN URGP=0

Diese Meldung erscheint manchmal wenn ich online bin. Ich vermute das diese Meldung von der Personal Firewall ausgegeben wird. Die IP-Adressen hinter SRC u. DST sind entfernt und die Zahlenwerte abgeändert.

Jepp, das stimmt. Hier hat die Firewall ein Paket (vermutlich) abgefangen. Vermutlich, weil die Zeile _nicht_ vollständig ist! Vergleiche mal, wenn du willst, die Einträge mit /var/log/messages oder /var/log/firewall. Diese sollten übereinstimmen.

...
mfg Mike

Tschüss, Christian

Ich habe die Einträge in den beiden Log-Datein verglichen. Sie sind identisch. Was soll den an der Zeile fehlen? Erscheint so eine Meldung auch, wenn jemand versucht meinen Rechner zu scannen (Portscan)?

Bernd Schmelter

20:38

On Mon, Mar 11, 2002 at 09:21:55PM +0100, Mike Brumlich wrote:

...

Am Montag, 11. März 2002 20:55 schrieb Christian Weickhmann:

...
Hallo Mike!

[...]

...

identisch. Was soll den an der Zeile fehlen? Erscheint so eine Meldung auch, wenn jemand versucht meinen Rechner zu scannen (Portscan)?

Ja Zu diesen Fragen ist folgender Link immer gut ;-) http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html MfG Benn -- #250319 - http://counter.li.org

Manfred Tremmel

22:09

Am Montag, 11. März 2002 20:43 schrieb Mike Brumlich:

...

Wer kann mir erklären was die folgende Meldung auf der xconsole bedeutet:

IN=ppp0 OUT= MAC= SRC= DST= LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=12345 DF PROTO=TCP SPT=1234 DPT=1234 WINDOW=1234 RES=0x00 SYN URGP=0

Diese Meldung erscheint manchmal wenn ich online bin. Ich vermute das diese Meldung von der Personal Firewall ausgegeben wird. Die IP-Adressen hinter SRC u. DST sind entfernt und die Zahlenwerte abgeändert.

Ohne die wirklichen Ports wird Dir keiner weiterhelfen können (1234 ist übrigens search-agent, das sind wohl die Dinger, die Suchmaschinen auf die Reise schicken). In jedem Fall ist es ein Zugriffsversuch von aussen auf Deinen Rechner, was aber nicht unbedingt ein Angriff sein muß. Gerade bei dynamischer IP-Vergabe kann sowas aus ner Verbindung Deines Vorgängers herrühren. -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ Manfred | http://www.knightsoft-net.de

Mike Brumlich

14 Mar 14 Mar

16:56

Hallo, wer wird aus der folgenden Meldung, die auf der xconsole ausgegeben wird, schlau ? IN=ppp0 OUT= MAC= SRC=217.226.55.121 DST=213.7.66.117 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=63175 DF PROTO=TCP SPT=3047 DPT=27374 WINDOW=8760 RES=0x00 SYN URGP=0 Aus den letzten Antworten ging hervor, daß es sich bei Meldung um einen Zugriffsversuch von Außen auf meinen Rechner handelt. Wer kann mir genauere Angaben zu dieser Meldung machen? Was bedeuten die einzelnen Angaben? Gruß Mike

Dieter Kluenter

19:23

Mike Brumlich writes:

...

Hallo,

wer wird aus der folgenden Meldung, die auf der xconsole ausgegeben wird, schlau ? IN=ppp0 OUT= MAC= SRC=217.226.55.121 DST=213.7.66.117 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=63175 DF PROTO=TCP SPT=3047 DPT=27374 WINDOW=8760 RES=0x00 SYN URGP=0

Aus den letzten Antworten ging hervor, daß es sich bei Meldung um einen Zugriffsversuch von Außen auf meinen Rechner handelt. Wer kann mir genauere Angaben zu dieser Meldung machen? Was bedeuten die einzelnen Angaben?

IN=ppp0 Eingang OUT= nichts MAC= MediaAccessControl SRC=217.226.55.121 Quelladresse DST=213.7.66.117 Zieladresse LEN=48 Länge TOS=0x00 TypeOfService PREC=0x00 k.A. TTL=123 TimeToLive ID=63175 Identity DF = Don't Fragment PROTO=TCP Protocol tcp SPT=3047 Source Port 3047 (Quellport) DPT=27374 Destination Port (Zielport) WINDOW=8760 Windowgröße in bytes (seltsame Groesse) RES=0x00 Reset SYN Synchronize (aktiver Verbindungsaufnahme) URGP=0 Urgent Pointer Einiges ist sehr seltsam. Type of Service in Verbindung mit tcp ist ein Hinweis aus eine Nameserver Anfrage, dagegen spricht der Zielport, daher resultiert womoeglich auch das Reset, da die Verbindungsaufnahme nicht interpretiert werden konnte. Der Urgend Pointer könnte auch so interpretiert werden, dass ein Paket erneut geliefert werden soll. Die Windowgröße von 8760 ist unüblich, eigentlich sollte es 8192 oder ein vielfaches davon sein. Ich vermute mal, da wollte dir einer einen Weihnachtsbaum senden. Näheres kann man aber so nicht sagen, da nicht zu erkennen ist, wie die Datenpakete geflossen sind. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour

Michael Raab

19:44

Hallo, at 14 Mar 2002 20:23:46 +0100 Dieter Kluenter wrote:

...

Mike Brumlich writes:

...
wer wird aus der folgenden Meldung, die auf der xconsole ausgegeben wird, schlau ? IN=ppp0 OUT= MAC= SRC=217.226.55.121 DST=213.7.66.117 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=63175 DF PROTO=TCP SPT=3047 DPT=27374 WINDOW=8760 RES=0x00 SYN URGP=0

[ ... ]

DPT=27374 Destination Port (Zielport)

[ ... ]

Ich vermute mal, da wollte dir einer einen Weihnachtsbaum senden. Näheres kann man aber so nicht sagen, da nicht zu erkennen ist, wie die Datenpakete geflossen sind.

Das ist ein Typischer Scan auf den Trojaner Sub Seven, der in der Windowswelt recht häufig vorkommt. Gruß Michael -- Homepage temporarily out of order Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE http://counter.li.org GNU GPG-Key ID 22C51B8D0140F88B ICQ #151172379 ++ Webdesign ++ PHP Development ++

Juergen Schwarting

15 Mar 15 Mar

07:54

Hallo_{Michael,Dieter,Mike}, * Am 14.03.2002 um 20:44 Uhr schrieb Michael Raab:

...

at 14 Mar 2002 20:23:46 +0100 Dieter Kluenter wrote:

...
Mike Brumlich writes:

...
wer wird aus der folgenden Meldung, die auf der xconsole ausgegeben wird, schlau ? IN=ppp0 OUT= MAC= SRC=217.226.55.121 DST=213.7.66.117 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=63175 DF PROTO=TCP SPT=3047 DPT=27374 WINDOW=8760 RES=0x00 SYN URGP=0 DPT=27374 Destination Port (Zielport)

Das ist ein Typischer Scan auf den Trojaner Sub Seven, der in der Windowswelt recht häufig vorkommt.

auf Port 27374 könnte aber auch 'BackDoor-G' horchen... Eine TTL von 123 deutet auf ein Windows-System hin. siehe hierzu auch den interessanten Artikel im Linux-Magazin: Viola Bräuer "Betriebssysteme an ihrem Fingerabdruck im Netz erkennen" www.linux-magazin.de/ausgabe/2002/03/hostfingerprint/hostfinger.html Jürgen -- Irren ist menschlich - um die Lage wirklich ekelhaft zu machen, benötigt man schon einen Computer. / Registered Linux-User #130804 http://counter.li.org \ \ Linux Stammtisch Bremerhaven http://linux.hs-bremerhaven.de /

Michael Raab

08:46

Hallo, at Fri, 15 Mar 2002 08:54:57 +0100 Juergen Schwarting wrote:

...

* Am 14.03.2002 um 20:44 Uhr schrieb Michael Raab:

...
at 14 Mar 2002 20:23:46 +0100 Dieter Kluenter wrote:

...
Mike Brumlich writes:

...
wer wird aus der folgenden Meldung, die auf der xconsole ausgegeben wird, schlau ? IN=ppp0 OUT= MAC= SRC=217.226.55.121 DST=213.7.66.117 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=63175 DF PROTO=TCP SPT=3047 DPT=27374 WINDOW=8760 RES=0x00 SYN URGP=0 DPT=27374 Destination Port (Zielport)

Das ist ein Typischer Scan auf den Trojaner Sub Seven, der in der Windowswelt recht häufig vorkommt.

auf Port 27374 könnte aber auch 'BackDoor-G' horchen... Eine TTL von 123 deutet auf ein Windows-System hin.

Das ist natürlich auch möglich. Für Windows Rechner gibt es ein Portscanner. Und die Scriptkiddies Scannen manchmal bis die Leitung raucht. Über solche Scans lach ich nur, da die bei mir eh nix bewirken, auch zu meinen Windowszeiten nicht. ;)

...

siehe hierzu auch den interessanten Artikel im Linux-Magazin:

Viola Bräuer "Betriebssysteme an ihrem Fingerabdruck im Netz erkennen"

Der ist Wirklich interessant. Der genetische Fingerabdruck eines Pinguin. *lol* Gruß Michael -- Homepage http://macbyte.info/ Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE http://counter.li.org GNU GPG-Key ID 22C51B8D0140F88B ICQ #151172379 ++ Webdesign ++ PHP Development ++

Mike Brumlich

19:32

Am Freitag, 15. März 2002 08:54 schrieb Juergen Schwarting:

...

Hallo_{Michael,Dieter,Mike},

* Am 14.03.2002 um 20:44 Uhr schrieb Michael Raab:

...
at 14 Mar 2002 20:23:46 +0100 Dieter Kluenter wrote:

...
Mike Brumlich writes:

...
wer wird aus der folgenden Meldung, die auf der xconsole ausgegeben wird, schlau ? IN=ppp0 OUT= MAC= SRC=217.226.55.121 DST=213.7.66.117 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=63175 DF PROTO=TCP SPT=3047 DPT=27374 WINDOW=8760 RES=0x00 SYN URGP=0

DPT=27374 Destination Port (Zielport)

Das ist ein Typischer Scan auf den Trojaner Sub Seven, der in der Windowswelt recht häufig vorkommt.

auf Port 27374 könnte aber auch 'BackDoor-G' horchen... Eine TTL von 123 deutet auf ein Windows-System hin.

siehe hierzu auch den interessanten Artikel im Linux-Magazin:

Viola Bräuer "Betriebssysteme an ihrem Fingerabdruck im Netz erkennen"

www.linux-magazin.de/ausgabe/2002/03/hostfingerprint/hostfinger.html

Jürgen

Danke für die Klärung meiner Frage. Den Artikel werde ich mir bei Gelegenheit mal ansehen. Ist es möglich, daß ein Trojaner, wenn er auf meiner Windowspartition ist, über mein Linuxsystem Zugriff auf diese Partition erhält? Und wen ja, welche Abwehrmaßnahmen kann ich ergreifen um so etwas zu unterbinden? Gruß Mike

Sebastian Wolfgarten

19:37

Hallo Mike, mögliche Gegenmaßnahmen sind u.a. die Installation von PortSentry. Diese Software gibts u.a. auf www.psionic.com und ich habe auch meiner kleinen privaten Website www.wolfgarten.com darüber nen kleines Howto geschrieben... Gruß Sebastian

Juergen Schwarting

16 Mar 16 Mar

10:17

Hallo Mike, * Am 15.03.2002 um 20:32 Uhr schrieb Mike Brumlich:

...

Ist es möglich, daß ein Trojaner, wenn er auf meiner Windowspartition ist, über mein Linuxsystem Zugriff auf diese Partition erhält? Und wen ja, welche Abwehrmaßnahmen kann ich ergreifen um so etwas zu unterbinden?

die beste Abwehr hast Du bereits aktiviert: Linux ;-) Solange Du den Trojaner nicht startest besteht auch keine Gefahr. Jürgen -- Eine Smith & Wesson uebertrumpft vier Asse. / Registered Linux-User #130804 http://counter.li.org \ \ Linux Stammtisch Bremerhaven http://linux.hs-bremerhaven.de /

Manfred Tremmel

15 Mar 15 Mar

20:22

Am Donnerstag, 14. März 2002 17:56 schrieb Mike Brumlich:

...

Hallo,

wer wird aus der folgenden Meldung, die auf der xconsole ausgegeben wird, schlau ?

Die Macadresse, IP-Adresse, von der des Devices, wohl aus der Zugriff er- nur im Lokalen folgte Netz gefüllt Länge des Pakets | | |

...

IN=ppp0 OUT= MAC= SRC=217.226.55.121 DST=213.7.66.117 LEN=48 TOS=0x00 | | | | Device, Device Ziel-Adresse, müsste Type Of über die bei aus- also Deine IP-Adresse Service der ein- gehenden im Internet sein des IP- gehende Zugriffen pakets Zugriff (hier leer, erfolgt also wars eine ein- gehende

Sorry, da Identifikations Port, von dem das Paket muß ich jetzt Nummer des Pakets ausging, laut /etc/services echt passen Fast Scurity HL Server | | |

...

PREC=0x00 TTL=123 ID=63175 DF PROTO=TCP SPT=3047 DPT=27374 | | | Time To Live Eintrag Protokoll Port auf Deinem des IP-Pakets (wie Rechner, dürfte Lang das Ding durchs ein beliebiger Netz jagen darf, ohne HighPort sein. seine Gültigkeit zu verlieren)

Bei den dreien hier muß ich im Moment auch passen. | | |

...

WINDOW=8760 RES=0x00 SYN URGP=0 | SYN-Bit ist gesetzt, das bedeutet, es war der Versuch eines Verbindungsaufbaus, keine Antwort auf eine Anfrage von Deinem Rechner

...

Aus den letzten Antworten ging hervor, daß es sich bei Meldung um einen Zugriffsversuch von Außen auf meinen Rechner handelt.

So siehts nach wie vor aus, das SYN Flag ist immer beim Aufbauversuch einer Verbindung gesetzt, da mir Port 3047 im Moment leider auch nichts sagt, muß ich allerdings bei der genauen Bedeutung passen. Vielleicht weiß ja jemand mehr... -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ Manfred | http://www.knightsoft-net.de

Michael Raab

22:01

Hallo, at Fri, 15 Mar 2002 21:22:06 +0100 Manfred Tremmel wrote:

...

Am Donnerstag, 14. März 2002 17:56 schrieb Mike Brumlich:

...
Aus den letzten Antworten ging hervor, daß es sich bei Meldung um einen Zugriffsversuch von Außen auf meinen Rechner handelt.

So siehts nach wie vor aus, das SYN Flag ist immer beim Aufbauversuch einer Verbindung gesetzt, da mir Port 3047 im Moment leider auch nichts sagt, muß ich allerdings bei der genauen Bedeutung passen. Vielleicht weiß ja jemand mehr...

Das ist irgendein Windows Portscanner. Es kann sein, das beim nächsten Versuch der Sourceport ein anderer ist. Der Kanditat hat mit 99%tiger Sicherheit nach einem Subseven Trojaner gesucht. Und da dieser "Angriff" von Deiner Firewall geblockt worden ist, brauchts Du Dir keinen Kopp machen. Und wenn Du nur Linux einsetzt kann dieser am Allerwertesten vorbei gehen. Schau mal bei http://www.it-secure-x.de/ vorbei. Im Forum dort beschäftigen sich die Teilnehmer nur mit dem Thema Sciherheit und Privacy. Meines erachtens einwenig Übertrieben. Gruß Michael -- Homepage http://macbyte.info/ Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE http://counter.li.org GNU GPG-Key ID 22C51B8D0140F88B ICQ #151172379 ++ Webdesign ++ PHP Development ++

8078

Age (days ago)

8083

Last active (days ago)

List overview

Download

15 comments

8 participants

participants (8)

Bernd Schmelter
Christian Weickhmann
Dieter Kluenter
Juergen Schwarting
Manfred Tremmel
Michael Raab
Mike Brumlich
Sebastian Wolfgarten