In meiner /var/log/messages entdeckte ich solcher Eindräge: Sep 16 22:50:01 Server ippl: port 1243 connection attempt from 217.0.3.196 Sep 16 22:50:01 Server kernel: Packet log: input ACCEPT ippp0 PROTO=6 217.0.3.196:4764 217.0.149.24:1243 L=48 S=0x00 I=54671 F=0x4000 T=123 SYN (#39) Sep 16 22:50:01 Server ippl: port 1243 connection attempt from 217.0.3.196 Sep 16 22:50:01 Server kernel: Packet log: input ACCEPT ippp0 PROTO=6 217.0.3.196:4764 217.0.149.24:1243 L=48 S=0x00 I=64143 F=0x4000 T=123 SYN (#39) Sep 16 22:50:02 Server kernel: Packet log: input ACCEPT ippp0 PROTO=6 217.0.3.196:4764 217.0.149.24:1243 L=48 S=0x00 I=64911 F=0x4000 T=123 SYN (#39) Sep 16 22:50:02 Server ippl: port 1243 connection attempt from 217.0.3.196 Sep 16 22:50:02 Server kernel: Packet log: input ACCEPT ippp0 PROTO=6 217.0.3.196:4764 217.0.149.24:1243 L=48 S=0x00 I=400 F=0x4000 T=123 SYN (#39) Sep 16 22:50:02 Server ippl: port 1243 connection attempt from 217.0.3.196 Kann es sein, das jemand mit der IP 217.0.3.196 meinen Port 1243 gescannt hat? Für was ist dieser Port zuständig? In /etc/services finde ich diesen Port nicht. Kann mir da vielleicht jemand weiterhelfen? Gruss Jürgen
Jürgen Fahnenschreiber wrote:
In meiner /var/log/messages entdeckte ich solcher Eindräge:
Sep 16 22:50:01 Server ippl: port 1243 connection attempt from 217.0.3.196 Sep 16 22:50:01 Server kernel: Packet log: input ACCEPT ippp0 PROTO=6 217.0.3.196:4764 217.0.149.24:1243 L=48 S=0x00 I=54671 F=0x4000 T=123 SYN (#39) Sep 16 22:50:01 Server ippl: port 1243 connection attempt from 217.0.3.196 Sep 16 22:50:01 Server kernel: Packet log: input ACCEPT ippp0 PROTO=6 217.0.3.196:4764 217.0.149.24:1243 L=48 S=0x00 I=64143 F=0x4000 T=123 SYN (#39) Sep 16 22:50:02 Server kernel: Packet log: input ACCEPT ippp0 PROTO=6 217.0.3.196:4764 217.0.149.24:1243 L=48 S=0x00 I=64911 F=0x4000 T=123 SYN (#39) Sep 16 22:50:02 Server ippl: port 1243 connection attempt from 217.0.3.196 Sep 16 22:50:02 Server kernel: Packet log: input ACCEPT ippp0 PROTO=6 217.0.3.196:4764 217.0.149.24:1243 L=48 S=0x00 I=400 F=0x4000 T=123 SYN (#39) Sep 16 22:50:02 Server ippl: port 1243 connection attempt from 217.0.3.196
Kann es sein, das jemand mit der IP 217.0.3.196 meinen Port 1243 gescannt hat? Für was ist dieser Port zuständig? In /etc/services finde ich diesen Port nicht.
Port ---- 1243 - BackDoor-G, SubSeven, SubSeven Apocalypse, Tiles schau doch mal bei http://www.eckertweb.de/hackingschutz/trojaner/subseven/trojaner_sub_seven_2... vorbei Daniel
----- Original Message -----
From: "Jürgen Fahnenschreiber"
In meiner /var/log/messages entdeckte ich solcher Eindräge:
Sep 16 22:50:01 Server ippl: port 1243 connection attempt from 217.0.3.196 Sep 16 22:50:01 Server kernel: Packet log: input ACCEPT ippp0 PROTO=6 217.0.3.196:4764 217.0.149.24:1243 L=48 S=0x00 I=54671 F=0x4000 T=123 SYN (#39) (...) Kann es sein, das jemand mit der IP 217.0.3.196 meinen Port 1243 gescannt hat?
Ja und deine Firewall hat nach Regel 39 der INPUT-Chain dieses Paket zum Verbindungsaufbau durchgelassen.
Für was ist dieser Port zuständig? In /etc/services finde ich diesen Port nicht.
Lt. http://www.robertgraham.com/pubs/firewall-seen.html#port1243 wird dieser Port in der Regel von sub7 benutzt.
Kann mir da vielleicht jemand weiterhelfen?
Kontrollier mal mittels netstat -plan / lsof -i ob ein Programm auf deinem Rechner auf dem Port 1243 lauscht. bye lars.
Am Montag, 17. September 2001 17:00 schriebst Du:
----- Original Message ----- From: "Jürgen Fahnenschreiber"
To: Sent: Monday, September 17, 2001 4:15 PM Subject: Was für ein Port? In meiner /var/log/messages entdeckte ich solcher Eindräge:
Sep 16 22:50:01 Server ippl: port 1243 connection attempt from 217.0.3.196 Sep 16 22:50:01 Server kernel: Packet log: input ACCEPT ippp0 PROTO=6 217.0.3.196:4764 217.0.149.24:1243 L=48 S=0x00 I=54671 F=0x4000 T=123 SYN (#39) (...) Kann es sein, das jemand mit der IP 217.0.3.196 meinen Port 1243 gescannt hat?
Ja und deine Firewall hat nach Regel 39 der INPUT-Chain dieses Paket zum Verbindungsaufbau durchgelassen.
Für was ist dieser Port zuständig? In /etc/services finde ich diesen Port nicht.
Lt. http://www.robertgraham.com/pubs/firewall-seen.html#port1243 wird dieser Port in der Regel von sub7 benutzt.
Kann mir da vielleicht jemand weiterhelfen?
Kontrollier mal mittels netstat -plan / lsof -i ob ein Programm auf deinem Rechner auf dem Port 1243 lauscht.
bye lars. Wenn ich den Befehl netstat -plan / Isof -i eingebe, erhalte ich folgende Ausgabe:
Server:~ # netstat -plan / Isof -i Kernel Interface table Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg dummy 1500 0 0 0 0 0 0 0 0 0 BO eql 576 0 0 0 0 0 0 0 0 0 m eth0 1500 0 104 0 0 0 4 0 0 0 BMRU gre0 1476 0 0 0 0 0 0 0 0 0 O ippp0 1500 0 46531 0 0 0 47353 0 0 0 dOPRU lo 16436 0 38 0 0 0 38 0 0 0 LRU plip0 1500 0 0 0 0 0 0 0 0 0 OP sit0 1480 0 0 0 0 0 0 0 0 0 O tunl0 1480 0 0 0 0 0 0 0 0 0 O Server:~ # Wie bzw. wo kann ich einstellen, das solche Pakete nicht mehr durchgelasen werden? Gruss, Jürgen
----- Original Message -----
From: "Jürgen Fahnenschreiber"
Server:~ # netstat -plan / Isof -i
Ähm, das waren zwei Kommandos, also bash> netstat -plan bash> lsof -i
Kernel Interface table Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg dummy 1500 0 0 0 0 0 0 0 0 0 BO (...) tunl0 1480 0 0 0 0 0 0 0 0 0 O Server:~ #
Wie bzw. wo kann ich einstellen, das solche Pakete nicht mehr durchgelasen werden?
Auch wenn es sich jetzt blöd anhört, rtm! Gerade bei einer Firewall sollte der Administrator wissen, was passiert. Deswegen raten viele auch von den Suse-Firewall Skripten ab, weil sie durch ihre Komplexität nicht leicht zu durchschauen sind. Das Logging deutet auf ipchains hin, also falls du Kernel 2.2 benutzt, sieh dir das ipchains HowTo an. Falls du Kernel 2.4 benutzt, solltest du dir auf alle Fälle iptables (http://netfilter.samba.org mit den entsprechenden HowTos http://www.netcologne.de/~meberg/netfilter/) anschauen, da die Erstellung der Regeln für eine Firewall imho logischer erfolgt und man mit dem stateful Paketfilter auch eine bessere Sicherheit erhalten kann, allerdings nur, wenn man weiß was man tut. bye lars.
Kann es sein, das jemand mit der IP 217.0.3.196 meinen Port 1243 gescannt hat? Für was ist dieser Port zuständig? In /etc/services finde ich diesen Port nicht. Kann mir da vielleicht jemand weiterhelfen? Gruss Jürgen
Port 1243 ist mir eigentlich nur als Standard-Einstellung von SubSeven bekannt... MfG, Christian
Hallo, at Monday 17.09.2001 (16:15 +0200), Jürgen Fahnenschreiber wrote:
Kann es sein, das jemand mit der IP 217.0.3.196 meinen Port 1243 gescannt hat? Für was ist dieser Port zuständig? In /etc/services finde ich diesen Port nicht. Kann mir da vielleicht jemand weiterhelfen?
Ich kann Dir nur folgende Tips geben. Um zu testen, welche Ports bei Dir offen sind, gehst Du am besten auf die Seite http://www.lfd.niedersachsen.de/ . Dort findest Du unter --> Technik --> Selbsttest einen Selbsttest, der Dir alle Ports scannt. Wahlweise nur die Wellknown Ports oder alle. Unter der Seite http://www.trojaner-info.de/inhalt.shtml findest Du alle bekannten Trojaner und auf welchen Ports sie lauschen. Gruß Michael -- Phone/Fax +49 7000 MACBYTE (+49 7000-6222983) // Registered Linux User #228306 HomePage http://www.macbyte-computing.de/ PGP-Key http://www.macbyte-computing.de/shared/mykey.pkr ++ CGI-Hosting ++ Domains ++ Webspace ++ PHP Development ++
Hallo, On Monday 17 September 2001 16:15, Jürgen Fahnenschreiber wrote:
In meiner /var/log/messages entdeckte ich solcher Eindräge:
Sep 16 22:50:01 Server ippl: port 1243 connection attempt from 217.0.3.196 Sep 16 22:50:01 Server kernel: Packet log: input ACCEPT ippp0 PROTO=6 217.0.3.196:4764 217.0.149.24:1243 L=48 S=0x00 I=54671 F=0x4000 T=123 SYN (#39) Sep 16 22:50:01 Server ippl: port 1243 connection attempt from 217.0.3.196 Sep 16 22:50:01 Server kernel: Packet log: input ACCEPT ippp0 PROTO=6 217.0.3.196:4764 217.0.149.24:1243 L=48 S=0x00 I=64143 F=0x4000 T=123 SYN (#39) Sep 16 22:50:02 Server kernel: Packet log: input ACCEPT ippp0 PROTO=6 217.0.3.196:4764 217.0.149.24:1243 L=48 S=0x00 I=64911 F=0x4000 T=123 SYN (#39) Sep 16 22:50:02 Server ippl: port 1243 connection attempt from 217.0.3.196 Sep 16 22:50:02 Server kernel: Packet log: input ACCEPT ippp0 PROTO=6 217.0.3.196:4764 217.0.149.24:1243 L=48 S=0x00 I=400 F=0x4000 T=123 SYN (#39) Sep 16 22:50:02 Server ippl: port 1243 connection attempt from 217.0.3.196
Kann es sein, das jemand mit der IP 217.0.3.196 meinen Port 1243 gescannt hat? Für was ist dieser Port zuständig? In /etc/services finde ich diesen Port nicht.
laut http://www.simovits.com/sve/nyhetsarkiv/1999/nyheter9902.html lauschen auf diesem Port die (Windows-)Trojaner "BackDoor-G, SubSeven, SubSeven Apocalypse, Tiles". Solche Anfragen sollten mit "üblichen" Firewallkonfigurationen wegen ihres gesetzten SYN-Bits abgewiesen werden. Betreibst Du eine Firewall? Falls ja, ist diese vermutlich misskonfiguriert - da Du diese Frage gestellt hast, schließe ich aus, dass Du diese Zugriffe explizit erlaubt hast. Wenn Du Windows-Kisten hinter Deinem Router betreibst, könnte das zu einem Sicherheitsproblem werden. Schöne Grüße, Stephan -- /* Stephan Hakuli -=-=-=- http://www.hakuli.de/stephan Encryption with GnuPG/GPG is strongly encouraged, my public key is available on my website. -=- Kernel_source_comment_of_the_month=\ `grep gently /usr/src/linux-2.2.19/arch/sparc/kernel/ptrace.c` */
participants (6)
-
Christian Marker
-
D. Wolpert
-
fahnenju@t-online.de
-
Lars Ehrhardt
-
Michael Raab
-
Stephan Hakuli