Ich bins mal wieder. Kann mir bitte mal jemand erklären, was diese Einträge bedeuten? Sep 18 19:18:50 Server ippl: http connection attempt from 217.0.187.225 Sep 18 19:18:52 Server ippl: http connection attempt from 217.0.187.225 Danke schon mal. Gruss, Jürgen
Am Dienstag, 18. September 2001 20:25 schrieb Jürgen Fahnenschreiber:
Ich bins mal wieder. Kann mir bitte mal jemand erklären, was diese Einträge bedeuten? Sep 18 19:18:50 Server ippl: http connection attempt from 217.0.187.225 Sep 18 19:18:52 Server ippl: http connection attempt from 217.0.187.225
Jemand versucht, auf Port 80 von 'Server' zuzugreifen. Könnte ja sein, dass da ein ungepatchter IIS 4 oder 5 lauert. Ich tippe mal auf http://admins.ws/newsletter/20010913.htm Geistert schon seit ein paar Stunden durch suse-security und nervt in meinen logfiles... :( Kann aber auch sein, dass es noch ein alter Code Red ist. Auf jeden Fall nichts, was Panik rechtfertigen würde. Martin -- when in danger or in doubt, run in circles, scream and shout! pgp-key: via wwwkeys.de.pgp.net, key id is 0x21eec9b0
* Jürgen Fahnenschreiber schrieb am 18.09.01 um 20:25 Uhr:
Ich bins mal wieder. Kann mir bitte mal jemand erklären, was diese Einträge bedeuten?
Sep 18 19:18:50 Server ippl: http connection attempt from 217.0.187.225 Sep 18 19:18:52 Server ippl: http connection attempt from 217.0.187.225
Hi Juergen, kannst du kein englisch, oder moechtest du es nicht verstehen? ;) Am 18. September 2001 um 19:18:50 Uhr und um 19:18:52 Uhr meldet Server ippl, dass der host mit der IP-Adresse 217.0.187.225 eine http Verbindung zu diesem aufbauen wollte. SCNR Gruss -Marc -- +------------------------------------------------------------------+ | --> http://www.links2linux.de <-- Jetzt mit neuen Features! | | wie z.B. [EasyLink] | +---Registered-Linux-User-#136487------------http://counter.li.org +
On Tue, 18 Sep 2001, Marc Schiffbauer wrote:
* Jürgen Fahnenschreiber schrieb am 18.09.01 um 20:25 Uhr:
Ich bins mal wieder. Kann mir bitte mal jemand erklären, was diese Einträge bedeuten?
Sep 18 19:18:50 Server ippl: http connection attempt from 217.0.187.225 Sep 18 19:18:52 Server ippl: http connection attempt from 217.0.187.225
kannst du kein englisch, oder moechtest du es nicht verstehen? ;)
Am 18. September 2001 um 19:18:50 Uhr und um 19:18:52 Uhr meldet Server ippl, dass der host mit der IP-Adresse 217.0.187.225 eine http Verbindung zu diesem aufbauen wollte. SCNR
Na, Marc, bitte, soweit hat Juergen das ganz sicher verstanden. Er sorgt sich wegen des "connection attempt" und an Hand seiner augenblicklichen Postings kann man sehr gut nachvollziehen, dass Juergen sich zur Zeit intensiv mit Systemsicherheit beschaeftigt. Da koennen einem solcherlei Eintraege mit fremden IPs schon aengstigen. Es handelt sich bei den Eintraegen wohl definitiv den seit ca. 18:00 Uhr freigesetzten neuen Virus, der sich wieder einmal auf den IIS von Microsoft einschiesst. Linux-Server sind davon sicherheitstechnisch nicht betroffen. Der Angriff hier erfolgt zur Zeit auf einem T-Online-Zugang im Takt von ca. 2 Minuten. Allerdings solltest Du, Juergen, diese Eintraege nicht in der vorliegenden Form sehen, sondern solltest Deinen Server mit Port 80 nach "draussen" ins Internet dicht machen. Ich glaube nicht, dass Du da einen oeffentlichen Webserver administrierst, ich nehme auch an, dass Du gar keinen Webserver lokal brauchst, es sei denn, Du beschaeftigst Dich mit Webdesign. Setze hier also an: Schliesse den Port gaenzlich bzw. schotte ihn ab. Dann hast Du Ruhe. Die Dinger sind zwar nicht gefaehrlich, es kostet uns aber unser liebes Geld, wenn eine Waehlverbindung ins Internet besteht, diese keine Flatrate ist und - selbst wenn es eine Flatrate ist - wir aus sozialer Einstellung heraus keine offenen Leitungen moegen, wenn wir diese denn nicht brauchen. Jetzt muessen wir die Leitungen naemlich wieder haendisch schliessen. :-( Juergen, Du bist da schon auf dem richtigen Weg! Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht...
Hallo Jürgen, Hallo Leute, Jürgen wrote Tuesday, September 18, 2001 8:25 PM Subject: /var/log/messages -Eintrag
Ich bins mal wieder. Kann mir bitte mal jemand erklären, was diese Einträge bedeuten?
Sep 18 19:18:50 Server ippl: http connection attempt from 217.0.187.225 Sep 18 19:18:52 Server ippl: http connection attempt from 217.0.187.225
Rechner 217.0.187.225 (nslookup ergab: pD900BBE1.dip.t-dialin.net) hat heute um 19:18:50 versucht auf Dein ipp1 auf Port 80 zuzugreifen. Dat is irgend ein T-Online-Kunde gewesen. Gruss Guido
participants (5)
-
fahnenju@t-online.de
-
Guido Schiffer
-
Marc Schiffbauer
-
Martin Borchert
-
Peter Blancke