Re: Warum attakiert Suse 7.3 meine Kunden?
Von: Adalbert Michelic [mailto:adalbert+list@lopez.at] * On Thu, 26 Sep 2002 at 20:48 +0200, Daniel Schmatz wrote:
Ich habe auf der IP 195.202.171.67 einen Suse 7.3 Server mit folgenden Services laufen:
Bind Apache 1.3 Sendmail FTP Webmin
Aus unverständlichen Gründen protokolliert eine Firewall meines Kunden folgende angriffe:
09/26/2002 15:18:34.83 System gestartet 09/26/2002 15:25:05.53 Port Scan attack !!! 195.202.171.67:34997 195.202.171.72:113 TCP 09/26/2002 15:25:14.53 Port Scan attack !!! 195.202.171.67:34997 195.202.171.72:113 TCP [...] mit anderen Worten: er versucht alle Ports!
Nein. Der Destination Port ist immer 113. Das ist genau _einer_.
Was könnte die Ursache dafür sein?
Ein scheinbar äusserst dämliches Ding, daß sich Firewall nennt.
Das sind ganz normale handelsübliche ident-Lookups, mit denen manche Dienste auf Deinem Rechner (195.202.171.67) beim Client (195.202.171.72) anfragen, weclher Benutzer die Verbindung aufgebaut hat.
Mit einem Portscan hat das nichts, aber auch _gar_nichts_ zu tun[1].
Du hast 3 Möglichkeiten: - Erklär Deinem Kunden, daß er Schrott hat, und das ignorieren soll. - Installiere etwas, was den Namen firewall verdient beim Kunden.
das ist eine HW Sache - dachte das sei gut...
- Blockiere ausgehende Anfragen von Dir an dport 113 per reject
Bevor ich das mache, gilt die Überlegunge ob denn das sinnvoll ist, wenns eh handelsüblich und korrekt ist?
(Nicht per deny, sonst kannst Du jedesmal einen 30 sec Timeout abwarten):
iptables -A OUTPUT -p tcp --dport ident -j REJECT
daniel PS: sorry für das Privatmail - vergessen adresse zu ändern
participants (1)
-
Daniel Schmatz