Hallo liebe Liste, folgendes fand ich gestern in /var/log/messages: - ---------------------------------------------------------- Jan 31 20:50:56 lothar in.ftpd[12029]: connect from sgjhqoft@136.159.150.165 (136.159.150.165) [...] Jan 31 20:50:57 lothar ftpd[12029]: lothar.local FTP server (Version 6.4/OpenBSD/Linux-ftpd-0.16) ready. Jan 31 20:51:00 lothar ftpd[12029]: <--- 221 Jan 31 20:51:00 lothar ftpd[12029]: You could at least say goodbye. - ---------------------------------------------------------- Hat da einer meinen ftp-port gescannt? Ok, damit könnte ich ja noch leben. aber jetzt kommts: - ---------------------------------------------------------- Jan 31 21:31:00 lothar in.telnetd[12248]: connect from 62.226.75.184 (62.226.75.184) Jan 31 21:31:00 lothar telnetd[12248]: ttloop: peer died: EOF Jan 31 21:32:09 lothar in.telnetd[12249]: connect from 62.226.75.184 (62.226.75.184) Jan 31 21:33:43 lothar in.telnetd[12251]: connect from 62.226.75.184 (62.226.75.184) Jan 31 21:33:54 lothar login: FAILED LOGIN 1 FROM p3EE24BB8.dip.t-dialin.net FOR guest, User not known to the underlying authentication module Jan 31 21:34:05 lothar login: FAILED LOGIN 2 FROM p3EE24BB8.dip.t-dialin.net FOR root, Authentication failure Jan 31 21:34:18 lothar login: FAILED LOGIN 3 FROM p3EE24BB8.dip.t-dialin.net FOR root, Authentication failure Jan 31 21:34:30 lothar login: FAILED LOGIN SESSION FROM p3EE24BB8.dip.t-dialin.net FOR lothar, User not known to the underlying authentication module Jan 31 21:36:49 lothar in.telnetd[12273]: connect from 62.226.75.184 (62.226.75.184) Jan 31 21:37:34 lothar login: FAILED LOGIN 1 FROM p3EE24BB8.dip.t-dialin.net FOR root, Authentication failure - ---------------------------------------------------------- Da hat doch wohl jemand versucht, sich bei mir einzuloggen, der es mit Sicherheit nicht darf. Nun halte ich den Versuch für etwas stumpf, immerhin halten meine passwörter dem Sicherheitscheck beim Ändern immer stand und per telnet als root ist ohnehin nicht drin, aber stutzig macht mich sowas schon. Ich hab dann gestern Abend nochmal tripwire --check laufen lassen (von einer cd) und das sagt mir nichts in Richtung 'System compromised'. Die Frage ist nun: Wie ernst muss ich sowas nehmen und gibt's überhaupt Möglichkeiten dagegen (den telnet-port zumachen geht nicht, den brauche ich)? Vielen Dank schonmal im Voraus. martin -- when in danger or in doubt, run in circles, scream and shout! pgp-key: via wwwkeys.pgp.net, key id is 0x21eec9b0