Hallo, Am Donnerstag, 25. März 2004 14:57 schrieb Steffen Petter:
Hallo liebe Listenleser,
...
Im Logfile /var/log/messages taucht immer wieder der Eintrag
Mar 25 14:25:18 anton kernel: martian source 141.54.182.4 from 127.0.0.1, on dev eth0
...
auf. Ich weiß mittlerweile was das ist und wie ich es abstellen kann, aber ich möchte zu gern wissen, wer der Verursacher ist! Deshalb habe ich mal tcpdump bemüht und folgende Meldung zur gleichen Zeit bekommen:
14:25:18.060280 localhost.http > anton.example.com.1177: R 0:0(0) ack 690 814977 win 0
mit example.com als Absender ging vor ein paar Tagen ein Thread durch die Liste, bei dem es um ungewöhnliche Emails in der Mail-Queue ging. Möglicherweise hast Du die selbe Ursache. Hast Du möglicherweise einen Virenscanner installiert? Der hat bei dem o.g. Thread versucht EMails zu verschicken. Vielleicht wird bei Dir nur versucht kontakt mit irgendeiner nicht installierten/konfigurierten SW aufzubauen.
Ich kann mir nicht vorstellen, dass der Apache dafür verantwortlich ist. Auf dem Rechner läuft SuSE 8.2 mit SuSEFirewall2 und snort. (Der Rechnername und die Domain wurden geändert.)
War die original-Domain identisch mit Deiner eingestellten, oder gibt es auch da 'Abweichungen' ??
Kann mir jemand ein paar Tipps geben, wie man den Verursacher herausfinden kann?
Besten Dank im voraus!
Gruß, Steffen.
-- MfG Rolf Masfelder EMail: rolf.masfelder@nector.de