Servus,

ich hab zur Zeit sauviele Log-Einträge mit DSP=135 drinnen...kommen die immer noch von dem Blast-Wurm?? Sollte sich das nich mal legen?
Die Absender-IPs gehören immer zu ISPs wie ARCOR oder "TVCABO-Portugal Cable Modem Network".

Und noch was...mein Server in der DMZ sendet anscheinend irgendwas auf Port 520 , was auch immer in den Logs in regelmässigen Abständen auftaucht.
520 UDP gehört ja eigentlich zum router....aber was versucht er denn da zu tun?? Der Server muss nix routen....war nur mal testweise eingestellt -> ip_forward=0.
Ach ja...ist übrigens ein Broadcast, den er da macht...hier mal nen Logauszug:


Sep 26 18:08:24 ipcop kernel: INPUT IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:ba:c5:9e:b1:08:00 SRC=192.168.16.2 DST=192.168.16.255 LEN=92 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=520 DPT=520 LEN=72

Clumsy

grep 135 /etc/services bzw. grep 520 /etc/services und dann weisst du es :D

scherzkeks....
ich weiss ja, welche dienste drauf lauifen...hab ja auch geschrieben dass es der routed auf 520 ist....auf 135 der epmap....
aber ich frag mich, WARUM die angesprochen werden!!

Mahlzeit,

beim Router hät ich da wohl eine Idee was es sein könnte! Wenn es in regelmäßigen
Abständen sendet könnte es eine Anfrage an deinen ISP sein. Da greif ich mal
ein bischen aus: auf UDP läuft DHCP dieser sendet in regelmäßigen Abständen,
sagen wir mal alle 2 Stunden, eine Anfrage an den Server ob er die zugewiesene
IP behalten darf.
EDIT: Hab grad mal nochmal in den Logauszug von dir geschaut, könnte auch
umgekehrt sein dein Router gibt eine Rückantwort an eine Workstation im LAN.
/edit
Ich weiß aber nit auf welchem Port dies geschieht, also die Antwort nicht als
Persilschein ansehen. Könnte ja schließlich auch ein cracker sein. man ist nie
Paranoid genug.

edit zum 2.:hab mich nochmal informiert DHCP läuft auf den Ports 86 und 87.

Bis denn
ciedan

Blaster is' mE immer noch sehr aktiv. Mit einer nicht patched XP oder Win2k Installation ohne Firewall ins Internet gehen halte ich für grob fahrlässig.

log File meiner Firewall:

Fre 26 Sep 2003 23:38:43 CEST Unrecognized access from 62.218.174.159:2101 to TCP port 445
Fre 26 Sep 2003 23:38:45 CEST Unrecognized access from 62.219.48.136:3979 to TCP port 135
Fre 26 Sep 2003 23:38:46 CEST Unrecognized access from 62.218.174.159:2101 to TCP port 445
Fre 26 Sep 2003 23:38:48 CEST Unrecognized access from 62.219.48.136:3979 to TCP port 135
Fre 26 Sep 2003 23:38:54 CEST Unrecognized access from 62.219.48.136:3979 to TCP port 135
Fre 26 Sep 2003 23:38:59 CEST Unrecognized access from 62.219.140.237:1467 to TCP port 135
Fre 26 Sep 2003 23:39:02 CEST Unrecognized access from 62.219.140.237:1467 to TCP port 135
Fre 26 Sep 2003 23:39:08 CEST Unrecognized access from 62.219.140.237:1467 to TCP port 135
Fre 26 Sep 2003 23:40:02 CEST Unrecognized access from 200.78.38.129:1030 to UDP port 137

Also ich würd' schon sagen, dass Blaster noch aktiv ist.

Original geschrieben von ciedan
Mahlzeit,

EDIT: Hab grad mal nochmal in den Logauszug von dir geschaut, könnte auch
umgekehrt sein dein Router gibt eine Rückantwort an eine Workstation im LAN.
/edit
Ich weiß aber nit auf welchem Port dies geschieht, also die Antwort nicht als
Persilschein ansehen. Könnte ja schließlich auch ein cracker sein. man ist nie
Paranoid genug.

Bis denn
ciedan

Hmmm....eigentlich hat der Server in der DMZ ne feste IP, die nich per DHCP vergeben wird.

@bootleg
Halt ich auch für fahrlässig. ;)

Original geschrieben von clumsy

Sep 26 18:08:24 ipcop kernel: INPUT IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:ba:c5:9e:b1:08:00 SRC=192.168.16.2 DST=192.168.16.255 LEN=92 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=520 DPT=520 LEN=72

Die Kiste [192.168.16.2] spricht offensichtlich RIP. Falls das nicht nötig ist, schalte es ab.

danke :-)
Hab's jetzt abgeschaltet....

clumsy