HI

Hab beim durchschauen meiner /var/log/messages diese Einträge gefunden:


Nov 2 08:45:17 ***** kernel: REJECT UDP IN=eth0 OUT= MAC= SRC=81.169.170.3 DST=255.255.255.255 LEN=334 TOS=0x00 PREC=0x00 TTL=255 ID=22660 PROTO=UDP SPT=67 DPT=68 LEN=314
Nov 2 08:45:17 ***** kernel: REJECT UDP IN=eth0 OUT= MAC= SRC=81.169.170.3 DST=255.255.255.255 LEN=334 TOS=0x00 PREC=0x00 TTL=255 ID=22661 PROTO=UDP SPT=67 DPT=68 LEN=314
Nov 2 08:45:17 ***** kernel: REJECT UDP IN=eth0 OUT= MAC= SRC=81.169.170.2 DST=255.255.255.255 LEN=334 TOS=0x00 PREC=0x00 TTL=255 ID=30472 PROTO=UDP SPT=67 DPT=68 LEN=314
Nov 2 08:45:17 ***** kernel: REJECT UDP IN=eth0 OUT= MAC= SRC=81.169.170.2 DST=255.255.255.255 LEN=334 TOS=0x00 PREC=0x00 TTL=255 ID=30473 PROTO=UDP SPT=67 DPT=68 LEN=314

Die kommen alle paar Minuten, manchmal auch Sekunden. Das komische daran ist das hier:

DST=255.255.255.255

Ziel ??


SRC=81.169.170.2

Immer dieselbe IPs, mit 2 oder 3 am ende


DPT=67

und immer derselbe port. Manchmal auch 68.

Das ist das Log von meinem Rootserver. SuSe 8.2 http,mysql,ftp,stmp,pop3

Bei meinem Router ist dasselbe nur das die Ports 135,445 betroffen sind. Der Router ist komplett dicht, nach aussen nichts offen. Suse 9.0.

REJECT heist ja verworfene Packete, denke ich :confused: .

Aber warum so viele??

Das ist nicht komisch. Es wurden DHCP-Pakete verworfen. Da DHCP mit Broadcasts arbeitet, ist das Ziel natürlich die Broadcast-Adresse 255.255.255.0. Diese Meldungen kannst du, wenn das Netzwerk bei dir einwandfrei läuft, ignorieren.

HI

Danke für deine Antwort.

Dann schätze ich mal das die SRC= IP-Adresse ein DHCP-Server ist oder?

Auf meinem Router ist genau dasselbe nur das es auf die ports 135 und 445 geht aber mit direktem Ziel meines Servers.


Nov 2 08:33:56 voyager-server kernel: REJECT TCP IN=ppp0 OUT= MAC= SRC=80.236.6.180 DST=80.136.122.146 LEN=52 TOS=0x00 PREC=0x00 TTL=58 ID=28993 DF PROTO=TCP SPT=1480 DPT=135 WINDOW=60352 RES=0x00 SYN URGP=0
Nov 2 08:33:57 voyager-server kernel: REJECT TCP IN=ppp0 OUT= MAC= SRC=80.236.6.180 DST=80.136.122.146 LEN=52 TOS=0x00 PREC=0x00 TTL=58 ID=29015 DF PROTO=TCP SPT=1480 DPT=135 WINDOW=60352 RES=0x00 SYN URGP=0
Nov 2 08:33:57 voyager-server kernel: REJECT TCP IN=ppp0 OUT= MAC= SRC=80.125.109.240 DST=80.136.122.146 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=33335 DF PROTO=TCP SPT=3322 DPT=135 WINDOW=65535 RES=0x00 SYN URGP=0
Nov 2 08:33:58 voyager-server kernel: REJECT TCP IN=ppp0 OUT= MAC= SRC=80.125.109.240 DST=80.136.122.146 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=33397 DF PROTO=TCP SPT=3322 DPT=135 WINDOW=65535 RES=0x00 SYN URGP=0
Nov 2 08:33:58 voyager-server kernel: REJECT TCP IN=ppp0 OUT= MAC= SRC=80.125.109.240 DST=80.136.122.146 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=33456 DF PROTO=TCP SPT=3322 DPT=135 WINDOW=65535 RES=0x00 SYN URGP=0
Nov 2 08:34:49 voyager-server kernel: REJECT TCP IN=ppp0 OUT= MAC= SRC=80.136.255.180 DST=80.136.122.146 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=50618 DF PROTO=TCP SPT=4617 DPT=135 WINDOW=64800 RES=0x00 SYN URGP=0
Nov 2 08:34:49 voyager-server kernel: REJECT TCP IN=ppp0 OUT= MAC= SRC=80.136.255.180 DST=80.136.122.146 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=50663 DF PROTO=TCP SPT=4617 DPT=135 WINDOW=64800 RES=0x00 SYN URGP=0
Nov 2 08:34:50 voyager-server kernel: REJECT TCP IN=ppp0 OUT= MAC= SRC=80.136.255.180 DST=80.136.122.146 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=50703 DF PROTO=TCP SPT=4617 DPT=135 WINDOW=64800 RES=0x00 SYN URGP=0

Wie kann ich das verstehen?

die Zugriffe auf Port 68, 67 könnten vom Hoster selber sein oder irgendein Rechner bei deinen hat vielleicht einen Wurm eingefangen.

Dazu müsste man aber wissen wem die Rechner gehören.






zu Du deinem Routerlog

Die Angriffe auf Port 135 und 445 sind mitterweile schon normal. Das sind häufig Wurmangriffe
http://cert.uni-stuttgart.de/ticker/article.php?mid=1132