PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Firewall stürzt regelmäßig mit merkwürdigen Logeinträgen ab


swen1
02.12.04, 09:36
Hi,

regelmäßig ist vielleicht etwas übertrieben, die letzten 2 Monate lief sie gut durch, aber davor gab es auch schon öfter Probleme.

Auffällig sind immer ähnliche Logeinträge. Zuerst kommen viele Punkte (ca. 1 Bildschirmseite), dann ca. 10-20 ältere Logeinträge (mit einem Datum ca. 2-3 Tage alt).

Hatte sowas schon mal jemand?

System:
SuSE 8.1 minimal, keine Dienste, iptables, NAT

Bin jetzt dabei ein neues System zum Test aufzusetzen, und vor allem einen neuen sicheren Kernel zu "bauen". Mich würde aber trotzdem interessieren woran das liegt.

Danke!
Gruß Swen
psy
02.12.04, 11:25
trotz allem würde es helfen, die logdatei hier zu posten, machst du regelmäßig updates mittels "you"?

ciao
psy
RapidMax
02.12.04, 22:56
Afaik gab es im 2.4er Kernel in der IPTables-Implementierung einen Fehler der sich für DOS ausnutzen liess (ein BoF war soweit ich weiss nicht möglich).

SuSE 8.1 wird von SuSE immernoch mit Sicherheitsupdates unterstützt. Ich rate dringend zu einem YOU-Update, wenn nicht bereits geschehen!

Gruss, Andy
swen1
03.12.04, 07:06
Danke für Eure Antworten!

Updates per YOU mach ich nicht. Der Kernel ist total abgespeckt und unterstützt keine Module. Außerdem ist auf dem Rechner absolut nichts drauf. Es ist ein reiner Router der nichts anderes kann. Daher macht so ein Update sicherlich mehr Schaden ;) .

Von der IPTABLES-Schwachstelle habe ich gehört. Werde gleich mal schauen, ob ich da noch paar Infos finde. Allerdings ist der betroffene Rechner die innere Firewall. Es gibt noch eine äußere, welche aber transparent arbeitet (ARP-Proxy). Gleiches System, gleicher Kernel, ähnliches FW-Skript. Wenn ich davon ausgehe, daß der Angriff aus dem Internet erfolgte, hätte es da nicht zuerst diesen Rechner erwischen müssen?

Gruß Swen
cane
03.12.04, 07:12
Daher macht so ein Update sicherlich mehr Schaden ;)

Sehe ich anders, was bringt Dir eine Firewall die sich abschießen läßt?

cane
swen1
03.12.04, 07:31
Sehe ich anders, was bringt Dir eine Firewall die sich abschießen läßt?

cane

Ich meinte ein Update mit "YOU". Ich kann mir nicht vorstellen, dass auf dem Rechner was gepatcht werden kann. Es ist ja nichts drauf. Und wenn Sicherheitslücken im Kernel sind, dann liegt es an mir einen neuen zu "bauen".

Und da bin ich jetzt gerade dabei :) .

Gruß Swen