PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : was kann ich aus dem log erkennen?



Alex_K
20.09.01, 13:42
ich hab schon seit einiger zeit eine firewall, hab aber erst heute log regeln eingebaut, und siehe da, jede min kommen ca. 2 log einträge:

Sep 20 13:37:47 server kernel: Packet log: input DENY ippp0 PROTO=2 195.3.95.3:65535 224.0.0.1:65535 L=28 S=0x00 I=25901 F=0x0000 T=1 (#36)
Sep 20 13:38:46 server kernel: Packet log: input DENY ippp0 PROTO=2 195.3.95.3:65535 224.0.0.1:65535 L=28 S=0x00 I=26051 F=0x0000 T=1 (#36)
Sep 20 13:38:51 server kernel: Packet log: input DENY ippp0 PROTO=6 195.3.96.79:9231 212.183.91.59:11394 L=46 S=0x00 I=31100 F=0x0000 T=55 (#36)
Sep 20 13:39:46 server kernel: Packet log: input DENY ippp0 PROTO=2 195.3.95.3:65535 224.0.0.1:65535 L=28 S=0x00 I=26171 F=0x0000 T=1 (#36)
Sep 20 13:39:56 server kernel: Packet log: input DENY ippp0 PROTO=6 195.3.96.79:9231 212.183.91.59:11394 L=46 S=0x00 I=12073 F=0x0000 T=55 (#36)

was bedeuten diese logs?
und wie kann ich rausfinden wer hinter der ip steckt?


[EDIT: und was bedeutet die ziel IP 224.0.0.1:65535 ??? die is ja nicht meine ???]

[ 20. September 2001: Beitrag editiert von: Alex_K ]

steder
22.09.01, 17:45
Hi,
hast Du einen Switch/Router mit der IP 195.3.95.3 ? Meines (in diesem Fall nicht sicheren) Wissens nach sind die Portanfragen auf 65535 Folge hiervon, weil sich (manche) Switches "absprechen" wollen. Ich hab hier die gleichen logs vom Mainswitch auf die gleiche IP. Ist also i.O., wenn die rausfliegen.

fremde IP auflösen:
nslookup IP gibt Namen, läst schon vieles
traceroute IP gibt Routen an, hilft auch hinundwieder

Was sich hinter Port 9231 bei Dir verbirgt kann ich dir nicht sagen, kann aber irgendein kleines Progi sein (ICQ,....) das so nicht rauskommt, hier hilft wohl nslookup auf die remote IP

Steder

Alex_K
22.09.01, 19:25
also was ich bis jetzt herrausgefunden habe:
195.3.95.3 is anscheinend die IP der servers von meinem provider bei dem ich mich einwähle.
geschieht das nun absichtlich oder stimmt da bei meinem provider was nicht?

und 195.3.96.79:9231 ist auch nicht eine meiner IP adressen das ist anscheinend auch eine IP meines providers, aber warum will er auf den port 11394 zugreifen (soll ich vielleicht mal eine mail zum provider schicken)?

dann noch ein log:
Sep 22 11:16:23 server kernel: Packet log: input DENY ippp0 PROTO=6 212.183.110.233:3989 212.183.94.179:80 L=48 S=0x00 I=48751 F=0x4000 T=122 SYN (#38)

von denen hab ich auch massenweise (mit verschiedenen absendern)...
da ich eine dynamische IP habe und nie einen http server betrieben habe kann ich mir nicht vorstellen warum wer auf meinen PC zugreifen will!?ist es vielleicht ein fehler von einem DNS server oder vieleicht von einem router.
die anfragen kommen von überall (frankreich, kunden des eigenen provider, ...).

Tommy_20
24.09.01, 17:07
seit wann sind die zugriffe auf deinen port 80?

seit ein paar tagen ist ein virus namens "nimda" im umlauf und der verursacht scanns auf port 80 (mein log-file geht auch über deshalb).