waxolunist
31.10.06, 10:31
Hallo
Ich habe eine BruteForce-Attacke auf meinen vsftp entdeckt.
Mein log ist voll von folgenden Einträgen:
Sep 20 11:00:35 Roland vsftpd: pam_listfile(vsftpd:auth): Refused user amanda for service vsftpd
Sep 20 11:00:36 Roland vsftpd: pam_listfile(vsftpd:auth): Refused user amanda for service vsftpd
Sep 20 11:00:37 Roland vsftpd: pam_listfile(vsftpd:auth): Refused user amanda for service vsftpd
Sep 20 11:00:38 Roland vsftpd: pam_listfile(vsftpd:auth): Refused user amanda for service vsftpd
Sep 20 11:00:39 Roland vsftpd: pam_listfile(vsftpd:auth): Refused user amanda for service vsftpd
Sep 20 11:00:40 Roland vsftpd: pam_listfile(vsftpd:auth): Refused user amanda for service vsftpd
Sep 20 11:00:42 Roland vsftpd: pam_listfile(vsftpd:auth): Refused user amanda for service vsftpd
Sep 20 11:00:43 Roland vsftpd: pam_listfile(vsftpd:auth): Refused user games for service vsftpd
Sep 20 11:00:44 Roland vsftpd: pam_listfile(vsftpd:auth): Refused user games for service vsftpd
Sep 20 11:00:45 Roland vsftpd: pam_listfile(vsftpd:auth): Refused user games for service vsftpd
Sep 20 11:00:46 Roland vsftpd: pam_listfile(vsftpd:auth): Refused user games for service vsftpd
Das geht noch ewig weiter.
Desweiteren habe ich hunderte Einträge die folgendermaßen aussehen:
Oct 25 13:06:34 Roland syslog-ng[1816]: STATS: dropped 0
Oct 25 14:06:35 Roland syslog-ng[1816]: STATS: dropped 0
Oct 25 15:06:35 Roland syslog-ng[1816]: STATS: dropped 0
Oct 25 16:06:35 Roland syslog-ng[1816]: STATS: dropped 0
Oct 25 17:06:36 Roland syslog-ng[1816]: STATS: dropped 0
Oct 25 18:06:36 Roland syslog-ng[1816]: STATS: dropped 0
und
Oct 30 14:45:07 Roland kernel: martian source 255.255.255.255 from 192.168.1.10, on dev eth1
Oct 30 14:45:07 Roland kernel: ll header: ff:ff:ff:ff:ff:ff:00:40:17:8c:4d:6d:08:00
Oct 30 14:47:05 Roland kernel: martian source 255.255.255.255 from 192.168.1.10, on dev eth1
Oct 30 14:47:05 Roland kernel: ll header: ff:ff:ff:ff:ff:ff:00:40:17:8c:4d:6d:08:00
Oct 30 14:49:04 Roland kernel: martian source 255.255.255.255 from 192.168.1.10, on dev eth1
Oct 30 14:49:04 Roland kernel: ll header: ff:ff:ff:ff:ff:ff:00:40:17:8c:4d:6d:08:00
Oct 30 14:50:27 Roland syslog-ng[1816]: STATS: dropped 0
Ich werde noch die MACs durchsehen, ob die aus meinem Netzwerk kommt. Bin aber derzeit nicht daheim und kann nicht nachsehen im Moment.
Es läuft unter anderem torrentflux. Ist das die Schwachstelle? Wie soll ich da vorgehen? Braucht ihr noch weitere Infos?
Der kleine (PII 400Mhz) läuft jetzt 42 Tage ohne Neustart und hin und wieder ein kleines Performanceproblem, aber mehr nicht. Muss ich mir Sorgen machen?
Bin für jede Hilfe dankbar.
lg, Christian
Ich habe eine BruteForce-Attacke auf meinen vsftp entdeckt.
Mein log ist voll von folgenden Einträgen:
Sep 20 11:00:35 Roland vsftpd: pam_listfile(vsftpd:auth): Refused user amanda for service vsftpd
Sep 20 11:00:36 Roland vsftpd: pam_listfile(vsftpd:auth): Refused user amanda for service vsftpd
Sep 20 11:00:37 Roland vsftpd: pam_listfile(vsftpd:auth): Refused user amanda for service vsftpd
Sep 20 11:00:38 Roland vsftpd: pam_listfile(vsftpd:auth): Refused user amanda for service vsftpd
Sep 20 11:00:39 Roland vsftpd: pam_listfile(vsftpd:auth): Refused user amanda for service vsftpd
Sep 20 11:00:40 Roland vsftpd: pam_listfile(vsftpd:auth): Refused user amanda for service vsftpd
Sep 20 11:00:42 Roland vsftpd: pam_listfile(vsftpd:auth): Refused user amanda for service vsftpd
Sep 20 11:00:43 Roland vsftpd: pam_listfile(vsftpd:auth): Refused user games for service vsftpd
Sep 20 11:00:44 Roland vsftpd: pam_listfile(vsftpd:auth): Refused user games for service vsftpd
Sep 20 11:00:45 Roland vsftpd: pam_listfile(vsftpd:auth): Refused user games for service vsftpd
Sep 20 11:00:46 Roland vsftpd: pam_listfile(vsftpd:auth): Refused user games for service vsftpd
Das geht noch ewig weiter.
Desweiteren habe ich hunderte Einträge die folgendermaßen aussehen:
Oct 25 13:06:34 Roland syslog-ng[1816]: STATS: dropped 0
Oct 25 14:06:35 Roland syslog-ng[1816]: STATS: dropped 0
Oct 25 15:06:35 Roland syslog-ng[1816]: STATS: dropped 0
Oct 25 16:06:35 Roland syslog-ng[1816]: STATS: dropped 0
Oct 25 17:06:36 Roland syslog-ng[1816]: STATS: dropped 0
Oct 25 18:06:36 Roland syslog-ng[1816]: STATS: dropped 0
und
Oct 30 14:45:07 Roland kernel: martian source 255.255.255.255 from 192.168.1.10, on dev eth1
Oct 30 14:45:07 Roland kernel: ll header: ff:ff:ff:ff:ff:ff:00:40:17:8c:4d:6d:08:00
Oct 30 14:47:05 Roland kernel: martian source 255.255.255.255 from 192.168.1.10, on dev eth1
Oct 30 14:47:05 Roland kernel: ll header: ff:ff:ff:ff:ff:ff:00:40:17:8c:4d:6d:08:00
Oct 30 14:49:04 Roland kernel: martian source 255.255.255.255 from 192.168.1.10, on dev eth1
Oct 30 14:49:04 Roland kernel: ll header: ff:ff:ff:ff:ff:ff:00:40:17:8c:4d:6d:08:00
Oct 30 14:50:27 Roland syslog-ng[1816]: STATS: dropped 0
Ich werde noch die MACs durchsehen, ob die aus meinem Netzwerk kommt. Bin aber derzeit nicht daheim und kann nicht nachsehen im Moment.
Es läuft unter anderem torrentflux. Ist das die Schwachstelle? Wie soll ich da vorgehen? Braucht ihr noch weitere Infos?
Der kleine (PII 400Mhz) läuft jetzt 42 Tage ohne Neustart und hin und wieder ein kleines Performanceproblem, aber mehr nicht. Muss ich mir Sorgen machen?
Bin für jede Hilfe dankbar.
lg, Christian