Hallo,

völlig unregelmäßig und, wie ich finde, seltsamerweise, finde ich folgenden Eintrag in meinen Firewall Logs:

Jul 27 16:43:55 lampone kernel: Attack IN= OUT=eth1 SRC=xxx.xxx.xxx.xxx DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=16062 DF PROTO=TCP SPT=36166 DPT=25 WINDOW=5840 RES=0x00 SYN URGP=0

wobei xxx.xxx.xxx.xxx die IP meines Rechners zeigt.
Also das heißt doch nun, dass mein Rechner versucht eine smtp Verbindung zu dem Rechner 192.168.0.10 aufzubauen. Komisch finde ich auch, dass es den Rechner 192.168.0.10 und das ganze Netzwerk 192.168.0.0 überhaupt nicht in meiner Umgebung gibt. Der Rechner ist ein reines Internet Gateway ohne Anschluss an ein privates Netzwerk.

Wie kann ich herausfinden wer oder was für diese Logeinträge verantwortlich ist?

Hallo,

Das sieht aus, als wenn ein(e) User/Software auf deinem Rechner was
senden will. Ein Spammer wuerde nicht an 192.168.x.x senden, dass
kann allerdings sein dass jemand herausfinden will ob dieses Netz bei
Dir aktiv ist. (per SMTP aber sehr auffaellig ;)

Schau nach ob dieser Rechner gepatcht ist. Was sagen die aktuellen Logs
mit dem Timestamp. (/var/log/maillog, /var/log/mail/* usw.) Was sagt
ein iptables -nvx -L auf dem Host? Sieh in der crontab nach ob irgendwelche
veralteten Scripte mit dieser DST Adresse Output mailen moechten.

Eventuell ist alles ganz harmlos.

Gruss 403

Hallo 403,

danke für deine Antwort. Also ich habe die Mail-Logs beobachtet und festgestellt, dass es einen Mailserver gibt, dessen Name per DNS nach 192.168.0.10 aufgelöst wird. Also es kommt eine Mail an, mein Mailserver weist sie ab und will den Status-Report nach 192.168.0.10 senden.
Alles ganz harmlos!

Vielen Dank für deine Hilfe.