hallo zusammen

ich hab mal portsentry installiert und seitdem habe sehr eigenartige einträge in meiner /var/log/messages

ich habs mal als html drangehängt. Kann man besser lesen.
Nur ich kann damit nicht soviel anfangen vielleicht könnte mir das ja jemand deuten und ob ich eventuell mal meine Sicherheitseinstellungen prüfen und ändern sollte

vielen dank isaac

Ein paar ganz 'normale' Scans. Wenn deine Firewall-Regeln gescheit sind, duerfte dir nichts passieren. Aber mich wundert, dass es so viele Scans in diesem kurzen Zeitabstand sind - ist das normal so`?


Mfg,Air

Du solltest vielleicht portsentry konfigurieren. Sonst beamt dich irgendwann mal jemand weg :)

Die Logeinträge sind normal. Aber ich würde die entsprechenden IP´s keinesfalls dauerhaft blockieren (evtl. auch eher mit einem reject).


HTH

@AirWulf
ich gaube nicht dass das normal ist das beste waren glaube ich mal 5 solche scans hintereinander aber es kommt auch auf die zeit an. meistens so zwischen 3 und 5 uhr morgens oder abens.

Danke da stellt sich mir nur die alles entscheidende frage. Wie konfiguriere ich portsensentry? Und was meinst du mit reject?
Und gibt es auch solche tools die an den "scanner" zurückschießen ?

isaac

Ich meinte mit wegbeamen:
Du hast Portsentry anscheinend so eingestellt, dass jede Angreifende IP geblockt wird (mittels DROP).

Annahme:
Jemand fälscht seine IP und führt einen Angrif aus.

Mögliche Wirkungen:
Verschiedene Rechner wären nichtmehr erreichbar (LAN, DNS, etc.)

zur Konfiguration: RTFM
Da ich kein portsentry verwende kann ich dir da nicht weiterhelfen.

Mit Reject, meine ich dass du die Pakete nicht einfach verwirfst sondern eine Fehlermeldung an den anderen Hosts zurücklieferst. Dass vermeidet unnötigen Netztraffic (der kostet schliesslich auch dich Bandbreite).

HTH

Danke

ich habe portsentry irgendwie gar nicht konfiguriert hab nur einmal
portsentry -tcp eingetippselt und seitdem ist es so.

Was benutzt du denn?

Ich verwende überhaupt kein IDS.
Ich verlasse mich auf die Paketfilter-Regeln und auf die entsprechende Konfiguration der Daemons (biete nach aussen normalerweise keine Dienste an).

HTH

ich biete auch keine Dienste an aber wenn ich mal meine ports scanne dann sind diese offen immer

The fowolling ports are open:
Port: 22 (ssh)
Port: 111 (sunrpc)
Port: 631 (ipp)
Port: 6000 (x11)
Port: 32768 (Unknown)
Port: 32769 (Unknown)

keine Ahnung wiso. Ist aber auch erst seit dem ich RedHat 7.3 hab. Vorher bei 7.1 war nur die 111 und die 6000 offen?.
Kannst du mir eine Seite oder Buch empfehlen wo ich mich da mal belesen kann? Wenns geht aber auf deutsch da ich englische beschreiben irgendwie noch nicht wirklich verstehe.