Aug 30 17:38:01 hans PAM_unix[711]: (cron) session opened for user mail by (uid=0)
Aug 30 17:38:01 hans PAM_unix[711]: (cron) session closed for user mail
Aug 30 17:47:50 hans kernel: Packet log: output DENY eth0 PROTO=6 192.168.1.3:1062 194.25.0.52:53 L=60 S=0x00 I=711 F=0x0000 T=64 SYN (#38)
Aug 30 17:47:53 hans kernel: Packet log: output DENY eth0 PROTO=6 192.168.1.3:1062 194.25.0.52:53 L=60 S=0x00 I=712 F=0x0000 T=64 SYN (#38)
Aug 30 17:47:59 hans kernel: Packet log: output DENY eth0 PROTO=6 192.168.1.3:1062 194.25.0.52:53 L=60 S=0x00 I=723 F=0x0000 T=64 SYN (#38)
Aug 30 17:48:11 hans kernel: Packet log: output DENY eth0 PROTO=6 192.168.1.3:1062 194.25.0.52:53 L=60 S=0x00 I=724 F=0x0000 T=64 SYN (#38)
Aug 30 17:48:35 hans kernel: Packet log: output DENY eth0 PROTO=6 192.168.1.3:1062 194.25.0.52:53 L=60 S=0x00 I=725 F=0x0000 T=64 SYN (#38)
Aug 30 17:49:23 hans kernel: Packet log: output DENY eth0 PROTO=6 192.168.1.3:1062 194.25.0.52:53 L=60 S=0x00 I=726 F=0x0000 T=64 SYN (#38)
Aug 30 17:50:59 hans kernel: Packet log: output DENY eth0 PROTO=6 192.168.1.3:1062 194.25.0.52:53 L=60 S=0x00 I=727 F=0x0000 T=64 SYN (#38)
Aug 30 17:52:59 hans kernel: Packet log: output DENY eth0 PROTO=6 192.168.1.3:1062 194.25.0.52:53 L=60 S=0x00 I=1270 F=0x0000 T=64 SYN (#38)
Aug 30 17:53:01 hans PAM_unix[724]: (cron) session opened for user mail by (uid=0)
Aug 30 17:53:02 hans PAM_unix[724]: (cron) session closed for user mail
Aug 30 17:54:59 hans kernel: Packet log: output DENY eth0 PROTO=6 192.168.1.3:1062 194.25.0.52:53 L=60 S=0x00 I=1609 F=0x0000 T=64 SYN (#38)
Aug 30 17:56:59 hans kernel: Packet log: output DENY eth0 PROTO=6 192.168.1.3:1062 194.25.0.52:53 L=60 S=0x00 I=1610 F=0x0000 T=64 SYN (#38)
Aug 30 17:58:59 hans kernel: Packet log: output DENY eth0 PROTO=6 192.168.1.3:1062 194.25.0.52:53 L=60 S=0x00 I=1691 F=0x0000 T=64 SYN (#38)
Aug 30 18:00:59 hans kernel: Packet log: output DENY eth0 PROTO=6 192.168.1.3:1062 194.25.0.52:53 L=60 S=0x00 I=1715 F=0x0000 T=64 SYN (#38)
Aug 30 18:00:59 hans kernel: Packet log: output DENY eth0 PROTO=6 192.168.1.3:1138 194.25.0.60:53 L=60 S=0x00 I=1716 F=0x0000 T=64 SYN (#38)
Aug 30 18:00:59 hans kernel: Packet log: output DENY eth0 PROTO=6 192.168.1.3:1062 194.25.0.52:53 L=60 S=0x00 I=1715 F=0x0000 T=64 SYN (#38)
Aug 30 18:00:59 hans kernel: Packet log: output DENY eth0 PROTO=6 192.168.1.3:1138 194.25.0.60:53 L=60 S=0x00 I=1716 F=0x0000 T=64 SYN (#38)
Aug 30 18:00:59 hans kernel: Packet log: output DENY eth0 PROTO=6 192.168.1.3:1062 194.25.0.52:53 L=60 S=0x00 I=1715 F=0x0000 T=64 SYN (#38)
Aug 30 18:00:59 hans kernel: Packet log: output DENY eth0 PROTO=6 192.168.1.3:1138 194.25.0.60:53 L=60 S=0x00 I=1716 F=0x0000 T=64 SYN (#38)
Aug 30 18:00:59 hans kernel: Packet log: output DENY eth0 PROTO=6 192.168.1.3:1062 194.25.0.52:53 L=60 S=0x00 I=1715 F=0x0000 T=64 SYN (#38)
Aug 30 18:00:59 hans kernel: Packet log: output DENY eth0 PROTO=6 192.168.1.3:1138 194.25.0.60:53 L=60 S=0x00 I=1716 F=0x0000 T=64 SYN (#38)
Aug 30 18:01:02 hans kernel: Packet log: output DENY eth0 PROTO=6 192.168.1.3:1138 194.25.0.60:53 L=60 S=0x00 I=1717 F=0x0000 T=64 SYN (#38)
Aug 30 18:01:08 hans kernel: Packet log: output DENY eth0 PROTO=6 192.168.1.3:1138 194.25.0.60:53 L=60 S=0x00 I=1718 F=0x0000 T=64 SYN (#38)
Aug 30 18:01:20 hans kernel: Packet log: output DENY eth0 PROTO=6 192.168.1.3:1138 194.25.0.60:53 L=60 S=0x00 I=1719 F=0x0000 T=64 SYN (#38)
Aug 30 18:01:44 hans kernel: Packet log: output DENY eth0 PROTO=6 192.168.1.3:1138 194.25.0.60:53 L=60 S=0x00 I=1720 F=0x0000 T=64 SYN (#38)
Aug 30 18:02:01 hans PAM_unix[730]: (cron) session opened for user root by (uid=0)


Wer oder was ist das? das ganze hab ich seit gestern, seit ich mein system erneuert hab (potato -> woody).

ri

PS: noch was komisches:

This mail is sent by logcheck. If you do not want to receive it any more,
please modify the configuration files in /etc/logcheck or deinstall logcheck.

Active System Attack Alerts
=-=-=-=-=-=-=-=-=-=-=-=-=-=
Binary file /var/tmp/logcheck/check.837 matches

Possible Security Violations
=-=-=-=-=-=-=-=-=-=
Binary file /var/tmp/logcheck/check.837 matches

Unusual System Events
=-=-=-=-=-=-=-=-=-=-=
Binary file /var/tmp/logcheck/check.837 matches


das teil kam zwei mal, direkt nach dem ich nach dem update den rechner das naechste mal neu gebootet hab.

Hallo,


Original geschrieben von red.iceman
Aug 30 17:47:50 hans kernel: Packet log: output DENY eth0 PROTO=6 192.168.1.3:1062 194.25.0.52:53 L=60 S=0x00 I=711 F=0x0000 T=64 SYN (#38)


so wie es in den Meldungen ausschaut, möchte Dein Rechner (192.168.1.3) oder ein anderer aus dem lokalen Netz, gerne per TCP etwas von einem DNS-Server (194.25.0.25, Port 53/tcp -> scheinbar ein DNS-Server der Telekom) über das Interface eth0 abholen; möglicherweise ein Zonentransfer oder ähnliches, aber das ist diesen Meldungen nicht zu entnehmen.

Diese Pakete werden also sehr wahrscheinlich von einem lokalen Rechner in Deinem Netzwerk erzeugt und sollen an den DNS-Server geschickt werden nur läßt das Dein Paketfilter nicht zu und verschluckt diese Pakete direkt wieder.

Selbst wenn Dein Paketfilter diese DNS-Anfragen zulassen würde, dann bekäme der Absender keine Antwort, da hier ein Paket mit privater Absenderadresse ins öffentliche Internet übertragen würde und die Antwort nie zurückkommen würde.

Also: Offensichtlich nichts gefährliches - ganz im Gegenteil ... es sei denn, da spooft jemand halbwegs ordentlich IP-Adressen.

Harry

das ist mein rechner und die firewall laeuft auf meinem rechner.
was ich nicht verstehe, ist: diese meldungen krieg ich erst seit dem systemupdate meines rechners von potato auf woody. und zwar in massen und mit vsch. output-port's: 1062, 1138, 1149, 1290.

wie krieg ich den raus, was das ist?

ri

Hi,

Das mit den verschiedenen Source-Ports ist normal.

Warum fängt deine Firewall überhaupt OUTPUT-Pakete nach Port 53 ab? Das ist eher das Problem, du solltest die Regeln vielleicht rausnehmen.
Hast du einen Telekom-Anschluss? Die IP-Adresse löst reverse auf das auf: resolv-L.DTAG.DE und ich nehme mal an, dass das der Kunden-DNS der Telekom ist.

Ciao, Bernie

nun ja, mag sein, dass man den port vielleicht nicht blocken muss, aber lieber zuviel geblockt, also zu wenig. bevor ich irgendetwas frei geben, will ich zunaechst mal wissen, was genau sich da mit dem telekom dns-server verbinden will. denn die meldungen bekomm ich auch, wenn ich _nichts_ im internet mache. ergo kann es nicht browser/mailprog sein.

ich mag es halt nicht, wenn man compi sachen macht, von den ich nichts weiss.

BTW: was genau bedeuten eigentlich diese beiden system attack alarms? hab ich nur 2mal direkt nach dem update bekommen.

ri

Wenn Du nochmal solche Meldungen bekommst, dann hast Du eine Chance, den verursachenden Prozeß durch "netstat -antp" herauszufinden. Damit solltest Du Dir jedoch nicht allzulange nach Auftreten der Meldungen Zeit lassen, da ansonsten der Socket wieder geschlossen wird und der Prozeß in der Liste nicht mehr erscheint.

Harry

Hi,

wenn du die ipchains Regel statt von DENY auf DROP änderst hast du etwas mehr Zeit, da der Socket erst nach einem Timeout geschlossen wird. Und das dauert so 20-30sek.

Ciao, Bernie

Ähmmm ... DENY hat die selbe Wirkung wie DROP.
Die Unterschiede liegen lediglich darin, dass DENY bei ipchains Verwendung findet und DROP bei iptables. Der Socket läuft bei der aktuellen Konfiguration eh bis auf den Timeout und wird erst dann geschlossen. Eine Umstellung auf DROP ist da nicht notwendig und auch gar nicht möglich, denn ipchains würde DROP gar nicht verstehen :D

Harry

Hi,

Sorry, habs mit REJECT verwechselt. Ich denk schon gar nicht mehr an ipchains.

Ciao, Bernie