Archiv verlassen und diese Seite im Standarddesign anzeigen : Warn Meldungen erklären?
Hi,
ich finde in /var/log/messages und /var/log/warn eine Menge Meldungen die fast alle
so aussehen:
schnipp:
----------------
May 9 14:54:07 linux kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=80.133.26.174 DST=213.39.153.4
LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=43540 DF PROTO=TCP SPT=61752 DPT=4662 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (0204058401010402)
-----------------
schnapp
Kann mir jemand erklären was meine Firewall denn dort nun macht?
Irgendwie habe ich nicht so richtig was gefunden, was ich auch verstehen würde :confused:
Ich hoffe jemand kann mir da ein paar Tips geben wie ich da am besten vorzugehen habe.
Vielen Dank
MfG
sowatt
Das versucht ein Programm auf Port 4662 eine Verbindung zu dir auszunehmen. Mit großer Wahrscheinlichkeit ist das ein eDonkey/mldonkey etc... Vermutlich hat der jenige der vor dir die dynamisch zugewiesene IP eines der P2P-Filesharingprogramme laufen gehabt und jetzt versuchen es noch irgendwelche Clients bei dir.
Ich nehme an du hast den Port nicht geöffnet... damit tut die FW dann auch was sie soll... droppen...
Hallo,
vielen Dank für die Info. Na, dann brauch ich mir ja keine weiteren
Gedanken zu machen das ich da irgendwie ein Sicherheitsloch
habe.
MfG
sowatt
Ach, da gibts noch ein paar mehr Ports, die mich erst an den Rand des Wahnsinns getrieben haben, als ich die mal in den Logs gefunden habe.
TCP 445 ist recht häufig...das ist ein MS-Dienst, warum der auch an meiner Linux-FW klopft, weiss der Geier
TCP 4662 ist wie gesagt schon eDonkey, und ehrlich gesagt, das wird immer lästiger
UDP 137 ist auch nervtötend. Das hängt mit netbios zusammen, juckt mich aber nicht, da netbios bei mir nicht vorkommt
ICMP 2048 .... bei diesem "Port" habe ich wirklich lange gesucht, bis ich da eine Erklärung hatte. Absender hiervon sind MS SQL-Datenbanken
TCP 139 Computersuchdienst oder Samba
UDP 1434 auch wieder von MS-SQL, dies ist übrigens der Port, über den sich der SQL-Wurm vor einiger Zeit verbreitet hat. Das der noch hin und wieder auftaucht bedeutet für mich eigentlich, dass da einige immer noch nicht ihr SQL gepatcht haben.
zu der sache mit der ms-sql wurm.
hin und wieder?
taeglich und andauernd, kein tag vergeht an dem keine anfrage davon kommt.
bei uns mindestens 5 am tag auf alle faelle.
(und vor 11 minuten auch mal wieder)
also das ist auch so eine sache dir uns hier beschaeftigt. denn irgendwo kanns ja nicht sein, das die leute es nicht rallen das ding zu patchen. ausserdem trat der november letzten jahres das erste mal auf. (soll aber noch aelter sein das teil...)
unlogisch!
del
FTF
Verglichen mit den zig Anfragen auf Port 4662 kommt der SQL-Port wirklich selten dran (Verhältnis etwa 15:1).
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.