PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Warn Meldungen erklären?



sowatt
09.05.03, 15:17
Hi,
ich finde in /var/log/messages und /var/log/warn eine Menge Meldungen die fast alle
so aussehen:

schnipp:
----------------
May 9 14:54:07 linux kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=80.133.26.174 DST=213.39.153.4
LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=43540 DF PROTO=TCP SPT=61752 DPT=4662 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (0204058401010402)

-----------------
schnapp

Kann mir jemand erklären was meine Firewall denn dort nun macht?
Irgendwie habe ich nicht so richtig was gefunden, was ich auch verstehen würde :confused:
Ich hoffe jemand kann mir da ein paar Tips geben wie ich da am besten vorzugehen habe.

Vielen Dank
MfG
sowatt

majobu
09.05.03, 16:30
Das versucht ein Programm auf Port 4662 eine Verbindung zu dir auszunehmen. Mit großer Wahrscheinlichkeit ist das ein eDonkey/mldonkey etc... Vermutlich hat der jenige der vor dir die dynamisch zugewiesene IP eines der P2P-Filesharingprogramme laufen gehabt und jetzt versuchen es noch irgendwelche Clients bei dir.

Ich nehme an du hast den Port nicht geöffnet... damit tut die FW dann auch was sie soll... droppen...

sowatt
10.05.03, 04:05
Hallo,

vielen Dank für die Info. Na, dann brauch ich mir ja keine weiteren
Gedanken zu machen das ich da irgendwie ein Sicherheitsloch
habe.

MfG
sowatt

Phyraxis
10.05.03, 15:05
Ach, da gibts noch ein paar mehr Ports, die mich erst an den Rand des Wahnsinns getrieben haben, als ich die mal in den Logs gefunden habe.

TCP 445 ist recht häufig...das ist ein MS-Dienst, warum der auch an meiner Linux-FW klopft, weiss der Geier

TCP 4662 ist wie gesagt schon eDonkey, und ehrlich gesagt, das wird immer lästiger

UDP 137 ist auch nervtötend. Das hängt mit netbios zusammen, juckt mich aber nicht, da netbios bei mir nicht vorkommt

ICMP 2048 .... bei diesem "Port" habe ich wirklich lange gesucht, bis ich da eine Erklärung hatte. Absender hiervon sind MS SQL-Datenbanken

TCP 139 Computersuchdienst oder Samba

UDP 1434 auch wieder von MS-SQL, dies ist übrigens der Port, über den sich der SQL-Wurm vor einiger Zeit verbreitet hat. Das der noch hin und wieder auftaucht bedeutet für mich eigentlich, dass da einige immer noch nicht ihr SQL gepatcht haben.

delforcer
12.05.03, 01:34
zu der sache mit der ms-sql wurm.

hin und wieder?
taeglich und andauernd, kein tag vergeht an dem keine anfrage davon kommt.
bei uns mindestens 5 am tag auf alle faelle.
(und vor 11 minuten auch mal wieder)
also das ist auch so eine sache dir uns hier beschaeftigt. denn irgendwo kanns ja nicht sein, das die leute es nicht rallen das ding zu patchen. ausserdem trat der november letzten jahres das erste mal auf. (soll aber noch aelter sein das teil...)
unlogisch!

del

FTF

Phyraxis
12.05.03, 09:32
Verglichen mit den zig Anfragen auf Port 4662 kommt der SQL-Port wirklich selten dran (Verhältnis etwa 15:1).