log-Einträge deuten

[Anonymous]

Hallo,

kann mir jemand mal n bißchen auf die Sprünge helfen, was diese Log-Einträge (warn, messages) zu bedeuten haben:

Nov 6 08:32:46 pxxxxxx /usr/sbin/named[8641]: client 217.227.22.223#64079: update denied
Nov 6 08:32:47 pxxxxxx /usr/sbin/named[8641]: client 217.227.22.223#64061: update denied
Nov 6 08:37:36 pxxxxxx /usr/sbin/named[8641]: client 217.227.22.223#64021: update denied
Nov 6 08:37:37 pxxxxxx /usr/sbin/named[8641]: client 217.227.22.223#64007: update denied
Nov 6 08:42:06 pxxxxxx /usr/sbin/named[8641]: client 217.227.22.223#64167: update denied
Nov 6 08:42:07 pxxxxxx /usr/sbin/named[8641]: client 217.227.22.223#64099: update denied

???
Die sind mir heute morgen aufgefallen, erfolgen stündlich immer kurz vor halb.
Was mich zuerst interessiert: fragt mein Server den client 217.227.22.223 oder der client 217.227.22.223 meinen Server ab?
Die IP gehört hier hin:

Name: pd9e316df.dip.t-dialin.net
IP-Adresse: 217.227.22.223
Standort: Darmstadt (49.872N, 8.650E)
Netzwerk: 217-RIPE

Oder ist das n Angriffsversuch, die Zahl hinter dem Doppelkreuz ist doch ganz sicher ne Portnummer, die wird in unregelmäßigen Schritten immer höher?

Gruß
André

[dodolin]

http://www.google.de/search?q=named+cli ... ate+denied
weiß sofort alle Antworten. Bitte nächstes Mal selbst versuchen.

[Anonymous]

... der Tipp ist Google ist sicher gut gemeint, hat mich trotzdem nicht weiter gebracht, sonst hätte ich die Frage hier nicht gepostet.
Mein Server läuft seit 1,5 Jahren, solche Einträge habe ich bisher nie gehabt, und schon gar nicht in der Regelmäßigkeit. Ich habe noch einen 2. Server, dort gibt es diese Einträge auch nicht.
Seit gestern um 17:26 bekomme ich nun diese log-Einträge, 24 Stück in jeder Stunde, und weiß nicht warum?

[dodolin]

... der Tipp ist Google ist sicher gut gemeint, hat mich trotzdem nicht weiter gebracht,

Warum nicht? Was ist noch unklar? Hast du meinen Link begutachtet?

[Anonymous]

Warum nicht? Was ist noch unklar? Hast du meinen Link begutachtet?

... alles ist noch unklar, bei der Suche unter Google bekomme ich zu den Keywords mehrere hundert Ergebnisse, die ich wahrlich nicht alle darauf untersuchen kann, ob sie sich mit meinem Problem decken. Bei einigen habe ich es jedoch getan und da gab es nur die Gemeinsamkeit der Fehlermeldung. Diese wurde dort jedoch von Clients des eigenen Netzwerkes produziert, die den named angesprochen hatten. Bei mir betraf es jedoch einen externen Client, der fast 24 Stunden lang (seit 16:47 ist er nämlich nicht mehr da) über eine IP der Telekom eingewählt war und auf meinem Server diese log-Einträge produzierte. Jedenfalls weiß ich nun genausowenig wie vorher, aber wie gesagt der betreffende client ist jetzt offline und ich habe meine Ruhe.

André

[dodolin]

... alles ist noch unklar, bei der Suche unter Google bekomme ich zu den Keywords mehrere hundert Ergebnisse, die ich wahrlich nicht alle darauf untersuchen kann, ob sie sich mit meinem Problem decken.

Wenn ich einen Google-Link poste, dann ist der im allgemeinen so gut, dass es völlig ausreicht, die erste Trefferseite mit den 10 besten Ergebnissen anzuschauen. Meistens reichen sogar schon der/die erste(n) 1-5 Treffer.

Bei einigen habe ich es jedoch getan und da gab es nur die Gemeinsamkeit der Fehlermeldung. Diese wurde dort jedoch von Clients des eigenen Netzwerkes produziert, die den named angesprochen hatten. Bei mir betraf es jedoch einen externen Client,

Das macht keinen Unterschied, ob der Client im eigenen Netz ist oder nicht. Daher gelten die dortigen Hinweise genauso bei dir.

Jedenfalls weiß ich nun genausowenig wie vorher,

Nein. Wenn du jetzt einen Wissenstransfer auf deine konkrete Situation machst, weißt du, dass dieser Client wohl ein aktuelles Windowssystem hat und deinen Server als DNS Server eingetragen hat. Möglicherweise wird er also bei der nächsten Einwahl erneut diese Logmeldungen bei dir produzieren. Das solltest du beobachten und sofern du den Client nicht kennst und es nicht aufhört, eine Abuse-Meldung an T-Online schicken, damit sie diesem Kunden mal seine DNS-Einstellungen verklickern.

[Anonymous]

... ja, also es ist natürlich so, wie Du gepostet hast, der Knabe fragt munter weiter meinen named ab, immer wenn er online ist und der ist so ziemlich permanent online.
Habe am Freitag bereit an abuse@t-online.de gemailt, bin ja mal gespannt, wie lange die Reaktion auf sich warten läßt...?

Gruß
André

[Anonymous]

Und da ist die Antwort von abuse@t-online.de:

Guten Tag,

vielen Dank für Ihre eMail.

Wir bitten um Verständnis, dass sich das Verhalten der Teilnehmer
unserer Einflussnahme entzieht.

Es steht uns auch nicht zu, in dem vorliegenden Zusammenhang darüber
zu befinden, ob ein juristische Tatbestand vorliegt. Dies ist einer
straf- oder zivilrechtlichen Klärung vorbehalten. Ein Einschreiten
unsererseits ist hier leider zur Zeit nicht möglich.

Sie sollten Strafanzeige gegen unbekannt bei der Polizei erstatten.Die
Polizei oder der Staatsanwalt sollte eine Vorabsicherung der Daten,
bei uns, unter der Fax-Nr. 0731-1592-299 beantragen.

Vorhanden sein muß die verwendete IP, das Datum, die Uhrzeit und die
Zeitzone. Wir sichern dann die Daten und geben diese, gegen einen
richterlichen Beschluß gem § 100 g /h des STPO`s an die Behörden
heraus.


Mit freundlichen Grüßen
Cora Kurz
abuse@t-online.de
T-Online International AG

Kann mir jemand sagen, was ich davon halten soll?
Doch nicht im Ernst Strafanzeige, weil jemand ne falsche IP in seiner DNS Konfiguration stehen hat??? Aber was, wenn 1000 Leute ne falsche IP eintragen und das ist zufällig meine??? Also doch Strafanzeige??? Aber weswegen: "Strafanzeige gegen unbekannt wegen irrtümlich falscher IP" oder so ähnlich?

Hat jemand ne Idee, wie ich den jenigen auf legale Weise auf seine falschen Einstellungen hinweisen kann???

Gruß
André

[dodolin]

Hat jemand ne Idee, wie ich den jenigen auf legale Weise auf seine falschen Einstellungen hinweisen kann???

Per Windows-Nachrichtendienst? ;)
Wer so dumm ist, hat den 100pro auch laufen... :)

Schade, dass T-Online sich zu schade ist, ihren Usern zu korrekten Einstellungen zu verhelfen.

[bastilein]

bitte was ist der windows nachrichten dienst?
*dummstellt*

[chris76]

Nachrichtendienst = eine Benachrichtigung über das Netzwerk.
Du hast Windows? ok dann geh auf Start=>ausführen, tippe

Code: Select all

cmd 

ein und drücke enter.

und dann

Code: Select all

net send 217.233.xxx.xxx Deine nachricht an denjenigen

und enter.

So gehts wenn der allerdings hinter einem DSL Router sitzt wird da nix ankommen es sei denn das hat er freigeschalten.

Gruß Christian

[Anonymous]

.. danke für den Tipp. Habs mal probiert, weder cmd noch net send funktionieren. Ich habe allerdings auf allen Rechnern in meinem Netz hier nur Windows 98 SE, da gibt es doch diesen Nachrichtendienst auch nicht, oder?

Gruß
André

[Anonymous]

... ok, habe mal recherchiert:

für Windows 98 gibt es winpopup, werde mal testen, ob damit der Nachrichtenversand klappt ...

André

[chris76]

ok meine schuld ich hatte w2k oder höher vorausgesetzt,

guck mal hier
http://www.aborange.de/products/netsender.php

Gruß Christian

[Anonymous]

... das Programm hatte ich schon probiert, ging aber nicht, hatte dann das hier http://www.ipmessenger.com/ getestet (2 Tage Testversion). Konnte mit der betreffenden IP jedoch nicht kontakten, nun weiß ich nicht, ob das daran lag, dass der Knabe hinter ner Firewall sitzt oder das Programm nicht funzt...

André

[dodolin]

Portscan, dann weißt du, welche Dienste er offen hat (oder nicht).

[Anonymous]

... also nun habe ich Portscans mit verschiedenen Programmen gemacht, aber alles ohne Erfolg! Der greift auch nach wie vor auf meinen named zu und müllt meine logs zu. Hat sonst noch jemand ne fruchtbringende Idee???

Gruß André

PS: momentan hat er die IP:

Nov 21 21:33:50 pxxxxxx /usr/sbin/named[378]: client 80.129.250.14#65427: update denied

[captaincrunch]

iptables -A INPUT -s 80.129.250.14 -j REJECT

Ist aber halt nur eine sehr temporäre Lösung, bei der du nachher wieder "aufräumen" musst.

[Anonymous]

... ist eigentlich zu temporär, da der ja mit jeder Einwahl, und das ist min. 1 mal täglich, ne neue IP erhält. Man bräuchte evtl. ne Lösung die dynamisch erkennt (z.B. nach 2x "update denied" im logfile mit der gleichen IP), dass da ein nicht authorisierter Zugriff erfolgt und dann müßte so was, wie Du vorschlägst greifen. Also so wie Intrusion Detection - hab ich mal was drüber gelesen, aber stecke nicht tief genug drin, als dass ich mich da ranwagen würde.
Aber vielleicht hat ja jemand ne Idee?

Gruß
André

[dodolin]

Am besten, du sperrst den kompletten DTAG-DAILXX Netzbereich per IPTABLES. Da eigentlich kein dortiger User einen eigenen NS betreiben sollte, sondern die Forwarder seines Providers nutzen sollte, sollte das keinerleich Probleme geben. Und wenn einer doch einen eigenen NS betreibt, sollte er die nötigen Kenntnisse haben, um das Problem selbst zu lösen. ;)