merkwürde Logs

[r00ty]

Hallo ! Ich hab mir gerade überlegt ob ich es bei den Noob-Fragen posten soll, oder hier. Ich hab mich für die Sicherheit entschieden:
Das hab ich beim Durstöbern meiner Logs gefunden: muss das mir zu denken geben ? Was kann ich weiter checken ?
Leider muss ich auch zugeben, dass ich mir nen Trojaner eingefangen habe, der aber mittlerweile (hoffentlich) eliminiert ist. PWs hab ich schon alle geändert.

• May 28 20:48:42 p15114099 xinetd[404]: Deactivating service ftp due to excessive incoming connections. Restarting in 10 seconds.
  May 28 20:48:52 p15114099 xinetd[404]: Activating service ftp
  May 28 20:49:00 p15114099 /USR/SBIN/CRON[8808]: (root) CMD (/root/confixx/confixx_counterscript.pl)
  May 28 20:50:01 p15114099 /USR/SBIN/CRON[9038]: (root) CMD (/root/confixx/confixx_counterscript.pl)
  May 28 20:51:00 p15114099 /USR/SBIN/CRON[9374]: (root) CMD (/root/confixx/confixx_counterscript.pl)
  May 28 20:51:38 p15114099 xinetd[404]: Deactivating service pop3 due to excessive incoming connections. Restarting in 10 seconds.
  May 28 20:51:48 p15114099 xinetd[404]: Activating service pop3
  May 28 20:51:50 p15114099 xinetd[404]: Service ftp: server exit with 0 running servers
  May 28 20:51:59 p15114099 xinetd[404]: Deactivating service pop3 due to excessive incoming connections. Restarting in 10 seconds.
  May 28 20:52:00 p15114099 /USR/SBIN/CRON[9662]: (root) CMD (/root/confixx/confixx_counterscript.pl)
  May 28 20:52:09 p15114099 xinetd[404]: Activating service pop3
  May 28 20:52:09 p15114099 xinetd[404]: Service pop3: server exit with 0 running servers
  May 28 20:52:30 p15114099 xinetd[404]: Deactivating service pop3 due to excessive incoming connections. Restarting in 10 seconds.
  May 28 20:52:40 p15114099 xinetd[404]: Activating service pop3
  May 28 20:52:40 p15114099 xinetd[404]: Service pop3: server exit with 0 running servers
  May 28 20:52:40 p15114099 xinetd[404]: Service pop3: server exit with 0 running servers
  May 28 20:52:51 p15114099 xinetd[404]: Deactivating service pop3 due to excessive incoming connections. Restarting in 10 seconds.
  May 28 20:53:01 p15114099 /USR/SBIN/CRON[10002]: (root) CMD (/root/confixx/confixx_counterscript.pl)
  May 28 20:53:01 p15114099 xinetd[404]: Activating service pop3
  May 28 20:53:01 p15114099 xinetd[404]: Service pop3: server exit with 0 running servers
  May 28 20:54:00 p15114099 /USR/SBIN/CRON[10334]: (root) CMD (/root/confixx/confixx_counterscript.pl)

[captaincrunch]

Das ganze sieht mir eher nach einem DOS-Versuch aus. Dein xinetd macht die Dienste dicht, weil zu viele Anfragen auf einmal reinkommen.

[da-checka]

Solche logs hatte ich in den letzten Tagen auch massig... vielleicht probiert da jemand systematisch 1&1 Server durch?

[dodolin]

Von durchprobieren kann nicht die Rede sein, das ist DoS.
Allerdings wollte ich hier noch anmerken, dass die einzige Reaktion auf ein gecracktes System die komplette Neuinstallation ist. Alles andere ist fahrlässig.

[da-checka]

Naja, die IP's haben wir ja. Bei mir kam alles von xxxxx.9tel.net:

Code: Select all

9 TELECOM RESEAU (9TEL2-DOM)
   38, QUAI DU POINT DU JOUR
   BOULOGNE BILLACOURT 92659
   FR

Wer eine Mail an deren Admin schreiben will, kann gerne meine logs haben.

[r00ty]

hey cool, wo steht das drinnen mit welcher ip das reinkam ?

[da-checka]

/var/log/warn
/var/log/mail

[captaincrunch]

Habt ihr mal daran gedacht, dass die Source-IP eine schon geknackte Kiste sein könnte ? Schreibt am besten eine Mail an abuse@provider.tld, dass die der Sache mal nachgehen ...

[da-checka]

Habt ihr mal daran gedacht, dass die Source-IP eine schon geknackte Kiste sein könnte ? Schreibt am besten eine Mail an abuse@provider.tld, dass die der Sache mal nachgehen ...

Die aufgelöste IP sieht mehr nach einem Dail-UP Zugang aus... aber auch dahinter kann sich natürlich auch ein gehackter Rechner befinden, wobei das ziemlich egal ist.
So oder so ist eine Mail an den Sysadmin die einzige Möglichkeit, der Sache auf den Grund zu gehen.