Regelmässig warte und Kontrolliere ich unseren Server und von den Logs her war immer alles ok, ausser den Scanattacken natürlich.
Jetzt habe ich auf jeden Fall diesen Eintrag entdeckt:
Und falls du zusätzlich das meinen solltest : "ernel: New not syn:IN=eth0 OUT= MAC=00:20:ed:39:b8:d9:00:00:5a:9d:07:ec:08:00 SRC=216.152.64.213 DST=217.160.130.135 LEN=40 TOS=0x00 PREC=0x00 TTL=114 ID=5247 PROTO=TCP SPT=6667 DPT=1687 WINDOW=0 RES=0x00 ACK RST URGP=0"
Du hast vermutlich das IPtables-Script, das ich vor langer Zeit mal hier gepostet hatte genutzt, und dein Kernel will dir damit mitteilen, dass jemand mit der Quell-IP 216.152.64.213 versucht hat, auf deinen Port 6667 (siehe dazu http://isc.incidents.org/port_details.html?port=6667 ) zuzugreifen. Dabei hatte das Paket kein anfängliches Syn, dass es bei einem "ordentlichen" Three Way Handshake haben sollte ...
Vorab, vielen Dank für eure Antworten.
Ich verstehe nur nicht, daß es doch ein Reboot hätte sein können. Ich hatte es zwar leise im Hinterkopf, hatte es aber nicht für möglich gehalten.
Wer sollte ausser ich einen Reboot vornehmen und in var/log messages wurde es sonst immer anders angezeigt, wenn ein Reboot erfolgte.
Der Scanblocker war auch abgeschaltet, obwohl ich das so konfiguriert hatte, daß er, wenn ein Reboot erfolgt, er automatisch wieder aktiv wird.
Naja, ich werde wohl alle Logs gründlich durchkämmen müssen.
Es ist wirklich eine Plage mit denen, die andauernd Versuchen auf einen fremden Server zu kommen, denn sonst müßte man nicht immer jeder potenziellen Anomalie nachgehen.
dea wrote:... Du hast nicht zufällig die NIC im promiscuous mode zu laufen gehabt ?
..du meinst, ob die Netzwerkkarte in diesem Modus läuft? Nein, ein ifconfig zeigt es jedenfals nicht an. Was wäre denn, wenn die Netzwerkkarte in diesem Modus laufen sollte???
Dann reagiert der Serverauf Reboot-Magic-Packets aus dem Kundenmenü die für benachbarte (genauer Server im gleichen Subnet) bestimmt sind. Unpraktische Sache.
Und falls du zusätzlich das meinen solltest : "ernel: New not syn:IN=eth0 OUT= MAC=00:20:ed:39:b8:d9:00:00:5a:9d:07:ec:08:00 SRC=216.152.64.213 DST=217.160.130.135 LEN=40 TOS=0x00 PREC=0x00 TTL=114 ID=5247 PROTO=TCP SPT=6667 DPT=1687 WINDOW=0 RES=0x00 ACK RST URGP=0"
Du hast vermutlich das IPtables-Script, das ich vor langer Zeit mal hier gepostet hatte genutzt, und dein Kernel will dir damit mitteilen, dass jemand mit der Quell-IP 216.152.64.213 versucht hat, auf deinen Port 6667 (siehe dazu http://isc.incidents.org/port_details.html?port=6667 ) zuzugreifen. Dabei hatte das Paket kein anfängliches Syn, dass es bei einem "ordentlichen" Three Way Handshake haben sollte ...
Sorry, ich will ja ungerne den Besserwisser spielen, aber IMHO ist das falsch.
Dieser Log sagt, dass von dem Rootserver 217.160.130.135 aus auf dem Server 216.152.64.213 im IRC gechattet wurde (SPT=6667). Die Verbindung war wohl nicht mehr in der State-Table und wurde deshalb als new-not-syn gekennzeichnet und verworfen. Trotzdem bleibt das ein ganz normales Paket, das zu einer bestehenden Verbindung gehörte. Genauer gesagt, wollte es die Verbindung beenden (ACK RST). Das kommt öfter mal vor, sofern man das loggen lässt. Aber ein Portscan oder sowas war es jedenfalls nicht (IMHO).
dea wrote:... Du hast nicht zufällig die NIC im promiscuous mode zu laufen gehabt ?
..du meinst, ob die Netzwerkkarte in diesem Modus läuft? Nein, ein ifconfig zeigt es jedenfals nicht an.
ifconfig ist unter Linux ziemlich ungeeignet, um festzustellen, ob ein Interface in den promiscuous mode geschaltet wurde. Benutze besser den "ip"-Befehl.
