merkwürde Logs

Rund um die Sicherheit des Systems und die Applikationen
r00ty
Posts: 747
Joined: 2003-03-17 15:32

merkwürde Logs

Post by r00ty » 2003-06-02 13:02

Hallo ! Ich hab mir gerade überlegt ob ich es bei den Noob-Fragen posten soll, oder hier. Ich hab mich für die Sicherheit entschieden:
Das hab ich beim Durstöbern meiner Logs gefunden: muss das mir zu denken geben ? Was kann ich weiter checken ?
Leider muss ich auch zugeben, dass ich mir nen Trojaner eingefangen habe, der aber mittlerweile (hoffentlich) eliminiert ist. PWs hab ich schon alle geändert.
  • May 28 20:48:42 p15114099 xinetd[404]: Deactivating service ftp due to excessive incoming connections. Restarting in 10 seconds.
    May 28 20:48:52 p15114099 xinetd[404]: Activating service ftp
    May 28 20:49:00 p15114099 /USR/SBIN/CRON[8808]: (root) CMD (/root/confixx/confixx_counterscript.pl)
    May 28 20:50:01 p15114099 /USR/SBIN/CRON[9038]: (root) CMD (/root/confixx/confixx_counterscript.pl)
    May 28 20:51:00 p15114099 /USR/SBIN/CRON[9374]: (root) CMD (/root/confixx/confixx_counterscript.pl)
    May 28 20:51:38 p15114099 xinetd[404]: Deactivating service pop3 due to excessive incoming connections. Restarting in 10 seconds.
    May 28 20:51:48 p15114099 xinetd[404]: Activating service pop3
    May 28 20:51:50 p15114099 xinetd[404]: Service ftp: server exit with 0 running servers
    May 28 20:51:59 p15114099 xinetd[404]: Deactivating service pop3 due to excessive incoming connections. Restarting in 10 seconds.
    May 28 20:52:00 p15114099 /USR/SBIN/CRON[9662]: (root) CMD (/root/confixx/confixx_counterscript.pl)
    May 28 20:52:09 p15114099 xinetd[404]: Activating service pop3
    May 28 20:52:09 p15114099 xinetd[404]: Service pop3: server exit with 0 running servers
    May 28 20:52:30 p15114099 xinetd[404]: Deactivating service pop3 due to excessive incoming connections. Restarting in 10 seconds.
    May 28 20:52:40 p15114099 xinetd[404]: Activating service pop3
    May 28 20:52:40 p15114099 xinetd[404]: Service pop3: server exit with 0 running servers
    May 28 20:52:40 p15114099 xinetd[404]: Service pop3: server exit with 0 running servers
    May 28 20:52:51 p15114099 xinetd[404]: Deactivating service pop3 due to excessive incoming connections. Restarting in 10 seconds.
    May 28 20:53:01 p15114099 /USR/SBIN/CRON[10002]: (root) CMD (/root/confixx/confixx_counterscript.pl)
    May 28 20:53:01 p15114099 xinetd[404]: Activating service pop3
    May 28 20:53:01 p15114099 xinetd[404]: Service pop3: server exit with 0 running servers
    May 28 20:54:00 p15114099 /USR/SBIN/CRON[10334]: (root) CMD (/root/confixx/confixx_counterscript.pl)

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: merkwürde Logs

Post by captaincrunch » 2003-06-02 13:03

Das ganze sieht mir eher nach einem DOS-Versuch aus. Dein xinetd macht die Dienste dicht, weil zu viele Anfragen auf einmal reinkommen.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

da-checka
Posts: 45
Joined: 2003-04-05 19:43
Location: stanberg

Re: merkwürde Logs

Post by da-checka » 2003-06-02 13:05

Solche logs hatte ich in den letzten Tagen auch massig... vielleicht probiert da jemand systematisch 1&1 Server durch?

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: merkwürde Logs

Post by dodolin » 2003-06-02 13:13

Von durchprobieren kann nicht die Rede sein, das ist DoS.
Allerdings wollte ich hier noch anmerken, dass die einzige Reaktion auf ein gecracktes System die komplette Neuinstallation ist. Alles andere ist fahrlässig.

da-checka
Posts: 45
Joined: 2003-04-05 19:43
Location: stanberg

Re: merkwürde Logs

Post by da-checka » 2003-06-02 13:26

Naja, die IP's haben wir ja. Bei mir kam alles von xxxxx.9tel.net:

Code: Select all

9 TELECOM RESEAU (9TEL2-DOM)
   38, QUAI DU POINT DU JOUR
   BOULOGNE BILLACOURT 92659
   FR
Wer eine Mail an deren Admin schreiben will, kann gerne meine logs haben.

r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: merkwürde Logs

Post by r00ty » 2003-06-02 13:34

hey cool, wo steht das drinnen mit welcher ip das reinkam ?

da-checka
Posts: 45
Joined: 2003-04-05 19:43
Location: stanberg

Re: merkwürde Logs

Post by da-checka » 2003-06-02 13:36

/var/log/warn
/var/log/mail

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: merkwürde Logs

Post by captaincrunch » 2003-06-02 13:48

Habt ihr mal daran gedacht, dass die Source-IP eine schon geknackte Kiste sein könnte ? Schreibt am besten eine Mail an abuse@provider.tld, dass die der Sache mal nachgehen ...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

da-checka
Posts: 45
Joined: 2003-04-05 19:43
Location: stanberg

Re: merkwürde Logs

Post by da-checka » 2003-06-02 14:01

CaptainCrunch wrote:Habt ihr mal daran gedacht, dass die Source-IP eine schon geknackte Kiste sein könnte ? Schreibt am besten eine Mail an abuse@provider.tld, dass die der Sache mal nachgehen ...
Die aufgelöste IP sieht mehr nach einem Dail-UP Zugang aus... aber auch dahinter kann sich natürlich auch ein gehackter Rechner befinden, wobei das ziemlich egal ist.
So oder so ist eine Mail an den Sysadmin die einzige Möglichkeit, der Sache auf den Grund zu gehen.