RootForum Community

Posted: **2003-06-30 13:13**

Hallo,

hat wer eine Ahnung was das heissen könnte? Ist ein Auszug aus dem /var/log/messages File (Redhat 7.3):

Jun 30 12:49:27 wilson proftpd[9530]: wilson - Fatal: unable to open incoming connection: Bad file descriptor 
Jun 30 12:53:26 wilson proftpd[9563]: wilson (ism1.nacamar.de[195.185.185.27]) - FTP session opened. 
Jun 30 12:53:26 wilson proftpd[9563]: wilson(ism1.nacamar.de[195.185.185.27]) - FTP session closed. 
Jun 30 12:54:34 wilson proftpd[9584]: wilson- Fatal: unable to open incoming connection: Bad file descriptor 
Jun 30 12:58:26 wilson proftpd[9632]: wilsonde (ism1.nacamar.de[195.185.185.27]) - FTP sessionmar.de[195.185.185.27]) - FTP session opened. 
Jun 30 13:03:31 wilson proftpd[9736]: wilson (ism1.nacamar.de[195.185.185.27]) - FTP session closed. 
Jun 30 13:04:44 wilson proftpd[9761]: wilson - Fatal: unable to open incoming connection: Bad file descriptor 
Jun 30 13:08:27 wilson proftpd[9816]: wilson (ism1.nacamar.de[195.185.185.27]) - FTP session opened. 
Jun 30 13:08:27 wilson proftpd[9816]: (ism1.nacamar.de[195.185.185.27]) - FTP session closed. 
Jun 30 13:09:46 wilson proftpd[9840]: wilson - Fatal: unable to open incoming connection: Bad file descriptor 
Jun 30 13:13:32 wilson proftpd[9873]: (ism1.nacamar.de[195.185.185.27]) - FTP session opened. 
Jun 30 13:13:32 wilson proftpd[9873]: wilson(ism1.nacamar.de[195.185.185.27]) - FTP session closed. 
Jun 30 13:14:58 wilson proftpd[9880]: wilson- Fatal: unable to open incoming connection: Bad file descriptor 
Jun 30 13:18:32 wilson proftpd[9944]: wilson (ism1.nacamar.de[195.185.185.27]) - FTP session opened. 
Jun 30 13:18:32 wilson proftpd[9944]: (ism1.nacamar.de[195.185.185.27]) - FTP session closed.

Das ganze erscheint mit dieser IP Adresse + diesem Namen mehrmals pro Minute und nervt weil es die Logs voll knallt.
Welcher Depp will sich so oft auf diesen FTP connecten? Wie kann ich das unterbinden? Oder hab ich nen Fehler auf der HDD ("Bad File descriptor")?

Danke und Gruß

Posted: **2003-06-30 13:28**

Oder hab ich nen Fehler auf der HDD ("Bad File descriptor")?

Nein. Unter Unix ist alles ein File, also z.B. auch Standardeingabe und -ausgabe. Die Meldung besagt, dass eben ein solcher file descriptor für die Verbindung nicht zur Verfügung steht. Geht denn ftp grundsätzlich bei dir ?

Posted: **2003-06-30 14:45**

Ja, bei normalen Confixx Usern, welche dem System bekannt sind, ist alles in Ordnung.

Auch im SSH Log ist der Spinner aktiv:

Code: Select all

Jun 30 11:56:56 wilson sshd[8861]: Bad protocol version identification 'quit' from 195.185.185.27
Jun 30 12:06:57 wilson sshd[8937]: Bad protocol version identification 'quit' from 195.185.185.27
Jun 30 12:17:01 wilson sshd[9092]: Bad protocol version identification 'quit' from 195.185.185.27
Jun 30 12:26:57 wilson sshd[9196]: Bad protocol version identification 'quit' from 195.185.185.27
Jun 30 12:36:57 wilson sshd[9342]: Bad protocol version identification 'quit' from 195.185.185.27
Jun 30 12:46:57 wilson sshd[9498]: Bad protocol version identification 'quit' from 195.185.185.27
Jun 30 12:56:57 wilson sshd[9612]: Bad protocol version identification 'quit' from 195.185.185.27
Jun 30 13:06:57 wilson sshd[9796]: Bad protocol version identification 'quit' from 195.185.185.27
Jun 30 13:17:02 wilson sshd[9926]: Bad protocol version identification 'quit' from 195.185.185.27
Jun 30 13:26:58 wilson sshd[10208]: Bad protocol version identification 'quit' from 195.185.185.27
Jun 30 13:36:59 wilson sshd[10418]: Bad protocol version identification 'quit' from 195.185.185.27
Jun 30 13:46:59 wilson sshd[10596]: Bad protocol version identification 'quit' from 195.185.185.27
Jun 30 13:57:00 wilson sshd[10910]: Bad protocol version identification 'quit' from 195.185.185.27
Jun 30 14:07:00 wilson sshd[11106]: Bad protocol version identification 'quit' from 195.185.185.27
Jun 30 14:14:59 wilson proftpd[11303]: wilson.netclusive.de (levk-d9b9e0c3.pool.mediaWays.net[217.185.224.195]) - USER ncc2: Login successful. 
Jun 30 14:17:00 wilson sshd[11373]: Bad protocol version identification 'quit' from 195.185.185.27
Jun 30 14:23:06 wilson proftpd[11469]: wilson.netclusive.de (levk-d9b9e0c3.pool.mediaWays.net[217.185.224.195]) - USER ncc2: Login successful. 
Jun 30 14:27:00 wilson sshd[11529]: Bad protocol version identification 'quit' from 195.185.185.27
Jun 30 14:37:00 wilson sshd[11700]: Bad protocol version identification 'quit' from 195.185.185.27
Jun 30 14:47:01 wilson sshd[11918]: Bad protocol version identification 'quit' from 195.185.185.27

Das ganze geht nun schon seit mehren Tagen, ich würd halt nur gern das das aufhört :roll:

Posted: **2003-06-30 14:48**

Das ganze geht nun schon seit mehren Tagen, ich würd halt nur gern das das aufhört

Dann schreib den zuständigen Abuse an und hoffe, dass die was unternehmen.

Posted: **2003-06-30 15:02**

Wie komm ich an so eine Adresse?

abuse at nacamar.de?

[Edit von dodolin: Adresse verfälscht]

Posted: **2003-06-30 16:19**

Wie komm ich an so eine Adresse?

http://www.iks-jena.de/mitarb/lutz/usen ... html#whois

Noch besser: http://www.abuse.net/ z.B. http://www.abuse.net/lookup.phtml (den Reverse DNS Namen eingeben).

Also für 195.185.185.27 wäre das dann abuse at b2b.tiscali.com. Steht sowohl auf abuse.net als auch im whois. Und bitte hier keine Abuse-Adressen verbrennen.

Posted: **2003-06-30 17:53**

Wenn man sich die Mühe machen würde die IP 195.185.185.27 mal aufzulösen, würde man sehen, dass das von ism1.nacamar.de kommt, wass sich irgendwie nach Internet Service Monitor anhört...

Evtl. bei einem Monitoringdienst eingetragen?

Posted: **2003-07-01 07:34**

Hi,

@Alexander
Die Adresse wurde aufgelöst - steht ja auch im obigen Code.
Da meine Server bei Tiscali in FFM stehen, hab ich dort mal angerufen. Auf die Schnelle konnte man mir dort zwar nicht helfen, ich hab allerdings auch die Tiscali Abuse Adresse bekommen. Dort warte ich nun noch auf Antwort.

Das mit dem Monitor Dienst kam mir auch in den Sinn, da meine Server u.a. vom Tiscali NOC überwacht werden - mich wundert nur das auf 5 weiteren Servern die ich dort stehen habe keine dieser Meldungen auftauchen, die Konfiguration der Rechner ist nahezu die Gleiche.

Mal sehen was man mir dort antwortet.

Posted: **2003-07-01 08:40**

flibbi wrote:Hi,
@Alexander
Die Adresse wurde aufgelöst - steht ja auch im obigen Code.

Das habe ich übersehen, sorry!

RootForum Community

Komische ProFTPD Meldung

Komische ProFTPD Meldung

Re: Komische ProFTPD Meldung

Re: Komische ProFTPD Meldung

Re: Komische ProFTPD Meldung

Re: Komische ProFTPD Meldung

Re: Komische ProFTPD Meldung

Re: Komische ProFTPD Meldung

Re: Komische ProFTPD Meldung

Re: Komische ProFTPD Meldung