RootForum Community

Hallo Leute,

ich habe Portsentry konfiguriert und habe im messages folgende Einträge:
Muss ich mir Sorgen machen oder war das eine erfolgreiche Abwehr ??

Sorry für die Frage aber ich habe noch keine Erfahrung mir Portsentry ....

Gruß Outi

PS: Die XXX habe ich eingesetzt, da sie fremde IPs verdecken sollen, damit ich nicht wegen Datenschutz drankomme, die restlichen Xe verdecken unwichtige daten wie Datum und Uhrzeit ....

Och Leute ... wieso nutzt ihr Tools, die ihr nicht versteht ?!? Bitte nicht falsch verstehen, geht nicht persönlich gegen dich, aber in letzter Zeit geht's hier richtig run, was Portsentry angeht ...

Die Meldung besagt einfach nur, das Host XXX.XXX.XXX.XXX dich gescannt hat (wie überaus böse von ihm), und er daher geblockt wurde. Brauchst dir also keine Sorgen zu machen, bzw. hättest du dir auch ohne Portsentry keine Sorgen machen brauchen : ein Portscan ist nichts böses ...

@CC

Danke für die Info. Ich kann Dich verstehen, wenn Du verärgert bist, was uns Newbies angeht. Nur fand ich die Idee mit Protsentry gar nicht schlecht und habe sie deshalb auch mit ins HowTo aufgenommen. Irgend einen Nutzen muss das Teil ja haben, sonst hätte es verm. keine Existenzberechtigung.

Mir war nur die Meldung nicht ganz klar. War es nun ein Warnhinweis auf ein mögliches Problem in der generellen Konfig, das verm. sonst unentdeckt gewesen wäre oder nur eine Meldung ala: "Hey, da war was, nicht weiter schlimm ....".

Ich möchte doch die Geschichte verstehen und das geht nunmal bestens, wenn man sowas live sieht. Da man mit Portsentry verm. auf nem Testsystem sich bestenfalls selbst aussperrt, sah ich nicht so die Gefahr darin, was damit kaputt zu machen aber die Meldung eben war für mich etwas "beängstigent", was Du mir aber bestens erklärt hast ....

Wie ich aber Deiner Antwort entnehmen kann, scheint Portsentry doch wohl eher zu den nutzlosen Tools zu gehören, oder ??

Ich dachte Anfangs eben, wenn jemand dauerhaft pingt und bemerkt, "Hoppala, da wird geblockt, dann schaue ich mich halt woanders um", würde das eben einige Kiddies von mehr Blödsinn abhalten ....

Sorry, bin halt Newbie ....

Gruß Outi

Jemand hat verusucht auf Port 445 zu verbinden. Portsentry hat das erkannt und daraufhin die IP an deinen filtermgr.pl weitergegeben der diese dann via IPTables blockt und nach einiger Zeit wieder entfernt.

Danke für die Info. Ja die Geschichte ist so eingestellt, daß die IPs nach 30 Min. wieder freigegeben werden ....

Gruß Outi

Wenn ich verärgert wäre, würde sich das ganz anders anhören ... ;)

Wie ich aber Deiner Antwort entnehmen kann, scheint Portsentry doch wohl eher zu den nutzlosen Tools zu gehören, oder ??

Wenn du mich so fragst : ja, ich halte Portsentry für genau so nützlich wie einen Kropf ... ;)
Meine Gründe hatte ich in diesem Thread ( http://www.rootforum.org/forum/viewtopic.php?t=13272 ) hier hoffentlich deutlich machen können, wenn du möchtest, können wir diese Diskussion aber gerne hier fortsetzen ... ;)

Ich möchte doch die Geschichte verstehen und das geht nunmal bestens, wenn man sowas live sieht. Da man mit Portsentry verm. auf nem Testsystem sich bestenfalls selbst aussperrt, sah ich nicht so die Gefahr darin, was damit kaputt zu machen aber die Meldung eben war für mich etwas "beängstigent", was Du mir aber bestens erklärt hast ....

OK, ich hatte nicht gewusst, dass es hier um ein Testsystem geht, andererseits brauchst du dann ja nicht die IP's X-en ... ;)

Ich dachte Anfangs eben, wenn jemand dauerhaft pingt und bemerkt, "Hoppala, da wird geblockt, dann schaue ich mich halt woanders um", würde das eben einige Kiddies von mehr Blödsinn abhalten ....

Sorry, aber da ist der nächste Denkfehler : wenn jemand dauerhaft pingt, interessiert Portsentry das nicht die Bohne.
Noch ein Denfehler in dem Satz : 99% aller Portscans, die du durch Portsentry "abfängst" werden von kleinen pickligen Scriptkiddies, die gerade einen supertollen neuen Windows-Portscanner auf einer "Hackerseite" gefunden haben über komplette Netzsegmente geschickt, sind also bei weitem keine Angriffe auf deinen Rechner (auch wenn der Satz vermutlich etwas übertrieben sein dürfte ;) ).

Hier auch noch mal : konzentriert euch lieber darauf, eure Dienste sicher zu konfigurieren, und verriegelt nicht eure Fenster, um nachher zu merken, dass die Haustür nur angelehnt war ...

Ja, Portsentry halt ich für absolut sinnlos und sogar für schädlich. Und aus diesem Grund werde ich in Zukunft zu Threads mit Portsentry auch nicht viel weiters mehr sagen.

CaptainCrunch wrote:OK, ich hatte nicht gewusst, dass es hier um ein Testsystem geht, andererseits brauchst du dann ja nicht die IP's X-en ... ;)

Danke für Deine Infos. Nunja, ich muss die IPs Xen, da es nicht die IPs von meinem Testsystem waren, sondern von jemand fremden ....

Und Du weisst ja, der Schuss kann nach hinten losgehen ....

Gruß Outi

Nachtrag: Nunja, dann schmeisse ich Portsentry wieder runter ....
Ach ja, Testsystem heisst nicht, daß ich die Büxe nicht irgendwann produktiv einsetzen will, im Moment habe ich nur meine eigenen Sachen auf nem realen Rootie drauf ....

portsentry hat schon einige deutliche nachteile,
zum einen bietet es services auf ner menge ports an undschließlich läuft portsentry ja als root. d.h. wenn jemand nene exploit für portsentry hat bringt PS eher das gegenteil.
Desweiteren is das inet leider nicht ipspoofing sicher, früher gabs mal tools extra für portsentry um PS mit möglichst vielen ipranges zu zu scannen.
das kann dann schenllmal dazu führen das man selber oder kunden nichtmehr auf den rechner kommen.

für den heimgebrauch is portsentry ganz interessant zum analysieren, aber alleine durch die ganzen angebotenen sevices zieht das wohl eher cracker an als sie abzuhalten ;)

Outlaw wrote: Danke für Deine Infos. Nunja, ich muss die IPs Xen, da es nicht die IPs von meinem Testsystem waren, sondern von jemand fremden ....

Und Du weisst ja, der Schuss kann nach hinten losgehen ....

Gruß Outi

Seit wann darf man keine IP Nummern öffentlich posten?

Man kann schon IPs öffentlich posten, ich will nur vermeiden, daß ich evtl. was falsches sage und der Owner mir daraus nen Strick dreht ....

Das ist so ungefähr wie jemandens Adresse zu posten, der das vielleicht gar nicht will ....

Gruß Outi

Ich hatte portsentry lange Zeit bei mir laufen, aber irgendwann hab selbst ich Betonkopf gepeilt, dass das Ding unnötig Ressourcen frisst und keinerlei Funktion hat...

Man kann schon IPs öffentlich posten, ich will nur vermeiden, daß ich evtl. was falsches sage und der Owner mir daraus nen Strick dreht ....

Hey, wenn der Typ meint, dich ungefragt sscannen zu müssen, warum solltest du dann nicht auch seine IP hier veröffentlichen dürfen ? ;)

naja hatte Portsentry laufen aber wie olfi gesagt hat frisst es resourcen müllt mir mein log zu naja jetzt läufts nicht mehr.

lag wohl auch daran das es auf einmal meinte da kämen portscans von leuten die normal webseiten besuchen wollten und die leute dann netterweise geblockt hat ... naja was solls ;)

wie gesagt unnötig wie sand in der wüste