RootForum Community

Hi,

was heist das hier?

Sep 7 09:48:10 pxxxxxx portsentry[514]: attackalert: TCP SYN/Normal scan from host: dclient217-162-92-159.hispeed.ch/217.
162.92.159 to TCP port: 135
Sep 7 09:48:10 pxxxxxx portsentry[514]: attackalert: External command run for host: 217.162.92.159 using command: "/usr/l
ocal/portsentry/filtermgr -a 217.162.92.159"

sieht nach einem Angriff aus:-(
benötige dringend tipps, den rooti mehr abzusichern...

VIelen Dank im Vorraus

Gruss Micha

Hi,

steht doch im Log: "Normal scan from"

Da hat jemand deinen Server gescannt, das ist nichts schlimmes.

bye
arty

Argh ... Portsentry mal wieder.

Port 135 könnte genau so gut der Blaster-Wurm sein, der auf Port 135 losgeht, worüber du dir auf einem Linux.System auch nur äußerst bedingt Sorgen machen musst.

Mein Vorschlag : schmeiß den Portsentry so lange von der Kiste, bis du die Ausgaben verstehst. Sorry, ist nicht böse gemeint, aber schau dir mal die weiteren Threads zum Tehma Portsentry hier an, dann wirst du vielleicht verstehen, was ich meine.

interessant das man sich programme installiert mit dessen ausgabe man nichts anfangen kann.... ;)

Komisch ist ja auch, das ich den Portsentry nicht aktiv hab....

hm...

naja...
"Was meinst Du mit "interessant"???


Gruss Micha

Michael_sch wrote:Komisch ist ja auch, das ich den Portsentry nicht aktiv hab....

hm...

naja...
"Was meinst Du mit "interessant"???


Gruss Micha

ehh hassu meinzelmännche auf dem server oder den eintrag dann per hand reingesciebne?

Sep 7 09:48:10 pxxxxxx portsentry[514]: attackalert: TCP SYN/Normal scan from host: dclient217-162-92-159.hispeed.ch/217.
162.92.159 to TCP port: 135

dieses portsentry[514] sieht sehr danach aus das portsentry aktiv ist!

Komisch - aber dieses "Highspeed" - Netzwerk in der Schweiz scheint mir doch etwas dreist zu sein... sperrt man die IP, kommt sofort ein anderer Portscan... aber alles vom selben Betreiber Cablecom. Ich finds ne Sauerrei, denn es entsteht Traffik, den ich nicht haben will. Es sind nur ein Paar KB, aber man kann das ja mal auf das Jahr hochrechnen.

ich hab die Nase voll von denen, und sperren bringt nichts, denn dann kommt ein anderer Server von ihnen dran.

Mein Vorschlag:
Lasse das Netzwerkkabel von dem Server rausziehen/ziehe es selbst raus...

OlafOver:
Das sind keine Server... das sind ganz normale Dialups. Es sieht so aus als würdest du nur die Ausgabe nicht verstehen...

auf 135 habe ich ohne ende sachen ich bin mir relativ sicher das das würmer sind ...

aber das kratzt mich net so richtig :D