RootForum Community

Hallo Leute, habe folgendes im logfile stehen:

Jan 10 19:02:04 pxxxxxxxx scanlogd: 80.131.217.118 to 217.x.x.x ports 7, 9, 13, 17, 21, 23, ..., ???p?uxy, TOS 00, TTL
120 @19:01:58
Jan 10 19:02:40 pxxxxxxxx stunnel[9523]: Using 'qpopper' as tcpwrapper service name
Jan 10 19:02:40 pxxxxxxxx stunnel[9523]: Wrong permissions on /etc/stunnel/stunnel.pem
Jan 10 19:02:40 pxxxxxxxx stunnel[9523]: stunnel 3.14 on i586-suse-linux PTHREAD
Jan 10 19:02:40 pxxxxxxxx stunnel[9523]: qpopper connected from 80.131.217.118:20068
Jan 10 19:02:40 pxxxxxxxx stunnel[9523]: SSL_accept: error:00000000:lib(0):func(0):reason(0)
Jan 10 19:02:42 pxxxxxxxx scanlogd: 80.131.217.118 to 217.x.x.x ports 143, 443, 445, 563, 993, 995, 5631, ..., ??rp?ux
y, TOS 00, TTL 120 @19:02:35

Anscheinend wollte jemand über ssl auf den pop-server, oder so.
Wie sollte man auf sowas reagieren. Die IP ist eine von T-Online.
Ist zu befürchten, dass er erfolgreich eingebrochen ist??
Vielen Dank für Eure Hilfe.

Gruss, Klaus

Jemand hat einen Portscan auf deine Kiste gestartet, was du wohl noch sehr häufig erleben wirst. Von einem "Einbruch" ist das allerdings noch meilenweit entfernt.

Wieso lässt du den scanlogd überhaupt laufen?

Hallo,
danke für Deine Antwort. Das mit dem Portscan ist mir schon klar. Kommt alle Nase lang vor. Macht mir auch keine Sorgen. Was mich irritiert sind die Einträge von stunnel und qpopper. Steht ja auch was von connected.

Gruss, Klaus

Da dieser Portscan anscheinend den Dienst (vermutlich pop3s) direkt connected hat, ist auch der Logfileeintrag da. Da der Portscanner aber keinen "richtigen" Connect, inkl. Aufbau der SSL-Verbindung vorgenommen hat, sieht das ganze so aus, wie es da steht.

Hi,
na dann bin ich ja beruhigt. Vielen Dank für die schnellen Antworten.

Bye, Klaus