unbekannte einträge in var/log/warn

[nettiger]

Hi,

in meiner var/log/warn befinden sich seit installation von iam komische einträge, die ich nicht so recht deuten kann.

Die Ports sind zum teil "netbios Name" (137)...was soll das der sinn?

Hier ein auszug aus meiner logdatei:

Code: Select all

Jan 18 18:32:12 p15111446 kernel: ipacct_unknown:IN=eth0 OUT= MAC=00:20:ed:2b:6f:cf:00:60:08:f7:1a:50:08:00 SRC=217.225.100.84 DST=217.160.108.212 LEN=78 TOS=0x00 PREC=0x00 TTL=121 ID=37976 PROTO=UDP SPT=1029 DPT=137 LEN=58
Jan 18 18:34:46 p15111446 kernel: ipacct_unknown:IN=eth0 OUT= MAC=00:20:ed:2b:6f:cf:00:60:08:f7:1a:50:08:00 SRC=61.124.229.207 DST=217.160.108.212 LEN=78 TOS=0x00 PREC=0x00 TTL=106 ID=5693 PROTO=UDP SPT=63977 DPT=137 LEN=58
Jan 18 18:48:53 p15111446 kernel: ipacct_unknown:IN=eth0 OUT= MAC=00:20:ed:2b:6f:cf:00:60:08:f7:1a:50:08:00 SRC=166.114.217.162 DST=217.160.108.212 LEN=78 TOS=0x00 PREC=0x00 TTL=112 ID=4769 PROTO=UDP SPT=1031 DPT=137 LEN=58
Jan 18 20:24:49 p15111446 kernel: ipacct_unknown:IN=eth0 OUT= MAC=00:20:ed:2b:6f:cf:00:60:08:f7:1a:50:08:00 SRC=24.141.13.181 DST=217.160.108.212 LEN=78 TOS=0x00 PREC=0x00 TTL=115 ID=12629 PROTO=UDP SPT=1026 DPT=137 LEN=58
Jan 18 20:33:48 p15111446 kernel: ipacct_unknown:IN=eth0 OUT= MAC=00:20:ed:2b:6f:cf:00:60:08:f7:1a:50:08:00 SRC=24.73.89.225 DST=217.160.108.212 LEN=78 TOS=0x00 PREC=0x00 TTL=111 ID=7650 PROTO=UDP SPT=1027 DPT=137 LEN=58
Jan 18 20:56:23 p15111446 kernel: ipacct_unknown:IN=eth0 OUT= MAC=00:20:ed:2b:6f:cf:00:60:08:f7:1a:50:08:00 SRC=200.254.210.146 DST=217.160.108.212 LEN=78 TOS=0x00 PREC=0x00 TTL=106 ID=17607 PROTO=UDP SPT=1025 DPT=137 LEN=58
Jan 18 21:14:32 p15111446 kernel: ipacct_unknown:IN=eth0 OUT= MAC=00:20:ed:2b:6f:cf:00:60:08:f7:1a:50:08:00 SRC=151.201.232.120 DST=217.160.108.212 LEN=78 TOS=0x00 PREC=0x00 TTL=110 ID=26430 PROTO=UDP SPT=1072 DPT=137 LEN=58
Jan 18 21:29:16 p15111446 kernel: ipacct_unknown:IN=eth0 OUT= MAC=00:20:ed:2b:6f:cf:00:60:08:f7:1a:50:08:00 SRC=61.151.225.138 DST=217.160.108.212 LEN=78 TOS=0x00 PREC=0x00 TTL=107 ID=30392 PROTO=UDP SPT=1028 DPT=137 LEN=58
Jan 18 21:36:04 p15111446 kernel: ipacct_unknown:IN=eth0 OUT= MAC=00:20:ed:2b:6f:cf:00:60:08:f7:1a:50:08:00 SRC=200.100.20.87 DST=217.160.108.212 LEN=78 TOS=0x00 PREC=0x00 TTL=114 ID=4586 PROTO=UDP SPT=1126 DPT=137 LEN=58
Jan 18 21:58:50 p15111446 kernel: ipacct_unknown:IN=eth0 OUT= MAC=00:20:ed:2b:6f:cf:00:60:08:f7:1a:50:08:00 SRC=172.173.58.182 DST=217.160.108.212 LEN=78 TOS=0x00 PREC=0x00 TTL=109 ID=1472 PROTO=UDP SPT=1029 DPT=137 LEN=58
Jan 18 22:02:04 p15111446 kernel: ipacct_unknown:IN=eth0 OUT= MAC=00:20:ed:2b:6f:cf:00:60:08:f7:1a:50:08:00 SRC=168.226.122.147 DST=217.160.108.212 LEN=78 TOS=0x00 PREC=0x00 TTL=112 ID=48803 PROTO=UDP SPT=1028 DPT=137 LEN=58

Wäre super, wenn mir da jemand weiterhelfen könnte.

vielleicht ist die ganze sache auch gar nicht so wild und ich mach mir umsonst nen kopf :-)

Danke und gruss
Jens

[scythe42]

NetBios Name ist als Server Dienst unter Windows als WINS bekannt. Da versucht einer NetBios Namen nach IPs aufzulösen. Ursache:Fehlkonfiguration oder jemand scannt nach Servern mit SMB, um nen möglichen Exploit anzuwenden.

Kannst du aus Security Sicht ignorieren, wenn du kein SAMBA bei dir aufm Server hast, und das hat auf einem Server im Internet eh nichts zu suchen.

Dein Server weiss halt nicht wie der den Traffic einordnen soll. Du solltest das IP Accounting so konfigurieren, dass es eine "Gruppe" für sonstigen Traffic gibt, dann bist du die Warnmeldungen los. Der Server weiss im Moment halt nur nicht wie er der Traffic einodnen soll, und sagt er dir mir der Meldung.

[floschi]

Hm, hast du IAM?

Hast du das so konfiguriert, wie im Howto in der FAQ nachzulesen? Dort wird nämlich diese Protokollierung abgeschaltet... :)