RootForum Community

was sagt mir das????

Mar 21 04:23:01 server portsentry[193]: attackalert: TCP SYN/Normal scan from host: 218.19.142.63/218.19.142.63 to TCP port: 445
Mar 21 04:23:01 server portsentry[193]: attackalert: External command run for host: 218.19.142.63 using command: "/usr/local/portsentry/filtermgr -a 218.19.142.63"

und das???

Mar 21 00:15:17 server su: (to nobody) root on none
Mar 21 00:15:17 server PAM-unix2[9406]: session started for user nobody, service su
Mar 21 00:16:00 server /USR/SBIN/CRON[9422]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Mar 21 00:16:58 server PAM-unix2[9406]: session finished for user nobody, service su

das was ichg glaube???

attackalert: TCP SYN/Normal scan from host: 218.19.142.63/218.19.142.63 to TCP port: 445

Jemand hat einen Portscan auf deine Kiste geamcht. Na und ?

Mar 21 00:15:17 server su: (to nobody) root on non

Ein Dienst hat seine root-Privilegien aufgegeben und läuft als User nobody. Wieder : na und ?

Ersteres ist ganz normal. Portscans sollte jeder von uns mehrmals am Tag haben.
Zweiteres ist auch ganz normal, z.B. wird beim cronjob für updatedb (also die Datenbank für's locate-Kommando) genau das gemacht ...

Fazit : Locker bleiben ...

aber was ist mit :
External command run for host: 218.19.142.63 using command: "/usr/local/portsentry/filtermgr -a 218.19.142.63"????

heisst das das dieser jemand portsentry selbst ausgeschaltet hat??

Nein, das heisst, dass dein Portsentry das genannte Kommando gestartet hat (wegen dem Portscan). Fazit: Man sollte keine Software einsetzen, wenn man deren Ausgaben nicht versteht. Ist genauso, wie mit Personal Firewalls...