Re: (OT)Suche Rat zu verdächtigen IP Packeten (ausgehend)
Am Freitag, 24. September 2004 12:26 schrieb Andreas Kretschmer:
> > Sep 24 10:43:23 oms-net kernel: REJECT NEW SYN/ACK: IN=eth0 OUT=eth2
> > SRC=192.168.11.70 DST=66.196.90.50 LEN=60 TOS=0x00 PREC=0x00 TTL=63
ID=51378
> > DF PROTO=TCP SPT=80 DPT=53595 WINDOW=5792 RES=0x00 ACK SYN URGP=0
>
> SYN und ACK : Bestätigung Aufbauwunsch.
Ja. Es kam aber kein Aufbauwusch von draußen. Siehe die Firewalleinträge:
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \
-m state --state NEW -j LOG --log-prefix "REJECT NEW SYN/ACK: "
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \
-m state --state NEW -j REJECT --reject-with tcp-reset
Außerdem logge ich in der Firewall inzwischen alles mit SPT=80 oder DPT=80 von
und nach 192.168.11.70 (positiv getestet von anderer IP aus). Da ist aber
nichts zu sehen.
> > Nachdem ich den apache gestoppt habe, war erst einmal Ruhe. Bis eben, da
kam
> > ein einzelnes Packet:
> >
> > Sep 24 11:34:15 oms-net kernel: DROP NEW NOT SYN: IN=eth0 OUT=eth2
> > SRC=192.168.11.70 DST=62.109.118.250 LEN=40 TOS=0x08 PREC=0x00 TTL=63
> > ID=16752 DF PROTO=TCP SPT=80 DPT=10618 WINDOW=0 RES=0x00 ACK RST URGP=0
>
> Mmh, da lief vielleicht noch eine Instanz, die dann die Verbindung
> beenden wollte?
Da kann ich bei diesem Packet nicht die Hand für ins Feuer legen, daß dem
nicht so war. Bisher ist Ruhe.
> > Chkrootkit zeigt nichts an.
>
> Was zeigt 'netstat -tulpen' an?
Eine Menge, aber nichts mehr auf Port 80.
Da jetzt Ruhe herrscht, nehme ich an, daß apache Schuld ist/war. Die Frage ist
immer noch, warum er selbsttätig Verbindungen 'bestätigen' wollte, obwohl
nachweislich kein Packet von draußen kam???
Tim
Reply to: