[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Fehler syslog



Also sprach Michael Welle <m.welle@gmx.net> (Mon, 03 Oct 2005 17:11:10
+0200):
> Hallo,

Hi,

> Richard Mittendorfer <delist@gmx.net> writes:
> > Also sprach Michael Welle <m.welle@gmx.net> (Mon, 03 Oct 2005 16:22:24
> > +0200):
> >> Hans-Georg Bork <hgb@hgbhome.net> writes: 
> >> > On Mon, Oct 03, 2005 at 09:12:36AM +0200, Michael Welle wrote:
> >> >> seit langem vermutet ich, dass der syslogd etwas verwirrt ist:
> >> >> 
> >> >> Oct  2 19:12:24 ssh connection attempt from x.x.x.x (x.x.x.x:59268->x.x.x.x:22)
> >> >> Oct  2 19:16:10 last message repeated 163 time(s)
> >> >> Oct  2 19:28:09 ssh connection attempt from 61.100.108.205 (61.100.108.205:63763->x.x.x.x:22)
> >> >> Oct  2 23:57:11 last message repeated 661 time(s)
> >> >
> >> > sieht aus wie ein versuchter Einbruch eines "script-kiddies".
> >>
> >> die IP ist zwar von 'ziemlich weit draussen', aber bei <3 Zugriffen
> >> kann man wohlwollend von Vertipper bei der Zieladresse ausgehen ;).
> >> Anyway, mein Problem ist auch eher, das angeblich 661 stattgefunden
> >> haben sollen, was sich nicht mit meinen sonstigen Erkenntnissen
> >> deckt. 
> >
> > Wuerd' auch auf 'ne brute-force Attake tippen. Die Zeit/Dauer wuerde 
> > auch passen.
> >
> > Der erste Eintrag ist in der Tat merkwuerdig - sei denn, du hast deine
> > Firewall kaputt konfiguriert. Poste die mal.
> Ich soll eine firewall posten ;)? Parallel schrieb ich ja, dass die

Mit kaputten routing/rules laesst sich der erste Eintrag vermutlich
auch herstellen. 

> obigen logs von ippl generiert werden, also unabhaengig von
> Packetfiltern sind. Aber dadurch, dass mein Packetfilter abgewiesene

Hoppala, ist mir entgangen..

Wenn ippl mit promisc mode arbeitet bekommt er ua. udp-Hits (am tcp-
gedroppten) Port 22 mit. Warum dann jemand 661 Versuche starten sollte
ist 'ne andere Sache. Pruef' mal deinen Rechner von aussen.

> Verbindungen log, weiss ich, dass da keine 661 Versuche
> stattfanden (konnten). Die Regel fuer iptables sieht etwa so aus:
>
>  iptables -A ssh_block -i ${EXT_IF} -p tcp
> --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name
> SSH -j LOG --log-prefix "LOG_SSH: "
> 
> Danach wird das Packet gedroppt. 

Wie auch immer.. Ich kenn den Kontext nicht.

> Wenn ich die Woche Zeit habe, muss ich wohl mal in die Quellen von
> ippl schauen. 
> 
> VG
> hmw

sl ritch



Reply to: