Wolfgang Jeltsch:
> Am Mittwoch, 28. Juni 2006 19:04 schrieb Jochen Schulz:
> > Wolfgang Jeltsch:
> >
> > > ich habe in meinen Serverlogs des öfteren ssh-Meldungen der Form ???Did
> > > not receive identification string from <IP-Adresse>??? und habe mir
> > > bislang keine großen Gedanken darum gemacht.
> >
> > Mußt Du auch nicht, wenn Du entweder wirklich gute Passworte benutzt
> > oder Authentifikation per Passwort im sshd ganz abgeschaltet hast.
>
> Ich habe letzteres gemacht. Heißt das, dass diese Meldung auch unbedenklich
> ist, wenn sie die IP-Adresse 127.0.0.1 enthält?
Da fühle ich mich nicht kompetent genug, das sicher zu beantworten.
ImHinterkopf kreist mir das Wort "rootkit", aber ich kann mir nicht
erklären, warum jemand, der auf Deiner Kiste schon root ist, noch per
ssh darauf kommen wollte.
> > Ist da eine Meldung über "martian source" in der Nähe? Das würde
> > bedeuten, dass Pakete mit einer Absenderadresse hereinkommen, die nicht
> > zum Interface paßt (etwa 127.0.0.1 über ppp0).
>
> Nichts dergleichen. (Die Schreibweise ???martian??? ist richtig, ja? Ich habe
> nämlich nur mal grep bemüht, anstatt von Hand zu suchen.)
Ja, englisch: vom Mars. Humor der Kernelentwickler.
> Außerdem, was hätte ein Angreifer von einem Angriffsversuch unter der
> Absenderadresse des localhost? Der kriegt ja nie eine Reaktion zurück.
Die muß er nicht unbedingt haben, wenn er mit dem einen Paket schon
einen Exploit hinbekommt (siehe SQL Slammer). Die gefälschte
Absenderadresse kann helfen, an Paketfiltern vorbeizukommen. Wer filtert
schon 127.0.0.1? Abhilfe:
http://www.tldp.org/HOWTO/IPCHAINS-HOWTO-5.html#antispoof
Bei Debian (zumindest unstable) kann man das in /etc/sysctl.conf
einschalten. Keine Ahnung, warum das nicht per default aktiv ist.
J.
--
I have been manipulated and permanently distorted.
[Agree] [Disagree]
<http://www.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature