AW: linux-l: Ramen-Befall?
peter.thurm at berlin.de
peter.thurm at berlin.de
Di Jan 30 23:04:09 CET 2001
mal den scanner von www.avp-de für linux probiert? ist ein geiles gerät und mit einer der besten scanner der auch wirklich alles ausfindig macht. und hat nen support der antwortet und den eindruck erweckt wirklich helfen zu wollen.
peter
>
> Von: Bjoern Gerhart <b.gerhart at web.de>
> Datum: 2001/01/30 Tue PM 10:41:14 CET
> An: linux-l at mlists.in-berlin.de
> Betreff: linux-l: Ramen-Befall?
>
> Hallo,
>
> ich habe hier einen Linux (Mandrake 7)-Server für meine
> Internet-Anbindung. Gewöhnlich laufen dort Dienste wie portmap, ypserv,
> nfs, smb sshd und postfix, jedoch _kein_ wuftpd.
> Nun habe ich festgestellt, dass hunderte von DNS-Anfragen auf
> unterschiedliche IP-Bereiche über die ISDN-Leitung gestellt werden. Dies
> tritt auch dann auf, wenn der Server vom LAN getrennt ist und fast alle
> Netzwerkdienste beendet sind (siehe ps-eaf.log).
> Mit tcpdump habe ich diese Anfragen mal mitgeschrieben (siehe tcpdump.log -
> ca. 6 Anfragen pro Sekunde!).
>
> Dieses Verhalten ist doch recht seltsam und auch noch recht neu
> (seit höchstens 2 Wochen).
> Bei securityfocus.com habe ich über den Wurm Ramen gelesen.
> Dort steht, dass RH6.2 und RH7.0 in den Programmen portmap und wu_ftpd
> Sicherheitslöcher hat (Mandrake ist ja auch ein RH-Abkömmling).
> Seit einigen Monaten habe ich auf dem Server installiert:
>
> portmap-4.0-11mdk
> nfs-utils-0.2.1-2mdk
>
> Auf der Mandrake Homepage selbst steht weder etwas zur
> "Ramen-Problematik" noch ein aktualisiertes portmap-RPM..
>
> Meinen Server habe ich auf das Vorhandensein von Ramen untersucht, indem
> ich ein "telnet localhost 27374" versucht habe (auf diesem Port soll
> ramen einen eigenen http-Server betreiben). Ohne Erfolg.
> Apache ist nicht installiert, sodass ich nicht die ersetzte index.html
> sehen konnte. In /etc/inetd.conf (wo sich der "ramen-daemon" eingetragen
> haben soll) ist auch kein unüblicher Eintrag zu entdecken.
>
>
> Ich weiß nicht, wie ich diesen Wurm (oder was auch immer das ist)
> wegbekommen kann. Kann sich denn ein Daemon so gut verstecken, dass
> nicht mal ein "ps -eaf" ihn anzeigt?
>
> Danke für die Hilfe und schöne Grüße
> Björn
>
> --
> Björn Gerhart - Großgörschenstr. 18 - 10829 Berlin
> Tel. 030/78719244 - e-Mail: b.gerhart at web.de
>
> UID PID PPID C STIME TTY TIME CMD
> root 1 0 0 16:25 ? 00:00:04 init [3]
> root 2 1 0 16:25 ? 00:00:00 [kflushd]
> root 3 1 0 16:25 ? 00:00:00 [kupdate]
> root 4 1 0 16:25 ? 00:00:00 [kpiod]
> root 5 1 0 16:25 ? 00:00:00 [kswapd]
> root 6 1 0 16:25 ? 00:00:00 [mdrecoveryd]
> root 472 1 0 16:25 ? 00:00:00 [lockd]
> root 473 472 0 16:25 ? 00:00:00 [rpciod]
> root 782 1 0 16:26 ? 00:00:00 ipppd pidfile /var/run/ipppd.pid
> root 863 1 0 16:26 tty1 00:00:00 login -- root
> root 864 1 0 16:26 tty2 00:00:00 login -- root
> root 865 1 0 16:26 tty3 00:00:00 login -- root
> root 866 1 0 16:26 tty4 00:00:00 /sbin/mingetty tty4
> root 867 1 0 16:26 tty5 00:00:00 /sbin/mingetty tty5
> root 868 1 0 16:26 tty6 00:00:00 /sbin/mingetty tty6
> root 1806 863 0 21:35 tty1 00:00:00 -bash
> root 1819 864 0 21:35 tty2 00:00:00 -bash
> root 1832 1819 0 21:35 tty2 00:00:00 tcpdump -i ippp0
> root 1833 865 0 21:35 tty3 00:00:00 -bash
> root 2354 1806 0 21:49 tty1 00:00:00 ps -eaf
>
> 21:57:45.013840 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55077 NXDomain* 0/1/0 (122)
> 21:57:45.025285 truncated-ip - 65201 bytes missing!0.70.75.148 > 0.0.64.17: (frag 28983:65281 at 63512+) [ttl 0]
> 21:57:45.257794 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55078 NXDomain* 0/1/0 (110)
> 21:57:45.264985 truncated-ip - 16321 bytes missing!0.70.75.151 > 0.0.64.17: (frag 12546:16401 at 63512+) [ttl 0]
> 21:57:45.394404 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55079 NXDomain* 0/1/0 (110)
> 21:57:45.404990 truncated-ip - 16321 bytes missing!0.70.75.154 > 0.0.64.17: (frag 12543:16401 at 63512+) [ttl 0]
> 21:57:45.452890 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55080 NXDomain 0/1/0 (110)
> 21:57:45.454981 truncated-ip - 65201 bytes missing!0.70.75.157 > 0.0.64.17: (frag 28974:65281 at 63512+) [ttl 0]
> 21:57:45.580744 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55081 NXDomain* 0/1/0 (110)
> 21:57:45.584964 truncated-ip - 65201 bytes missing!0.70.75.160 > 0.0.64.17: (frag 28971:65281 at 63512+) [ttl 0]
> 21:57:45.756709 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55082 NXDomain* 0/1/0 (110)
> 21:57:45.764986 truncated-ip - 16321 bytes missing!0.70.75.163 > 0.0.64.17: (frag 12534:16401 at 63512+) [ttl 0]
> 21:57:45.815830 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55083 NXDomain 0/1/0 (110)
> 21:57:45.824981 truncated-ip - 65201 bytes missing!0.70.75.166 > 0.0.64.17: (frag 28965:65281 at 63512+) [ttl 0]
> 21:57:45.873811 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55084 NXDomain 0/1/0 (110)
> 21:57:45.884955 truncated-ip - 65201 bytes missing!0.70.75.169 > 0.0.64.17: (frag 28962:65281 at 63512+) [ttl 0]
>
>
--
berlin.de - meine stadt im netz. Jetzt eigene eMail-adresse @berlin.de sichern!
http://www.berlin.de/home/MeineStadt/Anmeldung
Mehr Informationen über die Mailingliste linux-l