linux-l: Ramen-Befall?
Bjoern Gerhart
b.gerhart at web.de
Di Jan 30 22:41:14 CET 2001
Hallo,
ich habe hier einen Linux (Mandrake 7)-Server für meine
Internet-Anbindung. Gewöhnlich laufen dort Dienste wie portmap, ypserv,
nfs, smb sshd und postfix, jedoch _kein_ wuftpd.
Nun habe ich festgestellt, dass hunderte von DNS-Anfragen auf
unterschiedliche IP-Bereiche über die ISDN-Leitung gestellt werden. Dies
tritt auch dann auf, wenn der Server vom LAN getrennt ist und fast alle
Netzwerkdienste beendet sind (siehe ps-eaf.log).
Mit tcpdump habe ich diese Anfragen mal mitgeschrieben (siehe tcpdump.log -
ca. 6 Anfragen pro Sekunde!).
Dieses Verhalten ist doch recht seltsam und auch noch recht neu
(seit höchstens 2 Wochen).
Bei securityfocus.com habe ich über den Wurm Ramen gelesen.
Dort steht, dass RH6.2 und RH7.0 in den Programmen portmap und wu_ftpd
Sicherheitslöcher hat (Mandrake ist ja auch ein RH-Abkömmling).
Seit einigen Monaten habe ich auf dem Server installiert:
portmap-4.0-11mdk
nfs-utils-0.2.1-2mdk
Auf der Mandrake Homepage selbst steht weder etwas zur
"Ramen-Problematik" noch ein aktualisiertes portmap-RPM..
Meinen Server habe ich auf das Vorhandensein von Ramen untersucht, indem
ich ein "telnet localhost 27374" versucht habe (auf diesem Port soll
ramen einen eigenen http-Server betreiben). Ohne Erfolg.
Apache ist nicht installiert, sodass ich nicht die ersetzte index.html
sehen konnte. In /etc/inetd.conf (wo sich der "ramen-daemon" eingetragen
haben soll) ist auch kein unüblicher Eintrag zu entdecken.
Ich weiß nicht, wie ich diesen Wurm (oder was auch immer das ist)
wegbekommen kann. Kann sich denn ein Daemon so gut verstecken, dass
nicht mal ein "ps -eaf" ihn anzeigt?
Danke für die Hilfe und schöne Grüße
Björn
--
Björn Gerhart - Großgörschenstr. 18 - 10829 Berlin
Tel. 030/78719244 - e-Mail: b.gerhart at web.de
-------------- nächster Teil --------------
UID PID PPID C STIME TTY TIME CMD
root 1 0 0 16:25 ? 00:00:04 init [3]
root 2 1 0 16:25 ? 00:00:00 [kflushd]
root 3 1 0 16:25 ? 00:00:00 [kupdate]
root 4 1 0 16:25 ? 00:00:00 [kpiod]
root 5 1 0 16:25 ? 00:00:00 [kswapd]
root 6 1 0 16:25 ? 00:00:00 [mdrecoveryd]
root 472 1 0 16:25 ? 00:00:00 [lockd]
root 473 472 0 16:25 ? 00:00:00 [rpciod]
root 782 1 0 16:26 ? 00:00:00 ipppd pidfile /var/run/ipppd.pid
root 863 1 0 16:26 tty1 00:00:00 login -- root
root 864 1 0 16:26 tty2 00:00:00 login -- root
root 865 1 0 16:26 tty3 00:00:00 login -- root
root 866 1 0 16:26 tty4 00:00:00 /sbin/mingetty tty4
root 867 1 0 16:26 tty5 00:00:00 /sbin/mingetty tty5
root 868 1 0 16:26 tty6 00:00:00 /sbin/mingetty tty6
root 1806 863 0 21:35 tty1 00:00:00 -bash
root 1819 864 0 21:35 tty2 00:00:00 -bash
root 1832 1819 0 21:35 tty2 00:00:00 tcpdump -i ippp0
root 1833 865 0 21:35 tty3 00:00:00 -bash
root 2354 1806 0 21:49 tty1 00:00:00 ps -eaf
-------------- nächster Teil --------------
21:57:45.013840 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55077 NXDomain* 0/1/0 (122)
21:57:45.025285 truncated-ip - 65201 bytes missing!0.70.75.148 > 0.0.64.17: (frag 28983:65281 at 63512+) [ttl 0]
21:57:45.257794 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55078 NXDomain* 0/1/0 (110)
21:57:45.264985 truncated-ip - 16321 bytes missing!0.70.75.151 > 0.0.64.17: (frag 12546:16401 at 63512+) [ttl 0]
21:57:45.394404 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55079 NXDomain* 0/1/0 (110)
21:57:45.404990 truncated-ip - 16321 bytes missing!0.70.75.154 > 0.0.64.17: (frag 12543:16401 at 63512+) [ttl 0]
21:57:45.452890 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55080 NXDomain 0/1/0 (110)
21:57:45.454981 truncated-ip - 65201 bytes missing!0.70.75.157 > 0.0.64.17: (frag 28974:65281 at 63512+) [ttl 0]
21:57:45.580744 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55081 NXDomain* 0/1/0 (110)
21:57:45.584964 truncated-ip - 65201 bytes missing!0.70.75.160 > 0.0.64.17: (frag 28971:65281 at 63512+) [ttl 0]
21:57:45.756709 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55082 NXDomain* 0/1/0 (110)
21:57:45.764986 truncated-ip - 16321 bytes missing!0.70.75.163 > 0.0.64.17: (frag 12534:16401 at 63512+) [ttl 0]
21:57:45.815830 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55083 NXDomain 0/1/0 (110)
21:57:45.824981 truncated-ip - 65201 bytes missing!0.70.75.166 > 0.0.64.17: (frag 28965:65281 at 63512+) [ttl 0]
21:57:45.873811 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55084 NXDomain 0/1/0 (110)
21:57:45.884955 truncated-ip - 65201 bytes missing!0.70.75.169 > 0.0.64.17: (frag 28962:65281 at 63512+) [ttl 0]
Mehr Informationen über die Mailingliste linux-l