AW: linux-l: Ramen-Befall?

peter.thurm at berlin.de peter.thurm at berlin.de
Di Jan 30 23:04:09 CET 2001 

mal den scanner von www.avp-de für linux probiert? ist ein geiles gerät und mit einer der besten scanner der auch wirklich alles ausfindig macht. und hat nen support der antwortet und den eindruck erweckt wirklich helfen zu wollen.
peter
> 
> Von: Bjoern Gerhart <b.gerhart at web.de>
> Datum: 2001/01/30 Tue PM 10:41:14 CET
> An: linux-l at mlists.in-berlin.de
> Betreff: linux-l: Ramen-Befall?
> 
> Hallo,
> 
> ich habe hier einen Linux (Mandrake 7)-Server für meine
> Internet-Anbindung. Gewöhnlich laufen dort Dienste wie portmap, ypserv,
> nfs, smb sshd und postfix, jedoch _kein_ wuftpd.
> Nun habe ich festgestellt, dass hunderte von DNS-Anfragen auf
> unterschiedliche IP-Bereiche über die ISDN-Leitung gestellt werden. Dies
> tritt auch dann auf, wenn der Server vom LAN getrennt ist und fast alle
> Netzwerkdienste beendet sind (siehe ps-eaf.log).
> Mit tcpdump habe ich diese Anfragen mal mitgeschrieben (siehe tcpdump.log -
> ca. 6 Anfragen pro Sekunde!).
> 
> Dieses Verhalten ist doch recht seltsam und auch noch recht neu
> (seit höchstens 2 Wochen).
> Bei securityfocus.com habe ich über den Wurm Ramen gelesen.
> Dort steht, dass RH6.2 und RH7.0 in den Programmen portmap und wu_ftpd
> Sicherheitslöcher hat (Mandrake ist ja auch ein RH-Abkömmling).
> Seit einigen Monaten habe ich auf dem Server installiert:
> 
> portmap-4.0-11mdk
> nfs-utils-0.2.1-2mdk
> 
> Auf der Mandrake Homepage selbst steht weder etwas zur
> "Ramen-Problematik" noch ein aktualisiertes portmap-RPM..
> 
> Meinen Server habe ich auf das Vorhandensein von Ramen untersucht, indem
> ich ein "telnet localhost 27374" versucht habe (auf diesem Port soll
> ramen einen eigenen http-Server betreiben). Ohne Erfolg.
> Apache ist nicht installiert, sodass ich nicht die ersetzte index.html
> sehen konnte. In /etc/inetd.conf (wo sich der "ramen-daemon" eingetragen
> haben soll) ist auch kein unüblicher Eintrag zu entdecken.
> 
> 
> Ich weiß nicht, wie ich diesen Wurm (oder was auch immer das ist)
> wegbekommen kann. Kann sich denn ein Daemon so gut verstecken, dass 
> nicht mal ein "ps -eaf" ihn anzeigt?
> 
> Danke für die Hilfe und schöne Grüße
>     Björn
> 
> --
> Björn Gerhart - Großgörschenstr. 18 - 10829 Berlin
> Tel. 030/78719244 - e-Mail: b.gerhart at web.de
> 
> UID        PID  PPID  C STIME TTY          TIME CMD
> root         1     0  0 16:25 ?        00:00:04 init [3]
> root         2     1  0 16:25 ?        00:00:00 [kflushd]
> root         3     1  0 16:25 ?        00:00:00 [kupdate]
> root         4     1  0 16:25 ?        00:00:00 [kpiod]
> root         5     1  0 16:25 ?        00:00:00 [kswapd]
> root         6     1  0 16:25 ?        00:00:00 [mdrecoveryd]
> root       472     1  0 16:25 ?        00:00:00 [lockd]
> root       473   472  0 16:25 ?        00:00:00 [rpciod]
> root       782     1  0 16:26 ?        00:00:00 ipppd pidfile /var/run/ipppd.pid
> root       863     1  0 16:26 tty1     00:00:00 login -- root    
> root       864     1  0 16:26 tty2     00:00:00 login -- root    
> root       865     1  0 16:26 tty3     00:00:00 login -- root    
> root       866     1  0 16:26 tty4     00:00:00 /sbin/mingetty tty4
> root       867     1  0 16:26 tty5     00:00:00 /sbin/mingetty tty5
> root       868     1  0 16:26 tty6     00:00:00 /sbin/mingetty tty6
> root      1806   863  0 21:35 tty1     00:00:00 -bash
> root      1819   864  0 21:35 tty2     00:00:00 -bash
> root      1832  1819  0 21:35 tty2     00:00:00 tcpdump -i ippp0
> root      1833   865  0 21:35 tty3     00:00:00 -bash
> root      2354  1806  0 21:49 tty1     00:00:00 ps -eaf
> 
> 21:57:45.013840 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55077 NXDomain* 0/1/0 (122)
> 21:57:45.025285 truncated-ip - 65201 bytes missing!0.70.75.148 > 0.0.64.17: (frag 28983:65281 at 63512+) [ttl 0]
> 21:57:45.257794 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55078 NXDomain* 0/1/0 (110)
> 21:57:45.264985 truncated-ip - 16321 bytes missing!0.70.75.151 > 0.0.64.17: (frag 12546:16401 at 63512+) [ttl 0]
> 21:57:45.394404 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55079 NXDomain* 0/1/0 (110)
> 21:57:45.404990 truncated-ip - 16321 bytes missing!0.70.75.154 > 0.0.64.17: (frag 12543:16401 at 63512+) [ttl 0]
> 21:57:45.452890 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55080 NXDomain 0/1/0 (110)
> 21:57:45.454981 truncated-ip - 65201 bytes missing!0.70.75.157 > 0.0.64.17: (frag 28974:65281 at 63512+) [ttl 0]
> 21:57:45.580744 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55081 NXDomain* 0/1/0 (110)
> 21:57:45.584964 truncated-ip - 65201 bytes missing!0.70.75.160 > 0.0.64.17: (frag 28971:65281 at 63512+) [ttl 0]
> 21:57:45.756709 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55082 NXDomain* 0/1/0 (110)
> 21:57:45.764986 truncated-ip - 16321 bytes missing!0.70.75.163 > 0.0.64.17: (frag 12534:16401 at 63512+) [ttl 0]
> 21:57:45.815830 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55083 NXDomain 0/1/0 (110)
> 21:57:45.824981 truncated-ip - 65201 bytes missing!0.70.75.166 > 0.0.64.17: (frag 28965:65281 at 63512+) [ttl 0]
> 21:57:45.873811 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55084 NXDomain 0/1/0 (110)
> 21:57:45.884955 truncated-ip - 65201 bytes missing!0.70.75.169 > 0.0.64.17: (frag 28962:65281 at 63512+) [ttl 0]
> 
> 
--
berlin.de - meine stadt im netz. Jetzt eigene eMail-adresse @berlin.de sichern!
http://www.berlin.de/home/MeineStadt/Anmeldung

Mehr Informationen über die Mailingliste linux-l