[linux-l] portsentry meldet folgendes: (?)
Ulrich Wiederhold
U.Wiederhold at gmx.net
Mo Feb 25 10:31:07 CET 2002
Hallo,
portentry meldet mir folgende Attaken unter
Active System Attack Alerts
und
Possible Security Violations
Feb 21 17:10:35 home portsentry[1829]: attackalert: Connect from host: 212.232.19.40/212.232.19.40 to TCP port: 1080
Feb 21 17:10:35 home portsentry[1829]: attackalert: Host: 212.232.19.40 is already blocked. Ignoring
Zuerst wird natürlich der Host ignoriert.
Ich bekomme diese Meldungen auch auf Port 12345.
Was läuft hinter diesen Ports? (bei mir meines Wissens nach nix.)
ohne portsentry:
home:/# netstat -ln
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address Foreign Address
State
tcp 0 0 192.168.1.10:139 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:113 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN
tcp 0 0 192.168.1.10:631 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:49723 0.0.0.0:* LISTEN
udp 0 0 192.168.1.10:137 0.0.0.0:*
Aktive Sockets in der UNIX Domne (Nur Server)
Proto RefZh Flaggen Typ Zustand I-Node Pfad
unix 2 [ ACC ] STREAM HRT 15774073 /tmp/.font-unix/fs7100
unix 2 [ ACC ] STREAM HRT 3152273 /tmp/.X11-unix/X0
unix 2 [ ACC ] STREAM HRT 14303351 /tmp/xmms_user.0
unix 2 [ ACC ] STREAM HRT 6387526 /tmp/orbit-user/orb-1556881411114812393
Nur Portsentry belegt laut netstat jede Menge Ports. (oben nicht
aufgeführt)
In meiner Firewallkonfiguration werden alle übrigen Pakete gedropped.
Ist es sinnvoller, sie zurückzuschicken (RETURN), um immer wieder
Attacken derselben IPs zu verhindern? Die müssen doch merken, daß sie
nicht durchkommen!?
Gruß
Uli
--
'The box said, 'Requires Windows 95 or better', so i installed Linux - TKK 5
Mehr Informationen über die Mailingliste linux-l