Hallo Leute,
ich habe da ein kleines Problem. Ich habe mir auf meinem Linux Rechner die SuSEfirewall2 installiert und so konfiguriert, das alle Ports außer den Ports für FTP/SSH/WWW geblockt werden. Als ich heute in die Logdatei der Firewall geschaut habe, ist mir aufgefallen, daß fast im sekundentakt Zugriffe auf den Port 1214 meines Rechners erfolgen. Aber so weit ich weiß, wird dieser Port doch nur von KaZaA verwendet und auf meinem Rechner ist kein KaZaA installiert.
Hier ein kleiner Auszug aus der Logdatei:
Jul 10 09:00:19 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=80.138.253.98 DST=217.229.221.140 LEN=48 TOS=0x08 PREC=0x00 TTL=124 ID=9027 DF PROTO=TCP S
PT=4591 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 10 09:00:19 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=80.138.253.98 DST=217.229.221.140 LEN=48 TOS=0x08 PREC=0x00 TTL=124 ID=9031 DF PROTO=TCP S
PT=4592 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 10 09:00:19 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=80.138.253.98 DST=217.229.221.140 LEN=48 TOS=0x08 PREC=0x00 TTL=124 ID=9035 DF PROTO=TCP S
PT=4593 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 10 09:00:19 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=80.138.253.98 DST=217.229.221.140 LEN=48 TOS=0x08 PREC=0x00 TTL=124 ID=9038 DF PROTO=TCP S
Woher kommen den diese ganzen Zugriffe ?? Was mich auch verwundert ist, daß es sehr viele Unterschiedliche IPs sind, von denen die Zugriffe erfolgen.
Wer kann mir helfen ?????????????
Viele Grüße
PeterParker
ständige Portscanns auf Port 1214
Re: ständige Portscanns auf Port 1214
vielleicht hatte der, der deine IP vorher hatte, kazaa laufen?
-
Stormbringer
- Posts: 1570
- Joined: 11. Jan 2001 11:01
- Location: Ruhrgebiet
Re: ständige Portscanns auf Port 1214
Nutzt Yahoo! Chat über Proxy nicht auch jene Ports?
Ich meine, ich hätte da einmal etwas darüber gelesen ...
Gruß
Ich meine, ich hätte da einmal etwas darüber gelesen ...
Gruß
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
-
PeterParker
Re: ständige Portscanns auf Port 1214
Hi,
vielen Dank erst einmal für Euere Antworten.
@BO Wäre vielleicht eine Möglichkeit, aber da die Portscanns schon den ganzen Tag über laufen, glaube ich das eher weniger.
@Stormbringer Keine Ahnung ob noch eine andere Anwendung außer KaZaA diesen Port verwendet. Aber auf meinem Rechner läuft auch keine Chatsoftware und die Anfragen an den Port 1214 kommen ja auch nur von aussen.
Das kommt mich einfach total komisch vor, daß immer nur der gleich Port gescannt wird und dann auch noch von verschiedenend IP's.
Gruß PeterParker
vielen Dank erst einmal für Euere Antworten.
@BO Wäre vielleicht eine Möglichkeit, aber da die Portscanns schon den ganzen Tag über laufen, glaube ich das eher weniger.
@Stormbringer Keine Ahnung ob noch eine andere Anwendung außer KaZaA diesen Port verwendet. Aber auf meinem Rechner läuft auch keine Chatsoftware und die Anfragen an den Port 1214 kommen ja auch nur von aussen.
Das kommt mich einfach total komisch vor, daß immer nur der gleich Port gescannt wird und dann auch noch von verschiedenend IP's.
Gruß PeterParker
Re: ständige Portscanns auf Port 1214
Also in dem teil des Logfiles, dass du gepostet hast wird nicht auf Port 1214 zugegriffen.
Zudem gibt es auch noch solche Dienste ala DynDNS & Co. dieser Eintrag wird nicht gelöscht, wenn dieser Rechner offline geht.Diese Anfragen bekommst du auch.
Zudem gibt es auch noch solche Dienste ala DynDNS & Co. dieser Eintrag wird nicht gelöscht, wenn dieser Rechner offline geht.Diese Anfragen bekommst du auch.
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
-
PeterParker
Re: ständige Portscanns auf Port 1214
Hallo Lutz,
ooooppppsss, da habe ich genau den falschen Ausschnitt aus der Logdatei gepostet <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle"> Eigentlich habe ich diesen hier gemeint :
Jul 11 17:16:46 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=80.213.69.39 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=65488 DF PROTO=TCP SPT=4754 DPT=1214 WINDOW=3216 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:16:46 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=80.213.69.39 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=65513 DF PROTO=TCP SPT=4754 DPT=1214 WINDOW=3216 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:16:50 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=212.186.192.246 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=29634 DF PROTO=TCP SPT=61900 DPT=1214 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:16:51 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=217.84.36.20 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=40128 DF PROTO=TCP SPT=3143 DPT=1214 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:16:51 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=212.186.192.246 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=32194 DF PROTO=TCP SPT=61911 DPT=1214 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:16:52 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=212.181.138.171 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=61350 DF PROTO=TCP SPT=1536 DPT=1214 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:16:52 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=212.181.138.171 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=62630 DF PROTO=TCP SPT=1536 DPT=1214 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:16:53 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=212.181.138.171 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=64422 DF PROTO=TCP SPT=1536 DPT=1214 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:16:54 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=212.181.138.171 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=65446 DF PROTO=TCP SPT=1536 DPT=1214 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:16:57 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=217.84.36.20 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=40390 DF PROTO=TCP SPT=3143 DPT=1214 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:17:00 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=217.82.75.154 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=52566 DF PROTO=TCP SPT=2344 DPT=1214 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204058401010402)
@Lutz: Hmm, da könntest Du recht haben mit DynDNS. Das wäre eine Erklärung.
Viele Grüße
PeterParker
ooooppppsss, da habe ich genau den falschen Ausschnitt aus der Logdatei gepostet <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle"> Eigentlich habe ich diesen hier gemeint :
Jul 11 17:16:46 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=80.213.69.39 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=65488 DF PROTO=TCP SPT=4754 DPT=1214 WINDOW=3216 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:16:46 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=80.213.69.39 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=65513 DF PROTO=TCP SPT=4754 DPT=1214 WINDOW=3216 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:16:50 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=212.186.192.246 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=29634 DF PROTO=TCP SPT=61900 DPT=1214 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:16:51 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=217.84.36.20 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=40128 DF PROTO=TCP SPT=3143 DPT=1214 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:16:51 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=212.186.192.246 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=32194 DF PROTO=TCP SPT=61911 DPT=1214 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:16:52 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=212.181.138.171 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=61350 DF PROTO=TCP SPT=1536 DPT=1214 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:16:52 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=212.181.138.171 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=62630 DF PROTO=TCP SPT=1536 DPT=1214 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:16:53 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=212.181.138.171 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=64422 DF PROTO=TCP SPT=1536 DPT=1214 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:16:54 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=212.181.138.171 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=65446 DF PROTO=TCP SPT=1536 DPT=1214 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:16:57 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=217.84.36.20 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=40390 DF PROTO=TCP SPT=3143 DPT=1214 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:17:00 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=217.82.75.154 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=52566 DF PROTO=TCP SPT=2344 DPT=1214 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204058401010402)
@Lutz: Hmm, da könntest Du recht haben mit DynDNS. Das wäre eine Erklärung.
Viele Grüße
PeterParker