Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
Portscans auf Port 80....

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sonstiges
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
Max
Gast





BeitragVerfasst am: 03. Aug 2001 13:33   Titel: Portscans auf Port 80....

Seit einigen Tagen werde ich wie bekloppt immer auf Port 80 gescannt.
Die Quell-IPS kommen aus der ganzen Welt.
Das hat doch bestimmt was mit "CodeRed" zu tun.
Nur ich dachte der richtet sich gegen Whitehouse.gov.....
Oder ist das die Verbreitungsroutine und das sind alles inifzierte Systeme??
Max
 

BO
Gast





BeitragVerfasst am: 03. Aug 2001 13:44   Titel: Re: Portscans auf Port 80....

geht mir genauso - mein firewall-log ist voll davon!

die gehen immer an die broadcast-adresse (255.255.255.255) von x-beliebigen ip's und zwar 3 anfragen pro ip

z.b.:
Aug 3 14:26:43 bender kernel: Unallowed_Packet:IN=eth0 OUT= MAC=*CUT* SRC=211.227.240.253 DST=255.255.255.255 LEN=48 TOS=0x00 PREC=0x00 TTL=109 ID=64569 DF PROTO=TCP SPT=2588 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0
 

Rossi
Gast





BeitragVerfasst am: 03. Aug 2001 20:06   Titel: Re: Portscans auf Port 80....

Böde Frage. Wie loggst Du Deine Firewall und wonach richten sich Deine Logeinträge ?
 

jlansing



Anmeldungsdatum: 17.07.2001
Beiträge: 60

BeitragVerfasst am: 03. Aug 2001 22:41   Titel: Re: Portscans auf Port 80....

LOL, da hat wohl jemand denselben Namen für seinen Router....
Zufälle gibs Smile
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden

tr0nix
Gast





BeitragVerfasst am: 04. Aug 2001 9:36   Titel: Re: Portscans auf Port 80....

Heya,

nein, Code Red richtet sich nicht nur gegen whitehouse.gov. Sonst wuerde er sich ja gar nicht weiterverbreiten. Er hat einen festen ablauf, das heisst er faengt bei IP a an und geht dann nach einem Schema durch das ganze Inet. Besonders fuer die ersten paar IP's gibt das natuerlich nen krassen Traffic da alle infizierten Comps die selbe scan-Reihenfolge haben; und da die IIS Server bis zu 3 mal infisziert werden koennen geht da so ziemlich die sau ab Wink.

Gruesschen...
Joel
 

Max
Gast





BeitragVerfasst am: 04. Aug 2001 14:18   Titel: Re: Portscans auf Port 80....

Also verbreitet er sich auch über Ziel-Port 80...
Bin ich froh das ich nur Apache habe...*g*

Seltsam, es scheint tatsächlich noch genügend IIS Server zu geben für einen DDoS.
Aber Netcraft sagt ja was anderes..
Gut beruhigt mich.
Apropos IIS. Ist schon interessant wieviele Domains man mit .../iisadmin/... findet*kopfschüttel*
Noch besser wieviele sich darüber administrieren lassen....
Es gibt ja auch soooo wenige PAsswörter die man da einsetzen könnte....

Ach ja..
Thx Max
 

BO
Gast





BeitragVerfasst am: 06. Aug 2001 7:17   Titel: Re: Portscans auf Port 80....

@rossi:

meine firewall ist auf basis von netfilter/iptables.

der aufruf für das logging sieht folgendermaßen aus:

iptables -A INPUT -j LOG --log-prefix "Unallowed_Packet:" --log-level info

anstatt "Unallowed_Packet:" kannst du natürlich hinschreiben, was du willst.....

weitere dokumentation und auch deutsche howto`s findest du auf:
http://netfilter.samba.org/
 

Anonymous
Gast





BeitragVerfasst am: 06. Aug 2001 11:13   Titel: Re: Portscans auf Port 80....

hmmm, irgendwie hats wohl dann doch nicht so ganz geklappt mit whitehouse.gov wie ?
site steht noch Razz
 

Max
Gast





BeitragVerfasst am: 06. Aug 2001 11:31   Titel: Re: Portscans auf Port 80....

Code Red hat als Zeiladresse wohl eine IP drin stehen.
Und die Tekkies vom WH sind wohl nicht ganz blöde und haben kurzerhand dem Webserver eine andere gegeben...
Die Zieladresse ist wohl nicht mehr existent.
Max
 

Rossi
Gast





BeitragVerfasst am: 06. Aug 2001 12:24   Titel: Re: Portscans auf Port 80....

> der aufruf für das logging sieht folgendermaßen aus:
> iptables -A INPUT -j LOG --log-prefix "Unallowed_Packet:" --log-level info


Danke. Ich habe aber zumindest im deutschen Howto keine Infos gefunden, wohin er logged (kern ?). Ich würde mir gerne eine eigene Log Datei für die Firewall anlegen. kern klappt zwar als Logiel, aber vielleicht gibt es ja noch ein dediziertes.

Um abgelehte Pakete zu loggen, mußte ich eine neue Kette erstellen, zu der alle zu blockenden Pakete weitergeleitet werden, damit nur die gelooged werden. Geht es auch eleganter ? (z.B., das LOG von Haus aus nur abgelehte Pakete mitschneidet ?)
 

BO
Gast





BeitragVerfasst am: 06. Aug 2001 13:36   Titel: Re: Portscans auf Port 80....

@rossi:

ich hab den aufruf ganz am ende meines fw-scripts stehen und es loggt nur "unerlaubte" pakete.....

dass das ganze in ne extra-datei geht, geht sicher irgendwie, jedoch hab ich mich nie drum gekümmert, weil mir der kernellog dazu immer gereicht hat...
 

Rossi
Gast





BeitragVerfasst am: 06. Aug 2001 14:40   Titel: Re: Portscans auf Port 80....

Danke. Das war der fehlende Tip. Einfach die Log Regel hinter die ganzen "Erlaub" regeln stellen. Ich hatte es ganz am Anfang stehen.
 

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sonstiges Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy