Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
ständige Portscanns auf Port 1214

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sicherheit
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
PeterParker
Gast





BeitragVerfasst am: 11. Jul 2002 14:15   Titel: ständige Portscanns auf Port 1214

Hallo Leute,

ich habe da ein kleines Problem. Ich habe mir auf meinem Linux Rechner die SuSEfirewall2 installiert und so konfiguriert, das alle Ports außer den Ports für FTP/SSH/WWW geblockt werden. Als ich heute in die Logdatei der Firewall geschaut habe, ist mir aufgefallen, daß fast im sekundentakt Zugriffe auf den Port 1214 meines Rechners erfolgen. Aber so weit ich weiß, wird dieser Port doch nur von KaZaA verwendet und auf meinem Rechner ist kein KaZaA installiert.

Hier ein kleiner Auszug aus der Logdatei:

Jul 10 09:00:19 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=80.138.253.98 DST=217.229.221.140 LEN=48 TOS=0x08 PREC=0x00 TTL=124 ID=9027 DF PROTO=TCP S
PT=4591 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 10 09:00:19 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=80.138.253.98 DST=217.229.221.140 LEN=48 TOS=0x08 PREC=0x00 TTL=124 ID=9031 DF PROTO=TCP S
PT=4592 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 10 09:00:19 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=80.138.253.98 DST=217.229.221.140 LEN=48 TOS=0x08 PREC=0x00 TTL=124 ID=9035 DF PROTO=TCP S
PT=4593 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 10 09:00:19 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=80.138.253.98 DST=217.229.221.140 LEN=48 TOS=0x08 PREC=0x00 TTL=124 ID=9038 DF PROTO=TCP S


Woher kommen den diese ganzen Zugriffe ?? Was mich auch verwundert ist, daß es sehr viele Unterschiedliche IPs sind, von denen die Zugriffe erfolgen.

Wer kann mir helfen ?????????????


Viele Grüße

PeterParker
 

bo



Anmeldungsdatum: 26.06.2002
Beiträge: 9

BeitragVerfasst am: 11. Jul 2002 14:23   Titel: Re: ständige Portscanns auf Port 1214

vielleicht hatte der, der deine IP vorher hatte, kazaa laufen?
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

Stormbringer



Anmeldungsdatum: 11.01.2001
Beiträge: 1570
Wohnort: Ruhrgebiet

BeitragVerfasst am: 11. Jul 2002 14:51   Titel: Re: ständige Portscanns auf Port 1214

Nutzt Yahoo! Chat über Proxy nicht auch jene Ports?
Ich meine, ich hätte da einmal etwas darüber gelesen ...

Gruß
_________________
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
 
Benutzer-Profile anzeigen Private Nachricht senden

PeterParker
Gast





BeitragVerfasst am: 11. Jul 2002 15:38   Titel: Re: ständige Portscanns auf Port 1214

Hi,

vielen Dank erst einmal für Euere Antworten.

@BO Wäre vielleicht eine Möglichkeit, aber da die Portscanns schon den ganzen Tag über laufen, glaube ich das eher weniger.

@Stormbringer Keine Ahnung ob noch eine andere Anwendung außer KaZaA diesen Port verwendet. Aber auf meinem Rechner läuft auch keine Chatsoftware und die Anfragen an den Port 1214 kommen ja auch nur von aussen.


Das kommt mich einfach total komisch vor, daß immer nur der gleich Port gescannt wird und dann auch noch von verschiedenend IP's.

Gruß PeterParker
 

trinity



Anmeldungsdatum: 12.10.2001
Beiträge: 821

BeitragVerfasst am: 12. Jul 2002 2:05   Titel: Re: ständige Portscanns auf Port 1214

Also in dem teil des Logfiles, dass du gepostet hast wird nicht auf Port 1214 zugegriffen.
Zudem gibt es auch noch solche Dienste ala DynDNS & Co. dieser Eintrag wird nicht gelöscht, wenn dieser Rechner offline geht.Diese Anfragen bekommst du auch.
_________________
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
 
Benutzer-Profile anzeigen Private Nachricht senden

PeterParker
Gast





BeitragVerfasst am: 12. Jul 2002 7:56   Titel: Re: ständige Portscanns auf Port 1214

Hallo Lutz,

ooooppppsss, da habe ich genau den falschen Ausschnitt aus der Logdatei gepostet Eigentlich habe ich diesen hier gemeint :


Jul 11 17:16:46 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=80.213.69.39 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=65488 DF PROTO=TCP SPT=4754 DPT=1214 WINDOW=3216 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:16:46 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=80.213.69.39 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=65513 DF PROTO=TCP SPT=4754 DPT=1214 WINDOW=3216 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:16:50 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=212.186.192.246 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=29634 DF PROTO=TCP SPT=61900 DPT=1214 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:16:51 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=217.84.36.20 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=40128 DF PROTO=TCP SPT=3143 DPT=1214 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:16:51 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=212.186.192.246 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=32194 DF PROTO=TCP SPT=61911 DPT=1214 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:16:52 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=212.181.138.171 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=61350 DF PROTO=TCP SPT=1536 DPT=1214 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:16:52 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=212.181.138.171 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=62630 DF PROTO=TCP SPT=1536 DPT=1214 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:16:53 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=212.181.138.171 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=64422 DF PROTO=TCP SPT=1536 DPT=1214 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:16:54 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=212.181.138.171 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=65446 DF PROTO=TCP SPT=1536 DPT=1214 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:16:57 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=217.84.36.20 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=40390 DF PROTO=TCP SPT=3143 DPT=1214 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Jul 11 17:17:00 linux01 kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=217.82.75.154 DST=217.83.17.26 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=52566 DF PROTO=TCP SPT=2344 DPT=1214 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (0204058401010402)


@Lutz: Hmm, da könntest Du recht haben mit DynDNS. Das wäre eine Erklärung.

Viele Grüße

PeterParker
 

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sicherheit Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy