immer wieder kehrende TCP-Verbindungen

[Lord_Icon]

Hi,

ich baue grad an TCPdump.

Bei den Auswerten der Logs bin ich immer und immer wieder auf eine Logzeile gestoßen.

Ich poste jetz mal nur 3 Zeilen = aber die ganze logdatei würde ich mal auf gut und gerne 80-90% dieser Zeilen schätzen.

21:50:49.559770 IP h820001.serverkompetenz.net.http-alt > you.have.no-access.net.56674: P 103239:103657(418) ack 1 win 1448 <nop,nop,timestamp 306241282 427098559>
21:50:49.596001 IP h820001.serverkompetenz.net.http-alt > you.have.no-access.net.56674: P 103657:104075(418) ack 1 win 1448 <nop,nop,timestamp 306241291 427098579>
21:50:49.620238 IP h820001.serverkompetenz.net.http-alt > you.have.no-access.net.56674: P 104075:104493(418) ack 1 win 1448 <nop,nop,timestamp 306241297 427098619>

Frage 1: Aus welcher Richtung kommen diese Logs. Stellt mein Server auf serverkompetenz diese "Anfragen" oder umgedreht ?

Frage 2: Was wird hier gemacht? Kann ich das sperren ?

Danke

 

[wstuermer]

Hi,

in den drei geposteten Zeilen geht die Anfrage von h820001.serverkompetenz.net Port (vermutlich 8008; findest du in deiner /etc/services) auf deinen Server Port 56674.
Was da gemacht wird, ist schwer zu sagen, da wir nicht wissen, was bei dir auf Port 56674 lauscht. netstat dürfte dir das verraten. Unterbinden kannst Du die Zugriffe, sofern gewollt, indem Du die IP von h820001.serverkompetenz.net per iptables o.ä. aussperrst.


-W

 

[dev]

Lies mal hier, anscheinend gibt es das Problem schon seit 2006: Sehr geehrte Damen und Herren von serverkompetenz.net mit den IP-Adressen 81.169.129.13 und 85.214.36.241 bei im web gefunden

 

[Lord_Icon]

hi,

danke für die fixe Antwort.

Ich hab mal ebend nmap scannen lassen, was alles so offen is
nmap -p 1- <SERVER-IP>

Not shown: 65518 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
25/tcp   open  smtp
53/tcp   open  domain
80/tcp   open  http
110/tcp  open  pop3
111/tcp  open  rpcbind
112/tcp  open  mcidas
143/tcp  open  imap
145/tcp  open  uaac
443/tcp  open  https
961/tcp  open  unknown
980/tcp  open  unknown
993/tcp  open  imaps
995/tcp  open  pop3s
2049/tcp open  nfs
3306/tcp open  mysql

Da es nicht dabei war, mal direkt n scan gezielt auf diesen Port:

PORT      STATE  SERVICE
56674/tcp closed unknown

Aber wenn der Port dicht is = was will dann (anscheind) dieses Script andauernd ?
Kann ich noch was anderes Prüfen ?

 

[dev]

Evtl. ist es ein gehackter Strato dedi, der amoklaufend durch das Netz randaliert?! Oder ein gezielter Angriff bzw. die Vorbereitung?!

Ich würde ihn wohl an der Firewall abweisen und Deine Maschine aufmerksam im Auge behalten.

BTW: So'ne lange Portliste habe ich schon lange nicht mehr gesehen

 

[wstuermer]

Hi,

@dev: Dein geposteter Link beschreibt ein Thema aus 2006. Ich denke nicht, dass die Server immer noch fleissig durch die Gegend scannen werden.

@l0rd: versuch mal 'nmap -p56674 -P0', falls ICMP-Replys ignoriert werden. Oder mach auf dem Server mal ein 'netstat -atnpl | grep LISTEN' und schau, ob der Port 56674 mit angezeigt wird.


-W

 

[Lord_Icon]

BTW: So'ne lange Portliste habe ich schon lange nicht mehr gesehen

Werden alle benötigt und kann ich auch zuordnen.
Nur 2 Ports sind mir ebend nicht ganz schlüssig, was da läuft:

961/tcp  open  unknown
980/tcp  open  unknown

aber darum kümmere ich mcih mal, wenn ich die x postings deines Links + die Suche nach "h820001.serverkompetenz.net".

P.s. Die Aussage "der gerade amokläuft..." düfte n bissel daneben liegen. Bis dato kann ich das in den Logs für den kompletten November finden. Davor müßte ich in bereits per Backup abgelegten Archiven schaun.

 

[Lord_Icon]

No target machines/networks specified!
QUITTING!

netstat -atnpl | grep LISTEN
tcp        0      0 0.0.0.0:993             0.0.0.0:*               LISTEN      13930/dovecot
tcp        0      0 0.0.0.0:2049            0.0.0.0:*               LISTEN      2485/rpc.nfsd
tcp        0      0 0.0.0.0:961             0.0.0.0:*               LISTEN      2484/rpc.mountd
tcp        0      0 0.0.0.0:995             0.0.0.0:*               LISTEN      7849/pop3-login
tcp        0      0 127.0.0.1:10024         0.0.0.0:*               LISTEN      2508/amavisd (maste
tcp        0      0 0.0.0.0:3306            0.0.0.0:*               LISTEN      22139/mysqld
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN      7849/pop3-login
tcp        0      0 127.0.0.1:3310          0.0.0.0:*               LISTEN      13117/clamd
tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN      13930/dovecot
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      2397/portmap
tcp        0      0 0.0.0.0:112             0.0.0.0:*               LISTEN      2481/xinetd
tcp        0      0 0.0.0.0:145             0.0.0.0:*               LISTEN      2481/xinetd
tcp        0      0 0.0.0.0:980             0.0.0.0:*               LISTEN      2506/rpc.rquotad
tcp        0      0 192.168.0.11:53         0.0.0.0:*               LISTEN      2446/named
tcp        0      0 85.131.xxx.xxx:53       0.0.0.0:*               LISTEN      2446/named
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      2446/named
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN      2395/vsftpd
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      7546/smtpd
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      2446/named
tcp        0      0 :::80                   :::*                    LISTEN      7346/httpd2-prefork
tcp        0      0 :::53                   :::*                    LISTEN      2446/named
tcp        0      0 :::22                   :::*                    LISTEN      2285/sshd
tcp        0      0 ::1:953                 :::*                    LISTEN      2446/named
tcp        0      0 :::443                  :::*                    LISTEN      7346/httpd2-prefork

Hatte ich auch schon gemacht.. aber da is nix drin zu finden. Faglich, wer so dumm ist und mind. 1/2 Monat Anfragen die ins leere laufen, ausführt.
Mit über 11Ghz is da auch kaum an LAst was zu bemerken. Nur der Traffic dürfte hierrunter leiden

 

[HornOx]

in den drei geposteten Zeilen geht die Anfrage von h820001.serverkompetenz.net [...] auf deinen Server

Nur weil diese 3 Packete vom fremden Server stammen heißt es nicht das er die Verbindung initialisiert hat. Poste mehr Logs damit man was auf TCP Ebene erkennen kann oder werte deine Logs z.b. mit Wireshark aus. Auf h820001.serverkompetenz.net lauft unter anderem(noch eine länger Portliste) ein SHOUTcast Server.

Nur 2 Ports sind mir ebend nicht ganz schlüssig, was da läuft:

Das verrät dir netstat.

 

[Lord_Icon]

Frage:
In Firewalls bin ich immer recht Vorsichtig, da ich mich hier schon mal kräftig auf die Schn*** gelegt hab.

Firewall läuft zwar... aber nur soweit, das alle Ports dicht sind ausser die oben geposteten.

Nun würde ich gern die olle IP speeren. Nur verwende ich SUSEFirewall (siehe Bild).
ICh würde jetzt in : Quell-Netzwerk die eine IP eintragen (+ die IPs, die in den Link genannt worden sind). TCP sollte korrekt sein. Und Ports berauche ich nicht, da die IP komplett geblockt sein soll.
Soweit korrekt ?

UDP und RPC => sollte ich das zusätzlich rein nehmen oder besteht hier keine Gefahr ?

 

[Whistler]

Hallo Daniel,

kann es sein, daß Deine Firewall nur einen Teil der Pakete loggt?

Mir kommt es so vor, als ob der Server unter 85.131.239.21 (*.no-access.net, steht bei Link11 in Frankfurt) lediglich Deinen Port 8080 (typischerweise ein HTTP-Proxy) scannt und eine (sicherlich ablehnende) Antwort bekommt.