Xinetd wird zugespammt!

O

oolfloo

New Member
Hallo Leute!

Ich hoffe ich bin hier richtig, wenn nicht: bitte verschieben ;) Danke!

Ich habe meinen Plesk Server mit Ubuntu 10.04 jetzt doch schon eine Zeit und habe bis heute geglaubt, dass ich mich, zumindest auf meinem Server, mittlerweile doch recht gut auskenne.

Seit heute befindet sich allerdings folgendes tausendfach in meinem syslog:

Code: 
Aug  4 23:44:29 lvps176-28-9-3 xinetd[25869]: warning: /etc/hosts.deny, line 21: can't verify hostname: getaddrinfo(01-000028.133.clients.serverdeals.org, AF_INET) failed
Aug  4 23:44:29 lvps176-28-9-3 xinetd[25869]: libwrap refused connection to smtp (libwrap=tcp-env) from ::ffff:199.192.200.167

Ich stehe an dieser Stelle vollkommen an. Was genau macht dieser Dienst xinetd? Kann ich diese "Angriffe" irgendwie einfach und ressourcenschonend abwehren?

Hier scheint ja die Meldung: "refused connect to smtp" auf. Was mich hier jetzt etwas wundert ist, dass wenn ich eine Mail sende, sich nicht "xinetd" meldet, sondern "smtp_auth".

Könnte mich einer von euch irgendwie aufklären? Ich stehe extremst an und irgendwie hilft ausnahmsweise Google nicht weiter... :(

lg floo
 
Wenn ich das jetzt richtig verstehe macht xinetd nichts anderes als den Port zu nem Dienst zuweisen? Also wenn ich SMTP auf Port 587 anfrage verbindet mich xinetd zum smtp Server durch?

Sogesehen ist es ja gut, dass derjenige nichtmal bis zum smtp Server selbst vordringt?
Was würdet ihr dann sagen, dass ich machen soll? Diese Einträge machen den syslog nahezu unlesbar lang.

floo ;)
 
Das nennt man auch Grundrauschen.
Wenn man einen Server ins Internet stellt, über das sich die ganze Welt mit ihm verbinden kann, dann ist das halt so :D
Offensichtlich hat jemand Deinen Server schon sehr sicher durchkonfiguriert (der Art der Frage nach nehme ich an, das warst nicht Du) und lehnt diese Verbindung gleich ab.

Deine Möglichkeiten sind:
  • Diese Art Zugriffe nicht mehr loggen
  • Diese Zeilen herauszufiltern und in ein separates Logfile umzuleiten
  • Damit leben zu lernen;)
 
Whistler said:
Offensichtlich hat jemand Deinen Server schon sehr sicher durchkonfiguriert (der Art der Frage nach nehme ich an, das warst nicht Du) und lehnt diese Verbindung gleich ab.
Click to expand...

Ich danke... :D
Naja, der grund warum der die Verbindung hier gleich ablehnt ist schlicht der dass ich in der hosts.deny die paranoid Wildcard drinnen habe, da ich dadurch viele meiner "Angreifer" aus Korea und China blocke...
Ich habe jetzt relativ simpel den smtp Port in xinetd auf einen komplett anderen Port gesetzt. Bringt zwar keinerlei Sicherheit, aber hilft mir zumindest soweit als dass diese flooding-Attacken nicht mehr so belastend sind.

Whistler said:
  • Diese Art Zugriffe nicht mehr loggen
  • Damit leben zu lernen;)
Click to expand...

Naja, Ich möchte schon noch mitbekommen was da abläuft auf meinem Server. Nachdem das noch ein kleiner Server ist kann man da auch schön noch mitlesen. :D

Whistler said:
  • Diese Zeilen herauszufiltern und in ein separates Logfile umzuleiten
Click to expand...

Wie ginge das?

Ich danke für euere Hilfe! ;)
 
oolfloo said:
Ich habe jetzt relativ simpel den smtp Port in xinetd auf einen komplett anderen Port gesetzt. Bringt zwar keinerlei Sicherheit, aber hilft mir zumindest soweit als dass diese flooding-Attacken nicht mehr so belastend sind.
Click to expand...

Stimmt, denn damit kommt nun sicher kein Spam mehr an. Genauso wenig wie irgendwelche andere Mails. :rolleyes:
SMTP ist kein Protokoll, bei dem man einfach mal so den Port verschieben kann.
 
Firewire2002 said:
Stimmt, denn damit kommt nun sicher kein Spam mehr an. Genauso wenig wie irgendwelche andere Mails. :rolleyes:
SMTP ist kein Protokoll, bei dem man einfach mal so den Port verschieben kann.
Click to expand...

Was meinste damit? E-Mails von draußen kommen ja problemlos noch an (zumindest bei mir)...
Das lokale Umstellen auf den anderen Port ist kein Problem bei einem einzigen anderen User neben mir...

Oder was meinst du damit?
 
Wenn Mails von "aussen" zugestellt werden sollen, sind die zwingend drauf angewiesen, dass der MTA unter Port 25 (SMTP) erreichbar ist.
Wenn du diesen änderst, kommt keine Mail mehr an.
 
Firewire2002 said:
Wenn Mails von "aussen" zugestellt werden sollen, sind die zwingend drauf angewiesen, dass der MTA unter Port 25 (SMTP) erreichbar ist.
Wenn du diesen änderst, kommt keine Mail mehr an.
Click to expand...

Ups... Ich habe mich getäuscht, die Mails die von außen ankamen, kamen über einen anderen Server...
Danke :D

Wobei ich jetzt natürlich wieder den Log mit den xinetd aufrufen voll habe. Wie kann ich die in einen externen Log umleiten?
 
Schau Dir mal die Manpage von xinetd.conf an:
Code: 
# man xinted.conf

[...]

log_type

determines where the service log output is sent. There are two formats:

SYSLOG syslog_facility [syslog_level]

The log output is sent to syslog at the specified facility. Possible facility names include: daemon, auth, authpriv, user, mail, lpr, news, uucp, ftp local0-7. Possible level names include: emerg, alert, crit, err, warning, notice, info, debug. If a level is not present, the messages will be recorded at the info level.

FILE file [soft_limit [hard_limit]]

The log output is appended to file which will be created if it does not exist. Two limits on the size of the log file can be optionally specified. The first limit is a soft one; xinetd will log a message the first time this limit is exceeded (if xinetd logs to syslog, the message will be sent at the alert priority level). The second limit is a hard limit; xinetd will stop logging for the affected service (if the log file is a common log file, then more than one service may be affected) and will log a message about this (if xinetd logs to syslog, the message will be sent at the alert priority level). If a hard limit is not specified, it defaults to the soft limit increased by 1% but the extra size must be within the parameters LOG_EXTRA_MIN and LOG_EXTRA_MAX which default to 5K and 20K respectively (these constants are defined in xconfig.h).

[...]

D.h., Du hast zwei Möglichkeiten:
a) loggen in ein extra Logfile direkt aus xinted
b) loggen über Syslog. Da könntest Du eine extra sog. "Facility" einrichten, also eine Art Quelle/Markierung, unter der Dein Syslog die Meldungen von xinted empfängt. Danach könntest Du den Syslog so konfigurieren, dass die Meldungen der Facility, die Du xinetd zugewiesen hast, in ein extra Logfile kommen.
 
Hallo Leute,

ich habe jetzt versucht xinetd direkt in ein eigenes Logfile loggen zu lassen und zwar ohne syslog.
Dazu habe ich verschiedene Dinge probiert. Am Ende bin ich bei
Code: 
log_type        = FILE /var/log/xinetd.log
in der "Defaults" sektion des xinetd.conf files gelandet.

Wenn ich jetzt xinetd die config files neu einlesen lasse, so kommt keine Fehlermeldung und das eigentlich geplante Logfile wird unter /var/log/xinetd.log angelegt. Allerdings bleibt dieses File leer und stattdessen werden alle Meldungen wie bisher an den Standard syslog daemon übergeben.

In den config Files der einzelnen Dienste ist der Eintrag log_type nicht vorhanden und sollte dann ja daher dem Default Wert aus der xinetd.conf entsprechen, oder?
Allerdings selbst wenn ich in den einzelnen config Files den log_type angebe, wird dieser scheints ignoriert.

Könntet ihr mir da vielleicht ein letztes mal helfen? Danke!
-floo
 
You must log in or register to reply here.
Back
Top