|
|
 | Mystisk log fra RH7.1
Fra : Karsten |
Dato : 16-09-01 16:41 |
|
Jeg har sat en maskine op som gateway med ipchains, og den har nu kørt i en
ugestid.
Det ligger wu-2.6.1-16 på den, og jeg har set et par mystiske entries i
loggen.
Måske er der en der har et par svar på rede hånd.
Secure:
Sep 14 01:18:12 tvhuset xinetd[868]: START: ftp pid=4377 from=62.98.220.33
Sep 14 01:18:13 tvhuset xinetd[4377]: USERID: ftp OTHER :root
Sep 14 01:18:13 tvhuset xinetd[868]: EXIT: ftp pid=4377 duration=1(sec)
Messages:
Sep 15 13:56:44 tvhuset kernel: ip_fw_compat_masq: conntrack didn't like
Sep 15 14:02:28 tvhuset kernel: ip_fw_compat_masq: conntrack didn't like
/karsten
| |
 Alex Holst (16-09-2001)
| Kommentar
Fra : Alex Holst |
Dato : 16-09-01 16:49 |
|
Karsten <dk@dk.dk> wrote:
> Sep 14 01:18:12 tvhuset xinetd[868]: START: ftp pid=4377 from=62.98.220.33
> Sep 14 01:18:13 tvhuset xinetd[4377]: USERID: ftp OTHER :root
> Sep 14 01:18:13 tvhuset xinetd[868]: EXIT: ftp pid=4377 duration=1(sec)
Det lugter af, at nogen forsoegte at logge ind som root paa din FTP server.
> Sep 15 13:56:44 tvhuset kernel: ip_fw_compat_masq: conntrack didn't like
> Sep 15 14:02:28 tvhuset kernel: ip_fw_compat_masq: conntrack didn't like
Det lugter af et portscan.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Alex Holst (16-09-2001)
| Kommentar
Fra : Alex Holst |
Dato : 16-09-01 17:37 |
|
Alex Holst <a@area51.dk> wrote:
>> Sep 14 01:18:12 tvhuset xinetd[868]: START: ftp pid=4377 from=62.98.220.33
>> Sep 14 01:18:13 tvhuset xinetd[4377]: USERID: ftp OTHER :root
>> Sep 14 01:18:13 tvhuset xinetd[868]: EXIT: ftp pid=4377 duration=1(sec)
>
> Det lugter af, at nogen forsoegte at logge ind som root paa din FTP server.
Eller rettere, at nogen forsoegte at bruge anonymous ftp og gav "root:" som
email adresse.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Kent Friis (16-09-2001)
| Kommentar
Fra : Kent Friis |
Dato : 16-09-01 18:22 |
|
Den Sun, 16 Sep 2001 17:48:35 +0200 skrev Alex Holst:
>Karsten <dk@dk.dk> wrote:
>> Sep 15 13:56:44 tvhuset kernel: ip_fw_compat_masq: conntrack didn't like
>> Sep 15 14:02:28 tvhuset kernel: ip_fw_compat_masq: conntrack didn't like
>
>Det lugter af et portscan.
Det kan du vel ikke se, så længe han ikke skriver hvad det var den
ikke ku li?
Mvh
Kent
--
A Elbereth Gilthoniel, silivren penna míriel
o menel aglar elenath! Na-chaered palan-díriel
o galadhremmin ennorath, Fanuilos, le linnathon nef aear, sí nef aearon!
- Tolkien, "The Lord of the Rings"
| |
 Karsten (16-09-2001)
| Kommentar
Fra : Karsten |
Dato : 16-09-01 22:28 |
|
> Det kan du vel ikke se, så længe han ikke skriver hvad det var den
> ikke ku li?
Hvordan finder jeg ud af hvad det var den ikke ku' li'.
| |
Kent Friis (17-09-2001)
| Kommentar
Fra : Kent Friis |
Dato : 17-09-01 16:36 |
|
Den Sun, 16 Sep 2001 23:28:11 +0200 skrev Karsten:
>
>> Det kan du vel ikke se, så længe han ikke skriver hvad det var den
>> ikke ku li?
>
>Hvordan finder jeg ud af hvad det var den ikke ku' li'.
Scroller til højre, går jeg ud fra (Det var kun den første halvdel af
linien der kom med i indlægget).
Mvh
Kent
--
Linux 0.12 is out
Windows 2000 Professional is now obsolete!!!
| |
Karsten (17-09-2001)
| Kommentar
Fra : Karsten |
Dato : 17-09-01 18:37 |
|
> Scroller til højre, går jeg ud fra (Det var kun den første halvdel af
> linien der kom med i indlægget).
Nope, alt der står er :
Sep 17 06:53:23 tvhuset kernel: ip_fw_compat_masq: conntrack didn't like
Sep 17 07:03:03 tvhuset kernel: ip_fw_compat_masq: conntrack didn't like
Sep 17 07:44:27 tvhuset kernel: ip_fw_compat_masq: conntrack didn't like
Sep 17 07:48:51 tvhuset kernel: ip_fw_compat_masq: conntrack didn't like
Sep 17 08:12:22 tvhuset kernel: ip_fw_compat_masq: conntrack didn't like
/Karsten
| |
|
|