Hallo Welt, auf meinem Debian SID, aktueller Stand von heute, sind merkwürdige Dinge passiert. Ich benutze xpppload um meine DSL-Leitung ein wenig im Auge zu behalten. Heute nachmittag war da plötzlich Verkehr, der dort nicht hingehört. Es lief eigentlich nichts, aber xpppload zeigte im Schnitt 5-10kB/s Last an. Ob ankommend oder abgehend kann xpppload leider nicht sagen.
Richtung Internet läuft ein iptable-Paketfilter, nach innen offen ist ssh und http. Abgehende Verbindungen sind zulässig, ebenso natürlich Antworten auf abgehende Pakete. Ich habe der Reihe nach alle Dienste beendet die halbwegs in Verdacht kommen. Zunächst natürlich den apache, dann alles was es eigentlich *nicht* sein kann. bind9, ntp, ssh, naja, einfach alles. Bei '/etc/init.d/samba stop' verschwand der Verkehr... Ja, ein Samba ist installiert und nach innen offen. Ich bin mir aber zu 98% sicher mit der 'interfaces'-Option gearbeitet zu haben. Die war in /etc/smaba/smb.conf aber WEG! Dafür gibt es einen Eintrag, an dessen anlegen ich mich nicht recht erinnern kann (ich will es aber auch nicht ganz ausschließen, ich konfiguriere selten am Samba herum...): |[fileserver] | comment = Samba server's /fileserver | writable = yes | locking = yes | path = /fileserver | public = yes Ein Verzeichnis /fileserver existiert _nicht_... (Ich betone nochmal das smb Richtung Internet natürlich nicht durch den Paketfilter kommt.) Ich habe die Logfiles inspiziert und mußte feststellen das heute für um 7.30 das logging endete. Normalerweise schlagen ja immer mal Pakete am Firewall auf, die logge ich z.B. mit.) Das war der Moment wo ich die Kiste vom Netz genommen habe um in Ruhe nachzudenken. Ich habe eine Knoppix gebootet und die Platte relativ genau unter die Lupe genommen. 'find -ctime' hilft leider nicht weiter, da ich *gerade heute* jede Menge Pakete aktualisiert hatte. :-/ Meine händische Suche nach Auffälligkeiten brachte nichts. Auf der Maschine sind nur 3 User eingerichtet, alle mit guten, langen Passwörtern. Da sie außer apache und ssh keine Dienste anbot kann ich mir das ganze irgendwie nicht ganz erklären. Und weil ich es mir nicht erklären konnte, bin ich mit angeschaltenem ethereal wieder ans Netz. Jetzt beobachte ich seit ungefähr 2h gebannt was hier passiert. Der ominöse Datenverkehr ist weg. Der syslog loggt wie immer. Arbeitshypothese: Jemand hatte gegen mich einen Portscan laufen, das war der sichtbare Datenverkehr. Der Portscan war *zufällig* ungefähr da zu Ende wo ich den Samba anhielt. Was würdet ihr an meiner Stelle tun? Maschine nur auf Verdacht neu aufsetzen? Jörg -- Eine Katze ist immer so lang, wie der Tisch hoch ist. Ludwig Keil in <[EMAIL PROTECTED]> -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)