Hallo Welt,
auf meinem Debian SID, aktueller Stand von heute, sind merkw�rdige
Dinge passiert. Ich benutze xpppload um meine DSL-Leitung ein wenig im
Auge zu behalten. Heute nachmittag war da pl�tzlich Verkehr, der dort
nicht hingeh�rt. Es lief eigentlich nichts, aber xpppload zeigte im
Schnitt 5-10kB/s Last an. Ob ankommend oder abgehend kann xpppload
leider nicht sagen.
Richtung Internet l�uft ein iptable-Paketfilter, nach innen offen ist
ssh und http. Abgehende Verbindungen sind zul�ssig, ebenso nat�rlich
Antworten auf abgehende Pakete. Ich habe der Reihe nach alle Dienste
beendet die halbwegs in Verdacht kommen. Zun�chst nat�rlich den apache,
dann alles was es eigentlich *nicht* sein kann. bind9, ntp, ssh, naja,
einfach alles. Bei '/etc/init.d/samba stop' verschwand der Verkehr...
Ja, ein Samba ist installiert und nach innen offen. Ich bin mir aber zu
98% sicher mit der 'interfaces'-Option gearbeitet zu haben. Die war in
/etc/smaba/smb.conf aber WEG! Daf�r gibt es einen Eintrag, an dessen
anlegen ich mich nicht recht erinnern kann (ich will es aber auch nicht
ganz ausschlie�en, ich konfiguriere selten am Samba herum...):
|[fileserver]
| comment = Samba server's /fileserver
| writable = yes
| locking = yes
| path = /fileserver
| public = yes
Ein Verzeichnis /fileserver existiert _nicht_... (Ich betone nochmal
das smb Richtung Internet nat�rlich nicht durch den Paketfilter kommt.)
Ich habe die Logfiles inspiziert und mu�te feststellen das heute f�r um
7.30 das logging endete. Normalerweise schlagen ja immer mal Pakete am
Firewall auf, die logge ich z.B. mit.)
Das war der Moment wo ich die Kiste vom Netz genommen habe um in Ruhe
nachzudenken. Ich habe eine Knoppix gebootet und die Platte relativ
genau unter die Lupe genommen. 'find -ctime' hilft leider nicht weiter,
da ich *gerade heute* jede Menge Pakete aktualisiert hatte. :-/ Meine
h�ndische Suche nach Auff�lligkeiten brachte nichts.
Auf der Maschine sind nur 3 User eingerichtet, alle mit guten, langen
Passw�rtern. Da sie au�er apache und ssh keine Dienste anbot kann ich
mir das ganze irgendwie nicht ganz erkl�ren. Und weil ich es mir nicht
erkl�ren konnte, bin ich mit angeschaltenem ethereal wieder ans Netz.
Jetzt beobachte ich seit ungef�hr 2h gebannt was hier passiert. Der
omin�se Datenverkehr ist weg. Der syslog loggt wie immer.
Arbeitshypothese: Jemand hatte gegen mich einen Portscan laufen, das
war der sichtbare Datenverkehr. Der Portscan war *zuf�llig* ungef�hr da
zu Ende wo ich den Samba anhielt.
Was w�rdet ihr an meiner Stelle tun? Maschine nur auf Verdacht neu
aufsetzen?
J�rg
--
Eine Katze ist immer so lang, wie der Tisch hoch ist.
Ludwig Keil in <[EMAIL PROTECTED]>
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
