Am Freitag, 24. September 2004 12:26 schrieb Andreas Kretschmer: > > Sep 24 10:43:23 oms-net kernel: REJECT NEW SYN/ACK: IN=eth0 OUT=eth2 > > SRC=192.168.11.70 DST=66.196.90.50 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=51378 > > DF PROTO=TCP SPT=80 DPT=53595 WINDOW=5792 RES=0x00 ACK SYN URGP=0 > > SYN und ACK : Best�tigung Aufbauwunsch.
Ja. Es kam aber kein Aufbauwusch von drau�en. Siehe die Firewalleintr�ge: $IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \ -m state --state NEW -j LOG --log-prefix "REJECT NEW SYN/ACK: " $IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \ -m state --state NEW -j REJECT --reject-with tcp-reset Au�erdem logge ich in der Firewall inzwischen alles mit SPT=80 oder DPT=80 von und nach 192.168.11.70 (positiv getestet von anderer IP aus). Da ist aber nichts zu sehen. > > Nachdem ich den apache gestoppt habe, war erst einmal Ruhe. Bis eben, da kam > > ein einzelnes Packet: > > > > Sep 24 11:34:15 oms-net kernel: DROP NEW NOT SYN: IN=eth0 OUT=eth2 > > SRC=192.168.11.70 DST=62.109.118.250 LEN=40 TOS=0x08 PREC=0x00 TTL=63 > > ID=16752 DF PROTO=TCP SPT=80 DPT=10618 WINDOW=0 RES=0x00 ACK RST URGP=0 > > Mmh, da lief vielleicht noch eine Instanz, die dann die Verbindung > beenden wollte? Da kann ich bei diesem Packet nicht die Hand f�r ins Feuer legen, da� dem nicht so war. Bisher ist Ruhe. > > Chkrootkit zeigt nichts an. > > Was zeigt 'netstat -tulpen' an? Eine Menge, aber nichts mehr auf Port 80. Da jetzt Ruhe herrscht, nehme ich an, da� apache Schuld ist/war. Die Frage ist immer noch, warum er selbstt�tig Verbindungen 'best�tigen' wollte, obwohl nachweislich kein Packet von drau�en kam??? Tim
