Einmal gescannt uns schon is er weg

[hjnet]

Hi

Ich bekomm von meinem Server beinahe täglich emails wie diese:

Active System Attack Alerts
=-=-=-=-=-=-=-=-=-=-=-=-=-=
May 31 10:58:56 server1 portsentry[1105]: attackalert: Connect from host: hosting-bess-197.65.rev.fr.colt.net/213.41.65.197 to TCP port: 111
May 31 10:59:01 server1 portsentry[1105]: attackalert: Connect from host: hosting-bess-197.65.rev.fr.colt.net/213.41.65.197 to TCP port: 111
May 31 10:59:01 server1 portsentry[1105]: attackalert: Host: 213.41.65.197 is already blocked. Ignoring
May 31 14:09:36 server1 portsentry[1105]: attackalert: Connect from host: main.dmsf.edu.ph/61.9.112.222 to TCP port: 111
May 31 14:09:41 server1 portsentry[1105]: attackalert: Connect from host: main.dmsf.edu.ph/61.9.112.222 to TCP port: 111
May 31 14:09:41 server1 portsentry[1105]: attackalert: Host: 61.9.112.222 is already blocked. Ignoring

wobei die IP-Adresse täglich wechselt. Kurz darauf geht mein http-server offline, wobei aber zumindest FTP und email etc. erhalten bleiben (soweit ich das feststellen konnte).
Ich hab zwar nicht wirklich eine Ahnung von der Materie, aber für mich sieht das aus, als ob jemand meine Server nach offenen Ports scannen würde, nur dürfte das doch rein theoretisch nicht machen, oder?? Zumindest dürfte dadurch doch nicht der HTTP-Server offline gehen.
Komisch ist auch, das sich der HTTP-Server ja eigentlich solange neu starten müsste, bis er wieder online ist, doch in dem Fall bleibt er solange offline, bis ich ihn manuell neu starte.
Im Endeffekt werd ich aus dem ganzen nicht besonders Schlau, aber vielleicht kommt einem von eucht das ganze irgendwie bekannt vor?!?!

 

[sieben]

Meine Glaskugel ist gerade ein bischen beschlagen. Welche Serversoftware kommt zum Einsatz, welche Software produziert solch merkwuerdige Logs und was sagen die Logs deines httpd dazu?

 

[hjnet]

Ich verwende einen Apache webserver, welcher auch lange ohne Probleme funktioniert hat, nur seit 2 Wochen is irgendwo der Wurm drin.
Die Logfiles hab ich mir mal alle durchgesehen, da tauchte keine der in der email erwähnten IP´s auf. Allerdings konnte ich mir nicht die Logfiles von meiner meistbesuchten Domain anschaun (wäre vermutlich am aufschlußreichsten gewesen), da dieser File über 1GB an Speicherplatz auffrißt, und sich deshalb mein PC bei jedem Öffnungsversuch verabschiedet.
Kann man irgendwie die größe der Logfiles limitieren?? Oder gibt´s irgendeine Methode wie ich die Datei trotzdem öffnen kann???

 

[sieben]

Original von hjnetKann man irgendwie die größe der Logfiles limitieren?? Oder gibt´s irgendeine Methode wie ich die Datei trotzdem öffnen kann???

Interessant waehre es ja zu erfahren was die Logs sagen bevor sich der Server verabschiedet (ggf auch was der syslogd festhaelt)

Zu deinen Fragen:

man split
man tail

 

[hjnet]

May 31 12:18:25 server1 proftpd[3070]: server1.hjhost.com (pD954124B.dip.t-dialin.net[217.84.18.75]) - FTP login timed out, disconnected.

May 31 14:09:36 server1 portsentry[1105]: attackalert: Connect from host: main.dmsf.edu.ph/61.9.112.222 to TCP port: 111

May 31 14:09:41 server1 portsentry[1105]: attackalert: Connect from host: main.dmsf.edu.ph/61.9.112.222 to TCP port: 111

May 31 14:09:41 server1 portsentry[1105]: attackalert: Host: 61.9.112.222 is already blocked. Ignoring

Jun 1 04:02:01 server1 syslogd 1.4.1: restart.




Ich hab mir mal den Logfile von dem "Absturz" angeschaut, auf den sich die email von meinem ersten Post bezieht. Am 31. Mai waren am Vormittag halt tonnenweise irgendwelche sinnlosen FTP-Zugriffe wie diese:

May 31 05:08:48 server1 proftpd[26900]: server1.hjhost.com (maxxxhosting3[127.0.0.1]) - FTP login timed out, disconnected.
May 31 05:58:11 server1 proftpd[28138]: server1.hjhost.com (p508818A5.dip.t-dialin.net[80.136.24.165]) - FTP session opened.

Dann kam dreimal diese "attackalert" Warnung und anschließend nichts mehr, bis ich den Server am 1.Juni um 4:02 neu gestartet habe.


Also recht schlau werd ich daraus nicht, das einzige was mich ein wenig stutzig macht, sind die zahlreichen FTP-Zugriffe, wo es eigentlich nur welche geben sollte mit meiner IP-Adresse?!?

 

[Tec]

@hjnet

Also recht schlau werd ich daraus nicht, das einzige was mich ein wenig stutzig macht, sind die zahlreichen FTP-Zugriffe, wo es eigentlich nur welche geben sollte mit meiner IP-Adresse?!?

kannste mir mal erklären wie Du zu dieser Annahme kommst?

 

[hjnet]

Naja, weil auf meinem Server keiner irgendwas herumzuFTP´n hat ausser mir. Wenn jemand was von meinem Server runterladen will, soll er sich zumindest auch die Werbung meiner Sponsoren ankucken, und nicht einfach nur meine Bandwith verpulvern.

 

[Tec]

nun so wie die Log aussieht war auch keiner drauf. Es hat nur jemand probiert.


Nochwas zu:

Zumindest dürfte dadurch doch nicht der HTTP-Server offline gehen

...mit Nessus ist alles möglich!

 

[hjnet]

Ja ok probiert, muß mir nochmal genauer die logs anschaun, aber beim drüberfliegen hat´s, soweit ich das in der kürze gesehen hab, nur "Probierer" gegeben, aber das dürfte erst recht keinen negativen Einfluß auf den http-server haben, denk ich mir mal.

Nessus ist doch so ne Art security scanner, welcher auf einem eigenen Account auf z.B. meinem Server läuft, und dann z.B. meine http server abdrehn sollte, falls irgendeine ungewollte Anwendung von aussen den Server so belastet, das möglicherweise derjenige als ganzes offline geht, oder???
Ich hab die ganze Software nicht in meinen Server gepackt, aber zu 99% hab ich Nessus nicht drauf. Das einzige was noch möglich wäre ist das jemand Nessus von einem anderen Server aus gegen mich verwendet, falls das geht??

 

[Tec]

Nessus ist ein Sicherheitsscanner welcher Systeme nach Bugs durchsucht. Dabei kommt es sehr wohl vor, das dieser einen httpd abschiessen kann.

 

[hjnet]

Ja glaub ich schon. Aber eigentlich wollt ich wissen ob Nessus dazu auch auf meinem Server installiert sein muß, oder ob es auch von einem anderen System aus Probleme verursachen kann.

Im übrigen funktioniert mein Server wieder einwandfrei seit 2 Tagen, vermutlich ham die nur irgendeinen Mist gebaut bei meinem Host, und diese Problemchen sind zufällig mit der Scannerei nach offenen Ports zusammengefallen. Aber ich bin erst happy wenn er auch das WE ohne Extratouren übersteht 8)

 

[hjnet]

BTW: Wegen der FTP-Zugriffe von weiter oben, anscheinend hat sich da doch einer gratis bedient, am 2. oder 3. Juni sind 40GB Bandwith flöten gegangen, und das nicht per http.

 

[sieben]

Original von Tecnun so wie die Log aussieht war auch keiner drauf. Es hat nur jemand probiert.

Eine Lücke von 10 Stunden im syslog, direkt nach einem Angriff, wuerde mich zumindest schon so skeptisch mache das ich das System isoliere und die Checkliste durchgehe.