Stefan (der_priester): SNORT (sorry, habe mich unten verschrieben)

und hoffe auch das es daran lag, dass keiner was weiß :o)

Hallo, seid einigen Tagen meldet unsere Linuxfirewall im Minutenrythmus Scans nach einer IP um scheinbar in unser Netzwerk zu gelangen.
Hier mal so eine Meldung aus dem Logfile:

Date: 10/04 13:18:27 Name: ICMP Destination Unreachable (Undefined Code!)
Priority: 3 Type: Misc activity
IP info: 217.83.111.242:n/a -> 80.132.214.69:n/a
References: none found SID: 407 (unter snort.org leider nicht sehr aufschlussreich)

Interessanterweise fangen die Scans an sobald ich die Wand anknipse. Bei einem Virencheck mit F-Prot und mit Trend Micro Office Scann Corp. Ed. wurdea auf den Workstations nichts gefunden.
Meine Frage ist nun:
Was glaubt ihr woher der böse Junge immer weiß das wir online sind? Gibt es da einen Wurm für Linux (Hier Smoothwall Business mit allen Patches und etwas modifiziert)?

Ich muss allerdings auch sagen das wir no-ip.com nutzen. Aber selbst beim nach dem Abschalten der virt.stat. IP und einem Neustart der Wand geht es weiter.

Hat jemand ne Idee was der Charakter dieser Angriffe ist? Und ob eine Gefahr besteht?

Danke

Stefan

  1. </?m=139852&t=25550>

    1. </?m=139852&t=25550>

      Hallo,

      wie wärs mit nem thorn-deamon? ICMP-Packete produziert der für sein Leben gerne und klinkt sich in jede Nameservice-Anfrage ein.
      Aufschluss gibt da die TU Linz. Die haben eine Spezialtruppe gegründet.

      Leider hast Du ja nix zum Betriebssystem und auch nicht zum Webserver, Proxy, Mailserver, FTP-Deamon, etc geschrieben. Was habt Ihr da auf Eurem System? Was Nachvollziehbares oder den gekauften Schrott zum aus dem Fenster werfen?

      Auf jeden Fall solltest Du mit einem transparent vorgeschalteten System den Traffic beobachten. Der wird etwas ansteigen...

      Solltet Ihr ne Telekom-Standleitung haben, die über Auslesung des lolalen Routers den Traffic zur Berechnung ermittelt, dann schalt sofort ab. Das Verfahren ist nicht sicher und "denkt sich Traffic aus" (ca. Faktor 10 zum tatsächlichen) aufgrund verlorengehender Packete.

      Nun informier und erstmal über die Rahmendaten.

      Grüße

      Tom