[ LUGOS ] Potencialen vdor?

[Stojan Rancic]

On Fri, 13 Aug 1999 13:09:55 +0200, Bo tjan Muller [NEONATUS] wrote:

>Pozdrav!
>
>Vceraj sem checkiral loge in sem zasledil v njih tudi tole:
>Aug 12 18:25:03 MAJA ffingerd[666]: connect from ts03-1.trace.net.tw
>Aug 12 18:25:05 MAJA in.telnetd[667]: connect from ts03-1.trace.net.tw
>Aug 12 18:25:09 MAJA imapd[669]: command stream end of file, while reading line
>+user=??? host=ts03-1.trace.net.tw [202.80.133.1]
>Aug 12 18:25:15 MAJA sendmail[665]: NOQUEUE: Null connection from
>+root na ts03-1.trace.net.tw [202.80.133.1]
>Aug 12 18:25:15 MAJA in.telnetd[670]: connect from ts03-1.trace.net.tw
>
>Potencialni vdor ali sem le paranoi en?
>V ve ini hack & crack navodil bi bili tole osnovni postopki za preverjanje
>lukenj v sistemu  e se ne motim, tale osebek ni imel kaj iskat na moji ma ini,
>pa  e dinami en ip imam - ppp link tako da ne vem kje me je na el?

To je bil ocitno portscan, ce ti je pa vdrl kam se samo iz tega ne da ravno videti. Poglej malo po /var/log/secure , /var/log/messages in ukaz "last" . 

>BTW: kako naj izvem ali je pri el notri? Nikjer  v logih ni pisalo da bi kaj
>bilo authenticated se pravi nikjer ne pi e da bi bila kaka povezava odobrena...
>
>Mi lahko kdo svetuje kaj naj storim (ce sploh kaj moram storiti).

Instaliraj si programcek, ki ti detektira portscane in ob njih ustrezno ukrepa. Osebno bi priporocal PortSentry (<http://www.psionic.com/abacus/portsentry/>)
Splaca se pa seveda tudi zaprti vse porte, ki jih ne potrebujes (komentiraj stvari ven iz /etc/inetd.conf , postavi inbound pravila z ipchains,...)




                                   GreetZ, Stojan