[ LUGOS ] kernel warning
Alex Mihicinac
Alex.Mihicinac na uni-lj.si
Sob Mar 6 16:52:57 CET 1999
On Sat, 6 Mar 1999, Petra wrote:
> >>Jan 10 19:07:02 LuBiCa kernel: Warning: possible SYN flood from
> >>193.189.160.124 on 193.2.190.5:113. Sending cookies.
> Aha, ce bi malce bolj pogledal, bi videl, da gre za ident. Obicajno se ti
> nekdo obesi na ident port, ker hodis ti k njemu, ne? Saj nobena masina ne
> more dobiti ident informacij za povezave drugih masin. In zakaj hodis
> tolikokrat k njemu? Ni to malce cudno, ce vidis, da ti je vstop prepovedan?
> No, ce k temu dodamo in poudarimo, da je to host irc.SiOL.net postane slika
> ze jasnejsa. Predvsem, ce bi se malo nadziral procese na tej masini (ali pa
> je bilo to namenoma prezrto). Namrec: po postavitvi K:line-a na
> *@LuBiCa.s-sser.lj.edus.si, so se boti s tega hosta se vedno skusali
> povezati na streznik irc.SiOL.net - in to priblizno na vsake 15 sekund. Se
> ti ne zdi to malo prehudo, glede nato, da se sedaj sam hudujes nad
> morebitnim SYN napadom? Kaj so poceli procesi z omenjene masine? Nic drugega
> kot ravno to. Floodali so irc.SiOL.net z nenehnimi SYN zahtevami. Zato smo
> kasneje tej masini preprecili dostop se na drugacen nacin.
Na zacetku moram povedat, da je bila doticla masina res brez pravega
nadzora in so na njej "laufali" samo boti (ki kot kaze niso bili prevec
dobro skonfigurirani - poskusi povezav vsake 15sec). Problem je bil
predvsem v tem, da v casu "sesutja" masine nihce ni imel fizicnega dostopa
do nje. Masina je zacela zavracati kakrsnekoli povezave (ssh, telnet),
tako da je remote nihce ni mogel "obvladati". Potem so zdivjali tudi boti
in ob kasnejsi ugotovitvi, naredili se vec logov kot sem jih nasel v
/var/adm/*
Upam, da zadeva ni povzocila prevelikih glavobolov irc.siol.net adminom
(ki sta se ze oglasila z replyem) in se jima seveda opravicujem.
Poudaril pa bi rad to, da se nisem pritozeval na SYN floodom, pac pa samo
spraseval, kaj doticla vrstica v logih pomeni. Se vedno pa me zanima,
zakaj se je masina sesula in zacela izvajat service denyal (ali je odgovor
skrit v citiram "Zato smo kasneje tej masini preprecili dostop se na
drugacen nacin."?).
lp,
alex
Dodatne informacije o seznamu Starilist