identd Einträge im log .. was ist da los? [gelöst]

[Wolf012]

Hallo zusammen!

Ich bekomme in zwei Minutenabstand sehr merkwürdige Einträge über logcheck. Kann mir jemand sagen woher diese Einträge kommen, was sie bedeuten und was ich dagegen machen kann? Habe Google versucht, spuckte allerdings nichts interessantes aus. Sieht so aus als ob irgendetwas(-jemand?) peridosch versucht auf identd zu connecten ?!?

VIelen Dank für eure Hilfe!

(Debian unstable, 2.6.10)

Code: Alles auswählen

Security Events
=-=-=-=-=-=-=-=
Mar 31 18:03:49 localhost identd[23057]: netlink_lookup: write failed: Connection refused
Mar 31 18:05:49 localhost identd[23797]: netlink_lookup: write failed: Connection refused
Mar 31 18:07:49 localhost identd[23797]: netlink_lookup: write failed: Connection refused
Mar 31 18:09:49 localhost identd[23797]: netlink_lookup: write failed: Connection refused
Mar 31 18:11:49 localhost identd[23980]: netlink_lookup: write failed: Connection refused
Mar 31 18:13:49 localhost identd[23980]: netlink_lookup: write failed: Connection refused
Mar 31 18:15:50 localhost identd[24072]: netlink_lookup: write failed: Connection refused
Mar 31 18:17:49 localhost identd[24072]: netlink_lookup: write failed: Connection refused
Mar 31 18:19:49 localhost identd[24072]: netlink_lookup: write failed: Connection refused
Mar 31 18:21:49 localhost identd[24210]: netlink_lookup: write failed: Connection refused
Mar 31 18:23:49 localhost identd[24261]: netlink_lookup: write failed: Connection refused
Mar 31 18:25:49 localhost identd[24320]: netlink_lookup: write failed: Connection refused
Mar 31 18:26:34 localhost identd[24320]: netlink_lookup: write failed: Connection refused
Mar 31 18:26:43 localhost identd[24320]: netlink_lookup: write failed: Connection refused
Mar 31 18:27:49 localhost identd[24320]: netlink_lookup: write failed: Connection refused
....

[eagle]

Hast du irgendwelche Dienste im inetd aktiviert? ( /etc/inetd.conf )

eagle

[Wolf012]

Nein, auf inetd läuft nichts.

[eagle]

Wenn kein Dienst in der /etc/inetd.conf auskommentiert ist, dann sollte es meinen Erachtens auch zu keinem Connect kommen dürfen.

Vielleicht zur Sicherheit nochmal mit nenetstat -pltu überprüfen ob da wirklich nichts ist.

eagle

[Wolf012]

netstat zeigt nichts von identd, sehr merkwürdig ...
nmap sagt auch das kein identd vorhanden ist

sobald ich eine iptable regel erstelle die alles auf identd dropt ist ruhe. Kommt also definitiv vom Netz...
Interessanterweise hatte ich soeben auch connects auf SSH. auch alle 2 minuten.

Habe jetzt beide Dienste erstmal per iptables geblockt.
Ich lass jetzt mal meinen Router alle Pakete loggen in den nächsten Stunden, mal sehen ob was brauchbares rauskommt.

[Wolf012]

Jetzt werd ich langsam nervös

Code: Alles auswählen

tail -f /var/log/daemon.log
Mar 31 22:03:26 localhost in.ftpd[6659]: warning: can't get client address: Connection reset by peer
Mar 31 22:03:26 localhost in.ftpd[6659]: connect from unknown (unknown)
Mar 31 22:03:33 localhost in.ftpd[6664]: warning: can't get client address: Connection reset by peer
Mar 31 22:03:33 localhost in.ftpd[6664]: connect from unknown (unknown)

[eagle]

Es sieht so aus als wirst du massig belästigt . Was hast du alles an Diensten laufen die potentiell gefährlich sind?

eagle

[meandtheshell]

wie sieht es mit den log prioritäten aus - bekommst du überhaupt alles mit was da vor sich geht?

[Wolf012]

log ist auf "paranoid"

EDIT: iptables logt alles (IN,OUT,FORW) mit

dienste laufen:

Code: Alles auswählen

nmap vom lokalen rechner aus (ohne Iptables)
21/tcp    open  ftp
111/tcp   open  rpcbind
626/tcp   open  unknown
631/tcp   open  ipp
710/tcp   open  unknown
2049/tcp  open  nfs
10000/tcp open  snet-sensor-mgmt

ftpd udn nfs brauche ich undebingt im internen lan

Ich werde den server erstmal abdrehen und die iptable regeln nach MAC Adressen erstellen, dazu muss ich mich erst etwas einlesen. Vielleicht zieht der nette Angreifer auch weiter wenn er merkt da geht nichts mehr.


EDIT2: Der Mailserver im internen Netz (Eisfair) ist soeben offline gegangen (worden ), muss erstmal die Logs auswerten, vielleicht gibt es ja da spuren.

[eagle]

autsch . Das klingt natuerlich bitter.

Ist dein Netz von aussen durch einen Router mit einer extra Firewall getrennt? Sind die Dienste die du nur intern brauchst auch so konfiguriert das man nur von internen Adressen drauf zugreifen kann?

Haltte uns auf jeden Fall auf dem Laufenden ..

eagle

[Wolf012]

Bin gerade am Log auswerten, der Router hat doch einiges mitgeschnitten. Es war definitiv ein Angriff. Wie der reingekommen ist muss ich erst abklären, vermutlich über eine Lücke in iptables innerhalb der DMZ.

Netzwerkstruktur:

Code: Alles auswählen

WAN (172.x.x.x)
   |
MODEM (10.0.0.x) XDSL, 5Mbit
   |
ROUTER (> 192.168.x.x) 
   |
HW-Firewall A (nur HTTP, nur über PROXY)
   |
Proxy (Squid)
   |
HW-Firewall B        Backupserver
   |                     |
SWITCH -------------- Server A (1x Mailserver EISFAIR; 
   |                        1x dateiserver (SMB, ftpd, nfs) DEBIAN Sarge)
   |        
CLIENTS (12, alle Debian SID oder Sarge)

Aufgefallen ist es mir gestern auf einem Client (ca 18:00). Der dateiserver wurde automatisch runtergefahren (Wenn in der DMZ gewisse Regeln verletzt werden wie Zugriff von außen durch nicht autor. MAC's fährt er automatisch runter), der Mailserver wurde 5 Minuten später mittels shutdown runtergefahren (nicht von mir, auch nicht automatisch).
Er muss also root rechte am Mailserver bekommen haben, bei meinem Passwort bestimmt kein BF oder so was in der Art. Ich denke da war System dahinter um an die Daten des Dateiserver zu kommen, der zum Glück schon unten war bevor auch nur ein Zugrif erfolgte.

Ist ja nix passiert und die Server-Abschaltung hat funktioniert. Die Logs auswerten (danke für MAC und IP), Stundenaufwand mitschreiben und verrechnen und dann Klage einreichen.

[meandtheshell]

hmm ... da kann man sich ärgern - ist ja klar ...
ich denke der größte lerneffekt bei einer solchen sache ist das man sich wirklich bewußt wird jede minute die man sich mit iptables beschäftig es wert ist.

eine frage habe ich - du hast ja gesagt, du vermutest eine lücke in iptables ...

wie schaut den dein firewallscript für den router aus - oder hast du nur die HW firewalls und fertig?

ergänzung: toll das du so eine grafik gemacht hast - das spart viele zeilen erklärung

[Wolf012]

Der Router [Modem <> WAN] ist ein CompuShack Internetgateway2, dementsprechned Standard-Firmware ohne jegliche FW-Regeln.

Die Sache beweist: Man kann nicht paranoid genug sein

[edit: Bin einige Zeit unterwegs, halte euch aber auf dem laufenden]

[meandtheshell]

@ Wolf012

grüss dich - was ist jetzt stand der dinge - wie hat sich die Situation entwickelt?

[Wolf012]

Servus!

Zum Netz: Alle sicherheitsrelevanten Rechner wurden neu aufgesetzt und mit neuen Passwörtern versehen, die Regeln kontrolliert und überarbeitet ...

Der Überläter wurde ausgeforscht und kommt (wie üblich) aus der eigenen Firma. Vermutlich wollte er Programmcode rausschmuggeln. Tja .. fristlose Kündigung und Strafverfahren, das wird teuer werden.
Wie man so dumm sein kann und das von außen zu versuchen, wenn man sogar hier arbeitet, ist mir ein Rätsel (..und zeugt davon das es gut war USB Ports schon im Bios zu sperren, keine Brenner einzubauen und IPs nur an bestimmte MACs zu vergeben *g*).

[meandtheshell]

servus - was soll man da sagen - unglaublich - ein Judas Iscariot

ich rechne es dir hoch an, dass du den thread somit vom thema her beantwortet hast - das macht das bild komplett - sehr gut

markus

[Wolf012]

Ist doch klar, die comunity hier hat mir schon sehr oft geholfen, da ist so was nur selbstverständlich, oder sollte es zumindest sein.

edit: Interessanter Bezug zu Judas: Wir haben zwölf Rechner, an einem saß der Verräter ...