Hilfe! Merkwürdige Zeichen im syslog und mail.log

traceroute2 · Beitrag von **traceroute2** » 20.12.2007 23:28:50

Hallo Community,

folgendes Problem:
- In diversen Logfiles werden merkwürdige in unregelmäßigen Abständen Zeichen geschreiben.
- im pico sind es '@^@^@^' und mit mc(midnightcommander) '....'
- folgende Logfiles sind betroffen: syslog, mail.log, kern.log

- zum System:
- Debian Etch
- kein ungewöhnliches Verhalten, alle Dienste laufen fehlerfrei
- Image Installation (auf anderen Servern läuft das gleiche Image fehlerfrei)

Auszug / Beispiel: (syslog)
...
Dec 20 06:25:51 rex10 postfix/smtpd[27266]: lost connection after DATA from unknown[124.54.38.37]
^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^$@Dec 20 06:27:11 srv10 postfix/local[27313]: D272345B894: to=<web1p1@server.com>, orig_to=<markus@server.de>, relay=local, delay=1.5, $delays=1.4/0/0/0.08, dsn=2.0.0, status=sent (delivered to command: /usr/bin/procmail -a "$EXTENSION")

Dec 20 06:27:11 rex10 postfix/qmgr[6878]: D272345B894: removed
Dec 20 06:27:11 rex10 postfix/smtpd[27266]: disconnect from unknown[124.57.12.27]
Dec 20 07:38:00^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@00 SRC=61.191.55.42 DST=123.123.123.10 LEN=40 TOS=0x00 PREC=0x00 TTL=104 ID=256 PROTO=TCP SPT=6000 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
...
(sehr oft in zusammenhang mit /usr/bin/procmail, jedoch nicht immer!)

- was wurde bereits versucht:
- Kernel ausgetauscht
- File-System-Check (fehlerfrei)
- Zeichensätze umgestellt
- einen Speicherdefekt schließe ich eigentlich aus, aber werde noch einen Memtest machen.

Kennt jemand diese Fehler? Was kann ich tun? Ich bitte dringend um Hilfe.
Gruß Markus

Flex6 · Beitrag von **Flex6** » 21.12.2007 14:30:27

läuft den irgendwas im debug-modus oder debug aktiviert

crazyed · Beitrag von **crazyed** » 21.12.2007 15:01:32

Moin und Willkommen im Forum!

Sichere deinen Mailserver richtig ab. Beende zuerst einmal den Dienst. Du sollst wohl als Spamschleuder fungieren.
61.191.55.42 ist eine chinesische Seite.

Wie man postfix gegen so etwas sichert findest du auch in diesem Forum, benutze einfach mal die 'Suchen'-Funktion.
Und extrem wichtig ist wie gesagt, daß du erst einmal postfix sofort beendest.

traceroute2 · Beitrag von **traceroute2** » 21.12.2007 16:23:07

danke für eure antworten

Sichere deinen Mailserver richtig ab

Warum soll der Mailserver unsicher sein, nur weil eine IP-Adresse im syslog von China ist??
Postfix ist korrekt installiert und läuft auf meinen anderen systemen wunderbar.

Die Einträge sind auch in anderen Logfiles und auch in anderen Zusammenhängen.
Im Debug-Modus ist meines wissens nichts. mal schauen ob das neuinstallieren vom syslog was bringt..

Wer noch Tipps hat, bitte hier posten.

storm · Beitrag von **storm** » 21.12.2007 18:25:29

traceroute2 hat geschrieben:Warum soll der Mailserver unsicher sein, nur weil eine IP-Adresse im syslog von China ist??

Jepp, gerade in dem Zusammenhang, wenn im syslog binär-Kram auftaucht (anders kann man die Zeichen nicht interpretieren). Folgende Möglichkeiten reim ich mir mal zusammen: 1. irgendein kruder Dienst oder eine seltsam kaputte Software hat es durch die Finger eines Maintainers geschafft und nutzt ausgerechnet die Schnittstelle zum syslog um auf sich aufmerksam zu machen, oder 2. ein freundlicher, chinesischer Zuarbeiter der (unseriösen) Werbebranche probiert gerade einen/mehrere exploit(s) auf deiner Kiste auf. *g

Postfix ist korrekt installiert und läuft auf meinen anderen systemen wunderbar.

Und das garantiert dir genau was?

Die Einträge sind auch in anderen Logfiles und auch in anderen Zusammenhängen.

In welchen? Zufälligerweise welche mit offenen sockets oder pipes? Wenn du ein offensichtlich anständiges System am Laufen hast (im Sinne von keine Abstürze oder instabile Dienste), aber in den logs tauchen (höchstwahrscheinlich) binäre Zeichenketten auf, sollten die Alarmglocken läuten. crazyed hat schon recht, stöpsel die Kiste vom Netz ab und
konfigurier den so, dass nicht jeder darauf connecten kann.

ciao, storm

gms · Beitrag von **gms** » 21.12.2007 19:34:53

Also wegen der chinsesischen IP würde ich mir jetzt auch wenig sorgen machen, dieser Netfilter Logeintrag deutet eher darauf hin, daß hier ein chinesischer Rechner noch mit dem W32.Blaster Wurm infiziert ist.
Prinzipiell gebe ich aber "crazyed" und "storm" sehr wohl recht! Der Rechner gehört zuerst vom Netz und dann ordentlich untersucht

Gruß
gms

storm · Beitrag von **storm** » 22.12.2007 14:39:40

gms hat geschrieben:...mit dem W32.Blaster Wurm infiziert ist.

Hmm, stimmt, ist auch ne Möglichkeit. Woran machst du das fest bei so wenig Zeichen? Die Zeichenkette ansich?

ciao, storm

gms · Beitrag von **gms** » 22.12.2007 16:52:03

leider ist das ja wirklich nur ein Fragment eines netfilter-Logeintrags:

traceroute2 hat geschrieben:SRC=61.191.55.42 DST=123.123.123.10 LEN=40 TOS=0x00 PREC=0x00 TTL=104 ID=256 PROTO=TCP SPT=6000 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0

Der Destination Port ( DPT=135 ) wäre aber typisch für diesen Wurm, der ja auf diesem Port nach potentiellen Opfern sucht. Ob wirklich dieser Wurm dahintersteht, ist aber auch nicht so wichtig, wichtig ist, daß dieser "Angriff" anscheinend erfolgreich an der Firewall gescheitert ist.
Solange die Ursache für diesen Mist in den Logfiles jedoch nicht geklärt ist, kann diese Aussage leider für den Rest des Systems nicht getroffen werden.

Gruß
gms

traceroute2 · Beitrag von **traceroute2** » 12.03.2008 15:17:25

problem gelöst, nach einem neuen Kernelupdate! system hat/hatte definitv keinen hack.