|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Andrey V. Malyshev 2:5020/400 24 Apr 2002 14:36:31
To : Alexandr Goncharov
Subject : Re: странности в логе
--------------------------------------------------------------------------------
"Alexandr Goncharov" <agv@tomsknet.ru> сообщил следующее:
> AVM> Apr 22 01:01:15 hname 173>Apr 21 17:01:15 rpc.statd[523]:
gethostbyname
> AVM> error for ^Xw^??^Xw^??^Zw^
> AVM>
??^Zw^??%8x%8x%8x%8x%8x%8x%8x%8x%8x%62716x%hn%51859x%hn^P^P^P^P^P^P^P^P^P^P^
> AVM> P^P^P^P^P^P^P^P^P^P^P^P^
> AVM>Hо через что тогда они лезут ? При чем тут rpc.statd ? Да, на машине
есть NFS-шары, апач.
> Через него и лезут. rpc - Remote Procedure Call расшифровывается, btw.
> И есть ряд известных атак, направленных как rpc.statd, так и на portmapper
> Это скорее всего udp пакеты.
то бишь на 111 порт либо на 369 ?
Можно ли просто загородить их ipchains'ом от доступа снаружи и все ?
> AVM> Что это такое ? Просветите плиз, кто знает :)
> Достаточно хорошо расписано в книжке "Обнаружение вторжений в сеть"
Стивена
> Hортката. Выходила на русском языке (Издательство не помню, кажется Лори).
> И следующей, того же автора - "Анализ типовых нарушений безопасности в
сети".
> Hа русском издавалась в Вильямсе.
Спасибо за инфу. Пощу книжки.
То есть это не на sshd и не на telnetd атака, и можно просто закрыться
файрволом ?
Вряд ли это кто-то из внутренней сети :) А для наружи ничего, кроме sshd и
ftpd, не нужно.
--- ifmail v.2.15dev5
* Origin: OJSC "Rostelecom" TCMS-17 NewsServer (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
