Firewall log

[Mash]

ich hab auch einige alerts bei mir... aber von der Zahl her bewegt es sich im normalen Bereich!

[LouCypher]

Code red wär möglich, wär cool wenn mehr von euch eure firewall logs posten würdet (sofern was eigenartiges vorgeht), macht spass diese dinger zu interpretieren.

@manfred: ich vermute dass sich auf diesen rechnern ein daemon eingenistet hat der sein unwesen treibt. Btw: 213.67.42.57 = http://www.ripe.net/perl/whois?query...Anfrage+senden , jaja die sweden

@der_morpheus1: Danke für die mail, hilft mir in dem fall zwar nicht aber cool is trotzdem 224.x.x.x ist eine multicast adresse, aon nervt mich damit auch, hab einfach die firewall angewiesen sie nicht zu loggen, ist aber harmlos.

[g17]

@ moskito

Von<http://www.securityfocus.com/>
__________________________________________________ __________
The Internet security Web site said the most obvious difference between previous variants of Code Red and the latest one was that Web server logs will record a GET request containing "XXXXXX" instead of the familiar "NNNNNN'" of Code Red.
__________________________________________________ __________

HTH
g17

[Manfred]

@LouCypher
super Link, ist schon bei meinen Favoriten, thx!

[Venkman]

ich hab in der regel nur portscans )standard sub seven blockiert ....prozessname N/A - sonst würd ich mir sorgen machen )

-hab heut nur eine komische meldung gefunden:
Datum: 06.08.01 Uhrzeit: 22:50:45
Regel "Implicit block rule" blockierte (206.142.53.2,http). Details:
Abgehende TCP-Verbindung
Lokale Adresse, Dienst ist (localhost,1037)
Remote-Adresse, Dienst ist (206.142.53.2,http)
Prozessname ist "C:\PROGRAMME\MORPHEUS\MORPHEUS.EXE"
was auch immer morpheus alles macht war nur komisch da diese de einzige meldung heute dieser art war

[LZ]

The firewall has blocked routed traffic from 172.18.95.135 to 224.0.0.13 (IP Protocol 103).

Occurred: 120 times between 06.08.01 22:02:52 and 06.08.01 23:02:32

ist da wohl jemand schwer beschäftigt einen flood in Gang zu bringen....

LZ

[g17]

DU?

172.xxx.xxx.xxx kannst nur Du sein
224.0.0.13 ist die IANA=Internet Assigned Numbers Authority
Eine Multicastaddr.

Zu Protocol 103 siehe:
http://www.networksorcery.com/enp/protocol/pim.htm

Zu Multicast siehe:
http://www.seicom-muc.de/booklet/multicast.htm

HTH
g17

[LouCypher]

Der multicast bereich 224.0.0.0-239.255.255.255 wird u.a. vom rip2 protokoll von routern verwendet die damit routen updaten bzw. neue router im lokalen lan aufspüren. Multicasts werden bei routern broadcasts vorgezogen da, erstere nicht von den pc's im lan verarbeitet werden und daher selbige nicht belasten wie es bei broadcasts der fall währe. Falls ich nicht irre, dann sind multicast aktionen harmlos, und für attacken nicht geeignet.

[LZ]

War sicher nicht ich, da ich mit Aon hier bin und da hab ich 62.47.xxx.xxx IP´s.
Leider nicht, zum Updaten der Firmware gut geeignet. Alcatel ADSL!


The firewall has blocked routed traffic from 172.18.95.135 to 224.0.0.13 (IP Protocol 103).

Occurred: 56 times between 07.08.01 08:37:44 and 07.08.01 09:05:20

Entweder sind die Jet/web Heinis am werken oder es ist da doch was wahres an dem italienischen Gerücht.

best regards,

LZ

[LouCypher]

@lz: mach mal ein tracert irgendwo hin. Du wirst merken dass diese ip gleich als erste angezeigt wird, dass ist der dfü server von aon. Die schicken immer multicasts raus, da vermute ich, selbiger auch als router funzt. Ist übrigens eine private ip adresse, wie bei den aon dfü servern üblich.