Autor Téma: Opakující se zpráva v syslogu (Přečteno 2043 krát)

ruenix · « **kdy:** 10 Srpna 2007, 16:01:18 »

Neustále se mi v syslogu objevuje následující řádek:
Aug 10 15:39:20 dd11 icmplog: echo from olo1-v-2-93.static.adsl.vol.cz
Může mi, prosím někdo vysvětlit co to znamená a zda to může znamenat nějaké bezpečnostní riziko?

nick-db · « **Odpověď #1 kdy:** 10 Srpna 2007, 17:32:09 »

neni to tvoj ISP? :-)))

ruenix · « **Odpověď #2 kdy:** 10 Srpna 2007, 17:34:50 »

Rozhodne ne. Jedna se o server, ktery ozhodne neni pripojeny pres adsl a navic tahle zprava se objevuje prumerne 5x za minutu.

thiemel · « **Odpověď #3 kdy:** 10 Srpna 2007, 17:49:48 »

Citace: ruenix

Rozhodne ne. Jedna se o server, ktery ozhodne neni pripojeny pres adsl a navic tahle zprava se objevuje prumerne 5x za minutu.

Výpis trasy:

Kód: [Vybrat]

$ tracepath olo1-v-2-93.static.adsl.vol.cz
 1:  headshot1.casablanca.cz (81.0.213.201)                 0.154ms pmtu 1500
 1:  unassigned-81-0-213-206.casablanca.cz (81.0.213.206)   0.546ms
 2:  no reply
 3:  R3-NE80e-etht0.cas.ip-anywhere.net (217.11.224.17)   asymm  2   1.350ms
 4:  nix3.vol.cz (194.50.100.29)                          asymm  3   1.097ms
 5:  gw1.ctc.prg.vol.cz (195.122.209.38)                  asymm  4   1.046ms
 6:  88.146.109.130 (88.146.109.130)                      asymm  7   6.345ms
 7:  88.146.109.130 (88.146.109.130)                        6.469ms pmtu 1492
 8:  no reply

Komu náleží IP 88.146.109.130

Kód: [Vybrat]

$ whois 88.146.109.130
% This is the RIPE Whois query server #3.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '88.146.109.0 - 88.146.109.255'

inetnum:        88.146.109.0 - 88.146.109.255
netname:        CBBISP2
descr:          Czech On Line a.s.
country:        CZ
admin-c:        VOL-RIPE
tech-c:         VOL-RIPE
status:         ASSIGNED PA
remarks:        INFRA-AW
mnt-by:         VIDEOONLINE-MNT
mnt-lower:      VIDEOONLINE-MNT
source:         RIPE # Filtered

role:           Video On Line Hostmaster Role
address:        Czech On Line a.s.
address:        U Nakladoveho nadrazi 8
address:        130 00, Prague 3
phone:          +420 246000222
phone:          +420 246000400
fax-no:         +420 246000113
remarks:        trouble:      ------------------------------------------
remarks:        trouble:      Operational issues: 
remarks:        trouble:      Abuse and SPAM:     
remarks:        trouble:      ------------------------------------------
admin-c:        JR1434-RIPE
admin-c:        IC379-RIPE
tech-c:         JR1434-RIPE
tech-c:         IC379-RIPE
nic-hdl:        VOL-RIPE
mnt-by:         VIDEOONLINE-MNT
source:         RIPE # Filtered
abuse-mailbox:  abuse@vol.cz

% Information related to '88.146.0.0/17AS6706'

route:          88.146.0.0/17
descr:          Czech On Line a.s. Praha
origin:         AS6706
mnt-by:         VIDEOONLINE-MNT
source:         RIPE # Filtered

Takže se na 99 % jedná o zavirovaný počítač s MS Windows. Tento počítač je za "firewallem" společnosti "Czech On Line a.s. Praha".
Nebo to je to 1 % a jedná se o "napadnutý" počítač s Linuxem - útočník se přes ssh bota "nabourá" na server, často pod "root" účtem, pak si tam nahraje IRC BOTa a přes něj pak ten počítač ovládá a používá k "útokům" na další stroje.

Nic neobvyklého.

ruenix · « **Odpověď #4 kdy:** 10 Srpna 2007, 17:52:38 »

Dekuji