Mal ein paar LOG-Sachen: SYN-Flood und Kernel-Murks

["E. Kuch" <fannetcom gmx de>]

Howha Liste:

Ein Auszug aus meiner /var/log/messages mit Kommentaren ist im Anhang:

Interessant ist der moegliche SYN-Flood Angriff und
der Kernel-Murks. Danach war kein SMTP, POP3, SSH oder Telnet
mehr moeglich. HTTP ging aber noch (Warscheinlich, weil SMTP usw.
ueber den INETD laufen und der Webserver standalone).
Das letzte "Apr 25 14:29:28 (none) -- MARK --" vor dem Reset sagt
ja auch, dass noch was ging. Ach ja, die Platte war absolut nicht
voll (Mindestens noch 500MB frei). Memory war auch in ordnung
(Das konnte ich durch das Webinterface des Webservers noch sehen).
Uptime war 111 Tage. ;(

BTW: Der angegeben IP des SYN-Flood hab' ich einen Besuch abgestattet.
Mich auf dem SMTP Server eingeloggt, und Ihm 'ne nette Mail hinterlassen,
dass er gefaelligst auf sein System aufpassen soll. (Noch ein netter
Kandidat fuer das IDDN *g*).

Was haltet Ihr von den Meldungen?
Wie kann ich mich irgendwie vor SYN-Floods schuetzen, wenn's der Kernel
schon merkt?

Cheerio,
Eric

-- 
PGP / GPG KeyID: 0x3876817F

### Da war ich noch drauf:
Apr 21 14:22:36 (none) sshd[23785]: log: Connection from [meine IP] port 621
Apr 21 14:22:36 (none) sshd[23785]: log: Could not reverse map address [meine IP].
Apr 21 14:22:47 (none) sshd[23785]: log: Password authentication for [mein USER] accepted.
Apr 21 14:22:53 (none) sshd[1888]: log: Generating new 2304 bit RSA key.
Apr 21 14:23:01 (none) su[23806]: + ttyp2 [mein USER]-root 
Apr 21 14:23:55 (none) rz[23827]: 20000420-0232.zip/ZMODEM: 8282 Bytes, 4799 BPS
Apr 21 14:24:48 (none) sshd[1888]: log: RSA key generation complete.
Apr 21 14:31:55 (none) sshd[23785]: log: Closing connection to [meine IP]

### Bis dahin ging noch alles:
Apr 22 14:13:56 (none) -- MARK --
Apr 22 14:15:52 (none) kernel: Warning: possible SYN flood from 208.32.75.34 on 212.86.161.100:111.  Sending cookies. 
Apr 22 14:33:56 (none) -- MARK --
.....

### Da ging dann wohl der Spass los:
Apr 24 12:30:08 (none) kernel: Unable to load interpreter 
Apr 24 12:30:09 (none) last message repeated 2 times
Apr 24 12:54:02 (none) -- MARK --
.... (ging so weiter)
Apr 24 14:54:02 (none) -- MARK --
Apr 24 15:10:01 (none) kernel: Unable to load interpreter 
Apr 24 15:20:01 (none) kernel: Unable to load interpreter 
Apr 24 15:20:02 (none) kernel: Unable to load interpreter 
.... (ging so weiter)
Apr 24 16:45:44 (none) kernel: Unable to load interpreter 
Apr 24 16:46:48 (none) last message repeated 7 times
Apr 24 16:47:49 (none) last message repeated 5 times
Apr 24 16:48:58 (none) last message repeated 7 times
Apr 24 16:50:02 (none) last message repeated 8 times
Apr 24 16:50:09 (none) kernel: Unable to load interpreter 
Apr 24 17:58:52 (none) kernel: Unable to load interpreter 
Apr 24 18:00:42 (none) kernel: Unable to load interpreter 
.... (ging so weiter)
Apr 24 18:26:37 (none) -- MARK --
Apr 24 18:46:50 (none) -- MARK --
Apr 24 19:07:05 (none) -- MARK --
.... (ging so weiter)

### Da kam ich dann nimmer rein:
Apr 25 13:49:28 (none) -- MARK --
Apr 25 14:09:28 (none) -- MARK --
Apr 25 14:29:28 (none) -- MARK --

### Da kam der boese Reset-Knopf, weil ich sonst erst
### hinlatschen, Keyboard einstecken, und
### von Hand init x eingeben haette muessen:
Apr 25 16:49:15 (none) syslogd 1.3-3: restart.
Apr 25 16:49:15 (none) kernel: Error seeking in /dev/kmem 
Apr 25 16:49:15 (none) kernel: Error adding kernel module table entry. 
Apr 25 16:49:15 (none) kernel: Memory: sized by int13 088h 
Apr 25 16:49:15 (none) kernel: Console: mono *MDA 80x25, 1 virtual console (max 63) 
Apr 25 16:49:15 (none) kernel: pcibios_init : BIOS32 Service Directory structure at 0x000fad80 
Apr 25 16:49:15 (none) kernel: pcibios_init : BIOS32 Service Directory entry at 0xfb200 
Apr 25 16:49:15 (none) kernel: pcibios_init : PCI BIOS revision 2.10 entry at 0xfb230 
Apr 25 16:49:15 (none) kernel: Probing PCI hardware. 

### So, was haltet Ihr davon?