[Tech] Log misteriosi...
St0rM
storm@elemental.it
Lun 24 Dic 2001 17:03:09 CET
Ho trovato queste cose nei miei log e vorrei capire meglio cosa dicono.
La mia macchina e' una RH 7.2, e fa da web server, mail server e altre
cosette.
===
Caso 1:
Dec 18 18:16:33 xxx named[7541]: lame server on '52.101.58.217.in-addr.arpa' (in '101.58.217.in-addr.arpa'?): 151.99.125.2#53
Dec 18 18:16:33 xxx named[7541]: lame server on '52.101.58.217.in-addr.arpa' (in '101.58.217.in-addr.arpa'?): 151.99.250.2#53
Dec 18 18:23:07 xxx named[7541]: dispatch 0x4040e758: shutting down due to TCP receive error: unexpected error
Dec 18 18:36:18 xxx named[7541]: lame server on '4.50.56.217.in-addr.arpa' (in '50.56.217.in-addr.arpa'?): 151.99.125.2#53
Dec 18 18:36:18 xxx named[7541]: lame server on '4.50.56.217.in-addr.arpa' (in '50.56.217.in-addr.arpa'?): 151.99.250.2#53
A parte i lame server (che intuisco cosa voglia dire, ma sarebbe carino
capirlo piu' approfonditamente, la 3 riga mi preoccupa. Qualcun sa cosa
voglia dire? Ce ne sono diverse... ad intervalli casuali.
Uso BIND 9.1.3
===
Caso 2:
Dec 18 20:56:19 xxx kernel: IN=ppp0 OUT= MAC= SRC=194.177.103.5 DST=xxx.xxx.xxx.xxx LEN=60 TOS=0x00 PREC=0x00 TTL=48 ID=0 DF PROTO=TCP SPT=51375 DPT=113 WINDOW=5840 RES=0x00 SYN URGP=0
Dec 18 20:59:11 xxx named[7541]: socket.c:3056: unexpected error:
Dec 18 20:59:11 xxx named[7541]: internal_connect: connect() Connection reset by peer
Dec 18 21:02:20 xxx kernel: IN=ppp0 OUT= MAC= SRC=195.120.233.1 DST=xxx.xxx.xxx.xxx LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=65179 DF PROTO=TCP SPT=1701 DPT=113 WINDOW=32120 RES=0x00 SYN URGP=0
Allora. A parte i messaggi di log di IPCHAINS, di gentaglia varia, c'e'
un altro messaggiaccio di named...
===
Caso 3:
Dec 22 15:45:00 xxx xinetd[10060]: warning: can't get client address: Connection reset by peer
Dec 22 15:45:00 xxx stunnel[10059]: Using 'imapd' as tcpwrapper service name
Dec 22 15:45:00 xxx stunnel[10059]: stunnel 3.19 on i386-redhat-linux-gnu PTHREAD+LIBWRAP
Dec 22 15:45:00 xxx stunnel[10059]: getpeerbyname: Transport endpoint is not connected (107)
Dec 22 15:45:00 xxx ftpd[10062]: getpeername (in.ftpd): Transport endpoint is not connected
Dec 22 15:45:11 xxx kernel: RPC: impossible RPC reply size 0!
Dec 22 15:45:25 xxx last message repeated 3 times
Ecco qui. Questo credo di aver capito che c'entri con IMAPS, ma perche'
c'e' anche ftpd di mezzo??? Qualcuo che ha provato a fare giochetti
strani con FTP?
uso wu-ftpd 2.6.1-20
===
Caso 4
Dec 24 02:50:38 xxx stunnel[5130]: Using 'imapd' as tcpwrapper service name
Dec 24 02:50:38 xxx ftpd[5129]: lost connection to xxx.yyy.it [192.168.0.1]
Dec 24 02:50:38 xxx ftpd[5129]: FTP session closed
Dec 24 02:50:38 xxx stunnel[5130]: stunnel 3.19 on i386-redhat-linux-gnu PTHREAD+LIBWRAP
Dec 24 02:50:38 xxx stunnel[5130]: getpeerbyname: Transport endpoint is not connected (107)
Simile al precendete...credo.
L'indirizzo 192.168.0.1 e' l'indirizzo INTERNO del server, che ha due
interfaccie (una pubblica una privata) e fa il classico firewall +
masquerade.
===
aiuti? =)
Maggiori informazioni sulla lista
flug-tech