Das Log fiel mir letztens auch auf, als das Internet nicht ging und ich daraufhin das Modem (über die Weboberfläche) neu gestartet hatte.
Ein Eintrag fiel mir besonders auf (habe leider nicht mit c&p gesichert, aber sinngemäß): Telnet User logged in from 192.168.100.10; Telnet User logged out.
Da der einzige offene Port auf LAN-Seite Port 80 ist, muss dies also aus dem WAN gekommen sein. Vermutlich, zur Autoprovisionierung. Nichtsdestotrotz aus Neugierde (immerhin versucht da ja jemand in mein Netz einzudringen!) einen Portscan gestartet:
root@router: nmap -v -A 192.168.100.10
Starting Nmap 5.00 (
http://nmap.org ) at 2012-01-16 01:25 CET
NSE: Loaded 30 scripts for scanning.
Initiating Parallel DNS resolution of 1 host. at 01:25
Completed Parallel DNS resolution of 1 host. at 01:25, 13.00s elapsed
Initiating SYN Stealth Scan at 01:25
Scanning 192.168.100.10 [1000 ports]
Discovered open port 111/tcp on 192.168.100.10
Discovered open port 21/tcp on 192.168.100.10
Discovered open port 53/tcp on 192.168.100.10
Discovered open port 8000/tcp on 192.168.100.10
Discovered open port 631/tcp on 192.168.100.10
Discovered open port 6001/tcp on 192.168.100.10
Discovered open port 2049/tcp on 192.168.100.10
Discovered open port 5901/tcp on 192.168.100.10
Completed SYN Stealth Scan at 01:25, 0.07s elapsed (1000 total ports)
Initiating Service scan at 01:25
Scanning 8 services on 192.168.100.10
Completed Service scan at 01:26, 57.88s elapsed (8 services on 1 host)
Initiating OS detection (try #1) against 192.168.100.10
Ende vom Lied: Noch während der OS-Detection deaktivierte sich der LAN-Port. Also ethtool auf dem Router gab mir "Link detected: no". Konnte das Modem erst am nächsten Morgen wieder restarten (im Modemzimmer schlief schon jemand), und dann ging auch alles wieder. Entweder Zufall, oder KDGs IDS hat das Modem veranlasst, die LAN-Seite zu deaktivieren. Zu 192.168.100.10 ist jetzt auch gar nicht mehr erreichbar. War wohl nur für die Zeit der (von mir vermuteten) Provisionierung.
