redhat 7.3 + portsentry -> server gaat plat

Ik draai redhat 7.3 met portsentry (normale modus). Sinds 2 dagen ligt mijn server er om de zoveel uur uit. Dit staat er in de /var/log/messages:

Sep 8 22:53:38 synergy sshd(pam_unix)[684]: session closed for user ****
Sep 8 22:53:38 synergy portsentry[736]: attackalert: Possible stealth scan from unknown host to TCP port: 143 (accept failed)
Sep 8 22:54:08 synergy last message repeated 299849 times
Sep 8 22:54:29 synergy last message repeated 195044 times
Sep 8 22:54:29 synergy proftpd[1018]: synergy (***-***-***-***.adsl.xs4all.nl[***.***.***.***]) - FTP session closed.
Sep 8 22:54:29 synergy PAM_pwdb[1018]: (ftp) session closed for user ****
Sep 8 22:54:29 synergy portsentry[736]: attackalert: Possible stealth scan from unknown host to TCP port: 143 (accept failed)
Sep 8 22:54:59 synergy last message repeated 297398 times
Sep 8 22:56:01 synergy last message repeated 589121 times
Sep 8 22:57:01 synergy last message repeated 587472 times
Sep 8 22:58:03 synergy last message repeated 594306 times
Sep 8 22:59:03 synergy last message repeated 588071 times
Sep 8 23:00:04 synergy last message repeated 588493 times
Sep 8 23:01:06 synergy last message repeated 570334 times
Sep 8 23:02:07 synergy last message repeated 383143 times
Sep 8 23:03:08 synergy last message repeated 371067 times
Sep 8 23:04:08 synergy last message repeated 395151 times
Sep 8 23:05:10 synergy last message repeated 589691 times
Sep 8 23:06:10 synergy last message repeated 596043 times
Sep 8 23:07:11 synergy last message repeated 594172 times
Sep 8 23:08:13 synergy last message repeated 594930 times
Sep 8 23:09:13 synergy last message repeated 595148 times
Sep 8 23:10:15 synergy last message repeated 588405 times
Sep 8 23:11:16 synergy last message repeated 596391 times
Sep 8 23:12:16 synergy last message repeated 599063 times
Sep 8 23:13:17 synergy last message repeated 597530 times
Sep 8 23:14:18 synergy last message repeated 595501 times
Sep 8 23:15:20 synergy last message repeated 592305 times
Sep 8 23:16:20 synergy last message repeated 596793 times
Sep 8 23:17:21 synergy last message repeated 597550 times


etc.....

de sterretjes staan voor een ip-adres/user. Wat kan dit in godsnaam zijn? Ik draai alleen pop3/httpd/sendmail/proftpd/sshd en de firewall is gebaseerd op iptables. Weet iemand wat er aan de hand kan zijn?

Verwijderd schreef op 09 september 2002 @ 10:27:
Poort 143 waar PortSentry naar verwijst is de IMAP poort. Gezien de aantallen lijkt het op DoS attack. Ik zou eens gaan informeren bij je provider of zij meer weten.

Dat 'unknown host' vanwaar die connect komt is ook vaag. Staat poort 143 expliciet dicht in je firewall?

En wat bedoel je precies met 'server plat' ? Is je bak dan totaal niet meer te bereiken? Pingt hij nog? En komen die tijden van die PortSentry berichten overeen met de tijden dat je bak down is?

Met bak down bedoel ik totaal niet meer te bereiken, in een deel van die 'onbereikbare' tijd logt hij nog wel veel portsentry activiteit, maar dat houdt na -+ 30 min ook op en dan logt ie niks meer en kan ik ook nog steeds niets .......