Hacker frage...

Dieses Thema im Forum "Software" wurde erstellt von tobio, 3. Februar 2004.

  1. tobio

    tobio New Member

    keine Angst möchte nicht wissen wie man irgend etwas böses anstellt, habe nur folgendes Problem:
    seit November logge ich auf meinem Linuxserver im Keller, die Anmeldungsversuche mit. Seit dieser Zeit wird der Ordner mit den Logfiles immer, immer größer.
    Einige "Scriptkiddies" versuchen es täglich mit Ihren Hackprogrammen und Scannern auf den Server zu kommen.
    Zum Glück ohne Erfolg!
    Ihr könnt Euch ja mal EIN Beispiel EINES EINZELNEN HACKERS! anschauen. Die versuchen es jeden Tag!

    http://olbnet.dyndns.org/log.alevrius.txt

    Nun habe ich ja schön eingestellt, dass die IP Adressen mitgeloggt werden. Kann die Jungs auch an-Pingen, aber ich würde denen gerne mal eine eMail zukommen lassen mit Ihrem Logfile und der Bitte mal etwas kürzer zu treten ;)
    Kann ich denn an eine IP irgendwie eine Mail senden wenn die Ihr Outlook aufhaben? bekomme selber manschmal Spams wo ich selbst als Absender drin stehe?!

    Oder habt Ihr noch irgendwelche schönen Ideen um mich mal zu verteidigen, bzw. die mal zu kontaktieren?


    tobio
     
  2. petervogel

    petervogel Active Member

    ich glaube sowas solltest du eher in einem linux forum posten.
     
  3. Multiuser

    Multiuser New Member

    Wir bieten auch Server-Housing und -hosting usw.. Das ist in der Tat so, wie Du beschreibst. Im letzten Jahr wurde das dermaßen viel mit den ganzen Versuchen, daß man sich manchmal echt fragen muß, was das soll. Mach Dir keine Illusionen. Diejenigen, die versuchen Server anzugreifen, benutzen meist alle Taktiken, damit Du die nicht findest. Wenn die IP-Adressen echt sind, kannste ja leicht ausfindig machen, wer dahinter steckt. Wahrscheinlich sind die aber gefakt (Jap) Info: http://anon.inf.tu-dresden.de/

    Besonders schlimm ist, daß mitlerweile eine potentielle und sehr gefährliche Qualität hinter vielen Angriffen steckt. Das soll heißen, daß es schon so weit ist, daß Du gar nicht mehr sehen kannst, wer den Server benutzt. Ich meine, Deinen Server vollwertig benutzen, diverse Angriffe auf Server großer Firmen auszuführen und man kann es an gar nichts erkennen. Vielleicht ahnen. Hier kann nur helfen, wöchentlich die Sicherheitsupdates des Sys-herstellers (SuSe etc.) zu checken und die Server möglichst aktuell halten. Das ist dann auch immer der Moment, wo einem nach einiger Zeit klar wird, daß man eigentlich ein Apple-Server haben sollte und wie aufwändig es eigentlich ist, einen Linux-Server zu unterhalten. Bei Heisse gibts gute Informationen darüber, was Hacker heute können und machen und über Deine Möglichkeiten, Dich zu schützen mit guten Links.

    Multi
     
  4. vf47

    vf47 New Member

    Du kannst zumindest die IP-Adresse auflösen. Im Terminal
    nslookup eingeben, dann
    set q=any <ENTER>
    220.109.180.12 <ENTER> (Hier eine IP-Adresse eingeben)
    Server: 192.168.1.1
    Address: 192.168.1.1#53

    Non-authoritative answer:
    12.180.109.220.in-addr.arpa name = s180012.ap.plala.or.jp.

    Authoritative answers can be found from:
    180.109.220.in-addr.arpa nameserver = ns-tk061.ocn.ad.jp.
    180.109.220.in-addr.arpa nameserver = dns1.plala.or.jp.
    180.109.220.in-addr.arpa nameserver = dns2.plala.or.jp.
    dns1.plala.or.jp internet address = 210.153.0.129
    dns2.plala.or.jp internet address = 210.153.0.130


    In diesem Beispiel habe ich eine Adresse aus deinem Log eingegeben.

    Das Problem ist, dass die IP-Adresse oder die Domain wenig nützt. Deren Emailprogramm holt wahrscheinlich die Mails per Pop3 oder Imap von irgendeinem Mailer. Wenn diese Leute selber einen smtp-Dienst betreiben würden (was sie wahrscheinlich nicht tun), könntest Du eine Email an den Postmaster schicken.

    Ich habe solche Angriffe auch konstant auf meinem Server. Teilweise sind das gar keine Angriffe, sondern das Ergebnis von falsch konfigurierten Dosen, die den Windows Namensauflösungsdienst benutzen, um IP-Adressen im Internet aufzulösen, was natürlich nicht geht.

    Die meisten Angriffe gehen bei mir auf Port 138, also Netbios. Das ist wirklich lästig, aber leider nicht zu verhindern. Ausser man verbieten den Benutzern von Windows generell den Zugang zum Internet. :D

    Das wäre natürlich die Lösung eines jeden Problems, aber vermutlich schwer durchsetzbar.

    Grüße.
     
  5. Napfekarl

    Napfekarl Napfkuchen-Erfinder

    Mir stellt sich die Frage, warum nicht auch ein Apple-OS-X-Server von anderen genutzt werden kann, ohne dass man es merkt? Was macht Dich da so sicher?

    Ciao
    Napfekarl
     
  6. lemming

    lemming New Member

    Also nach dem Log das ich oben gesehen habe, würde ich darauf schliessen das es einfach ein Wurm ist der abundzu mal bei dir anklopft und eine smb anfrage startet. Die Grasen die ganze Zeit das Internet nach offenen Windows Freigaben ab, oder nach ungepatchten Windows 2000/XP Rechnern.

    Da solltest du dir keine Gedanken machen. Da draussen gibt es für die Hacker soviele ungeschützte Rechner, da lassen die einen privaten minimal geschützeten rechner links liegen. Da gibts dickere Fische.

    Aber du hast Recht. Da draussen herscht krieg. Wenn ich mal ne Dose installier, hau ich erstmal zig Patches und eine PersonalFirewall drauf. Sonst hat man in der ersten Minute im Netz einen Wurm drauf.

    Wer mal so eine PF oder eine echte Firewall beobachtet, der sieht das es im Abstand von wenigen Sekunden zu einem unbekannten zugriff kommt. und seis nur um zu wissen ob da nen SMB oder Proxy Port offen ist.

    lemming
     
  7. tobio

    tobio New Member

    nun keine Ahnung ob es ein Wurm ist, aber auffällig ist halt wie bei dem Fall mit dem Rechnernamen "alevrius", das die fast jeden Tag erneut versuchen. Denke es sind vieleicht auch unerfahrene PC User die versuchen mit vorgefertigten Programmen Rechner zu scannen und denken schon sind sie ein Hacker. Hatte bei meinen Logfiles bisher nur einen "Profi" der seine IP verdeckt hatte.
    Schade würde diesen möchtegern Hackern gerne mal einen schrecken versetzen so wie:

    "Ihre Einbruchversuche wurden geloggt und werden beim nächsten mal dem Anwalt übergeben"

    oder so was ;)


    tobio

    P.S.
    Ein Server mit OSX ist zwar schön und schnell, aber bestimmt nicht sicherer als ein Linuxserver. Und leider konnte ich als Student nur 500 Euro investieren.
    Da gibt es bei Apple ja gerade mal das Netzteil von einem X-Server für ;)
     
  8. vf47

    vf47 New Member

    Geht mir genauso, mir wird auch regelmäßig übel, wenn ich die Logs in meinem Linuxrouter u. Firewall anschaue. Aber zum Teil sind die Angreifer mit ihren Dosen selber Opfer. Ich ignoriere diese Angriffe mittlerweile, auch wenn es ärgerlich ist.
     

Diese Seite empfehlen