Carsten <Carsten(at)hashba.de> wrote:
> meine daily securitiy Message hat mir heute offenbart das ein T-Online Kunde let
> zte
> Nacht versucht hat mein ftp Server zu hacken.
> --- snip ---
> gateway.hashba.de login failures:
> Jun 18 02:10:43 gateway ftpd[10898]: FTP LOGIN FAILED FROM pD9EC648E.dip.t-diali
> n.net, anyone
> Jun 18 02:10:50 gateway ftpd[10899]: FTP LOGIN FAILED FROM pD9EC648E.dip.t-diali
> n.net, admin
> Jun 18 02:10:52 gateway ftpd[10901]: FTP LOGIN FAILED FROM pD9EC648E.dip.t-diali
> n.net, webmaster
> Jun 18 02:10:53 gateway ftpd[10903]: FTP LOGIN FAILED FROM pD9EC648E.dip.t-diali
> n.net, admin
> --- snap ---
> Die ganze Prozedur ist etwa 500 Zeilen lang, wenn nicht länger.
> Dieser Typ hat offenbar ein Tool benutzt da ich nicht glaube das er innerhalb 2
> Sekunden
> ständig neue Namen eingeben kann. Wie soll man mit solchen Leuten vorgehen?
> Anzeigen? Verwahnt T-Online den Nutzer wenn ich ihnen die Mail schicke?
Das muß nicht zwangsläufig ein Hacker gewesen sein. Das
kann auch irgendein Wurm oder sonstwas gewesen sein, ohne
daß der Besitzer des Rechners, von dem es ausging, etwas
davon wußte.
Du solltest das ganze ein bißchen entspannter sehen. Auf
meinem Router laufen tagtäglich solche Sachen auf. Einlog-
versuche per FTP, telnet und ssh, Portscans (insbesondere
auf P2P-Ports), Angriffsversuche auf Port 80 (à la »GET
./../command.exe«), RPC-Scans, Proxy-Scans, gefakte ICMP-
Pakete usw. usf.
Wenn mir jedesmal ein Haar ausfiele, hätte ich jetzt 'ne
Glatze. Am besten solche Sachen gar nicht mehr loggen
lassen. Und natürlich dafür sorgen, daß einem solche Dinge
nichts anhaben können -- wozu gibt es Paketfilter, TCP-
Wrapper, Jail und so weiter. Und sichere Paßwörter ver-
wenden, und möglichst auf unsichere Protokolle wie FTP
ganz verzichten, zumindest nach »draußen«.
Anzeige zu erstatten wäre Humbug, denn Du hast ja keinen
nachweisbaren Schaden erlitten. Man könnte zwar auch bei
lediglich versuchter Computersabotage Anzeige erstatten,
aber das wird sehr, sehr schwierig. Es muß dann zumindest
nachgewiesen werden, daß der Betroffene vorsätzlich gehan-
delt hat. Wenn Du mich fragst, ist das reine Verschwendung
von Zeit und Steuergeldern.
Eine Abuse-Mail an den Provider wäre da vermutlich schon
sinnvoller, aber selbst das halte ich schon für Zeitver-
schwendung -- wie gesagt, Du weißt nicht, ob solche Paß-
wort-Scans überhaupt von einem Menschen in böswilliger
Absicht initiiert wurden. Man kann sich auch schon da-
rüber streiten, ob ein Portscan bereits als Angriff zu
werten ist oder nicht. Es gibt Leute, die sind mit einem
nmap ziemlich schnell bei der Hand und denken sich nichts
böses dabei. (»Wollte doch nur mal gucken, ob's da einen
interessanten Webserver oder anonymous FTP gibt. Ist doch
nix schlimmes.«)
Also, ich denke, hier kann man eine Reihe von Redensarten
anwenden:
- Nicht mit Kanonen auf Spatzen schießen.
- Was Du nicht willst, was man Dir tu, das füg' auch
keinem andern zu.
- Wer im Glashaus sitzt, ... (ich erinner mich daran,
daß Du mal erwähntest, daß Du edonkey benutzt).
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. "Clear perl code is better than unclear awk code; but NOTHING comes close to unclear perl code" (taken from comp.lang.awk FAQ) To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Thu 19 Jun 2003 - 13:30:47 CEST