Hallo, Ich hatte am Sonntag früh offensichtlich einen Einbruchversuch über ftp. Auszug aus /var/log/ftp/proftpd.paranoid_log : pD4B9E440.dip.t-dialin.net UNKNOWN nobody [17/Dec/2000:04:30:05 +0100] "USER cyber" 331 - pD4B9E440.dip.t-dialin.net UNKNOWN nobody [17/Dec/2000:04:30:06 +0100] "PASS (hidden)" 530 - und aus /var/log/messages : Dec 17 04:30:04 gate1 in.proftpd[26400]: connect from 212.185.228.64 (212.185.228.64) Dec 17 04:30:06 gate1 proftpd[26400]: gate1.pentamaz.de (pD4B9E440.dip.t-dialin.net[212.185.228.64]) - USER cyber (Login failed): Can't find user. Dec 17 04:30:11 gate1 proftpd[26400]: gate1.pentamaz.de (pD4B9E440.dip.t-dialin.net[212.185.228.64]) - FTP session closed. Das geht dann im Sekundentakt so weiter bis ~9.00 Uhr. Nachdem was ich feststellen konnte hat er es nur über ftp versucht, also nicht mal nen Portscan gemacht. Was mich etwas stutzig macht, ist, daß er es über 4.5 Std immer mit demselben USER versucht, der bei mir natürlich nicht existiert, und das er es nur über ftp probiert hat. War das ein kompletter Volltrottel oder hab ich da was übersehen ? Ist das schon ein Einbruchsversuch im juristischen Sinne ? Wie kann ich feststellen ob, und falls ja welche, Daten verändert wurden. Ich gehe zwar nicht davon aus daß er es geschafft hat ins System einzubrechen, aber ... Oder hat er einfach nur versucht meinen Rechner flachzulegen ? Gruß, Dieter Achja : ProFTPD Version 1.2.0pre9 -- Versuchen ist der erste Schritt zum Versagen. -Homer J. Simpson- --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Dieter Riepenhausen wrote:
Hallo,
Ich hatte am Sonntag früh offensichtlich einen Einbruchversuch über ftp.
Auszug aus /var/log/ftp/proftpd.paranoid_log :
pD4B9E440.dip.t-dialin.net UNKNOWN nobody [17/Dec/2000:04:30:05 +0100] "USER cyber" 331 - pD4B9E440.dip.t-dialin.net UNKNOWN nobody [17/Dec/2000:04:30:06 +0100] "PASS (hidden)" 530 -
und aus /var/log/messages :
Dec 17 04:30:04 gate1 in.proftpd[26400]: connect from 212.185.228.64 (212.185.228.64) Dec 17 04:30:06 gate1 proftpd[26400]: gate1.pentamaz.de (pD4B9E440.dip.t-dialin.net[212.185.228.64]) - USER cyber (Login failed): Can't find user. Dec 17 04:30:11 gate1 proftpd[26400]: gate1.pentamaz.de (pD4B9E440.dip.t-dialin.net[212.185.228.64]) - FTP session closed.
Das geht dann im Sekundentakt so weiter bis ~9.00 Uhr.
Nachdem was ich feststellen konnte hat er es nur über ftp versucht, also nicht mal nen Portscan gemacht.
Was mich etwas stutzig macht, ist, daß er es über 4.5 Std immer mit demselben USER versucht, der bei mir natürlich nicht existiert, und das er es nur über ftp probiert hat.
Möglich ist, das er ein ftp Programm darauf angesetzt hat eine Verbindung zu dieser IP aufzubauen und es bei Misserfolg nochmal zu versuchen. Das kann was bringen wenn der ftp server ausgelastet ist, dh keine user annimmt und man unbedingt den Zeitpunkt an dem sich einer ausloggt appassen will.
War das ein kompletter Volltrottel oder hab ich da was übersehen ?
Vermutlich. Deine IP wird wohl dynamisch vergeben (X-Sender: 320071736150-0001@t-dialin.net). Wenn Mister cyber daher irgendwann mal eine ftp Verbindung zu dieser IP aufbauen konnte und jetzt nicht mehr liegt es wohl daran das an dieser IP ein anderer Rechner (nämlich Deiner) hängt. Wenn er das Konzept von Dynamischen IPs nicht begreift und Rechner verwechselt ist er selbst daran schuld. Aber auch dafür hat man ein Login, und in deinem Fall hat das bereits ausgereicht.
Ist das schon ein Einbruchsversuch im juristischen Sinne ?
Nein, mit Sicherheit nicht.
Wie kann ich feststellen ob, und falls ja welche, Daten verändert wurden. Ich gehe zwar nicht davon aus daß er es geschafft hat ins System einzubrechen, aber ...
Sehr unwahrscheinlich
Oder hat er einfach nur versucht meinen Rechner flachzulegen ?
o. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Moin Ihr !!
Hallo,
Ich hatte am Sonntag früh offensichtlich einen Einbruchversuch über ftp.
Auszug aus /var/log/ftp/proftpd.paranoid_log :
pD4B9E440.dip.t-dialin.net UNKNOWN nobody [17/Dec/2000:04:30:05 +0100] "USER cyber" 331 - pD4B9E440.dip.t-dialin.net UNKNOWN nobody [17/Dec/2000:04:30:06 +0100] "PASS (hidden)" 530 -
und aus /var/log/messages :
Dec 17 04:30:04 gate1 in.proftpd[26400]: connect from 212.185.228.64 (212.185.228.64) Dec 17 04:30:06 gate1 proftpd[26400]: gate1.pentamaz.de (pD4B9E440.dip.t-dialin.net[212.185.228.64]) - USER cyber (Login failed): Can't find user. Dec 17 04:30:11 gate1 proftpd[26400]: gate1.pentamaz.de (pD4B9E440.dip.t-dialin.net[212.185.228.64]) - FTP session closed.
Das geht dann im Sekundentakt so weiter bis ~9.00 Uhr.
Nachdem was ich feststellen konnte hat er es nur über ftp versucht, also nicht mal nen Portscan gemacht.
Was mich etwas stutzig macht, ist, daß er es über 4.5 Std immer mit demselben USER versucht, der bei mir natürlich nicht existiert, und das er es nur über ftp probiert hat.
Möglich ist, das er ein ftp Programm darauf angesetzt hat eine Verbindung zu dieser IP aufzubauen und es bei Misserfolg nochmal zu versuchen. Das kann was bringen wenn der ftp server ausgelastet ist, dh keine user annimmt und man unbedingt den Zeitpunkt an dem sich einer ausloggt appassen will.
Ganz genau !!
War das ein kompletter Volltrottel oder hab ich da was übersehen?
Vermutlich. Deine IP wird wohl dynamisch vergeben (X-Sender: 320071736150-0001@t-dialin.net). Wenn Mister cyber daher irgendwann mal eine ftp Verbindung zu dieser IP aufbauen konnte und jetzt nicht mehr liegt es wohl daran das an dieser IP ein anderer Rechner (nämlich Deiner) hängt. Wenn er das Konzept von Dynamischen IPs nicht begreift und Rechner verwechselt ist er selbst daran schuld. Aber auch dafür hat man ein Login, und in deinem Fall hat das bereits ausgereicht.
Nun, ob Volltrottel oder nicht, lassen wir mal im Raum stehen. Muß ja nicht mal seine/ihre Schuld gewesen sein, daß die IP-Adresse nicht mehr zum erwarteten Ziel geführt hat (siehe unten).
Ist das schon ein Einbruchsversuch im juristischen Sinne ?
Nein, mit Sicherheit nicht.
Es ist ganz sicher KEIN Einbruchsversuch !! Und selbst wenn, WIE willst Du das beweisen und WER würde DIR glauben ??? Denn sonst wäre so ziehmlich jede(r), der/die im Netz herumirrt ein(e) Kriminelle(r). Oder hast Du noch nie ein P/W vergessen, den Login verbaselt o.ä.und es trotzdem relativ lange versucht, Dich auf der Kiste, dem Mailaccount o.a. einzuloggen ;-) Abgesehen davon hat Dieter nicht ganz unrecht, wenn er darauf hinweist, daß ftp-Proggies u.U. auf automatischem Wege versuchen, sich auf Kisten einzuloggen. Wenn Du nicht gerade streng geheime Unterlagen auf Deiner Kiste hast, gibt es doch wohl auch eh keinen Grund sich Sorgen zu machen. Und an Deine Kennwörter kommt man wahrlich auch auf eleganterem und sichererem Weg. ;-)
Wie kann ich feststellen ob, und falls ja welche, Daten verändert wurden. Ich gehe zwar nicht davon aus daß er es geschafft hat ins System einzubrechen, aber ...
Sehr unwahrscheinlich
Falls vorher eingerichtet, kann man sich das auf den logs ansehen. Ferner können Prüfsummen von Dateien/Verzeichnissen angelegt werden. Allerdings hätte dies natürlich VOR einem "Einbruch" passieren müssen.
Oder hat er einfach nur versucht meinen Rechner flachzulegen ?
Den Rechner mit permanentem ftp flachlegen ??!?!? Wohl kaum. Oder fällt das schon unter DoS ???? *ggg* Und wenn er/sie/es dies doch vor hatte, kann ich nur eins sagen: WEITERÜBEN !! ;-) In diesem Sinne.... CU Claudia -- PsyD0x!! --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Claudia Arnold schrieb:
Moin Ihr !!
Was mich etwas stutzig macht, ist, daß er es über 4.5 Std immer mit demselben USER versucht, der bei mir natürlich nicht existiert, und das er es nur über ftp probiert hat.
Möglich ist, das er ein ftp Programm darauf angesetzt hat eine Verbindung zu dieser IP aufzubauen und es bei Misserfolg nochmal zu versuchen. Das kann was bringen wenn der ftp server ausgelastet ist, dh keine user annimmt und man unbedingt den Zeitpunkt an dem sich einer ausloggt appassen will.
OK, klingt logisch, hab ich nicht bedacht. Ich fand es halt nur seltsam daß er es so lange versucht hat.
Ist das schon ein Einbruchsversuch im juristischen Sinne ?
Nein, mit Sicherheit nicht.
Die Frage war auch mehr theoretischer Natur,
Es ist ganz sicher KEIN Einbruchsversuch !! Und selbst wenn, WIE willst Du das beweisen und WER würde DIR glauben ??? Denn sonst wäre so ziehmlich jede(r), der/die im Netz herumirrt ein(e) Kriminelle(r). Oder hast Du noch nie ein P/W vergessen, den Login verbaselt o.ä.und es trotzdem relativ lange versucht, Dich auf der Kiste, dem Mailaccount o.a. einzuloggen ;-)
Doch, aber nicht so lange.
Wenn Du nicht gerade streng geheime Unterlagen auf Deiner Kiste hast, gibt es doch wohl auch eh keinen Grund sich Sorgen zu machen.
Bitte ? Schon mal was von Privatsphäre gehört ?
Und an Deine Kennwörter kommt man wahrlich auch auf eleganterem und sichererem Weg. ;-)
Ist mir schon klar
CU Claudia
Dieter -- Versuchen ist der erste Schritt zum Versagen. -Homer J. Simpson- --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
einen ähnlichen "Einbruchversuch" hatte ich auch schon mal auf einer Maschine mit dynamischer IP. Was das genau soll: keine Ahnung. Ich habe damals den Besitzer des Servers kontaktiert, der mir erzählte, sein Server sei gehackt worden. An solchen Wadenbeißern würde ich mich nicht stören. Andreas --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Dieter Riepenhausen schrieb in 1,8K (60 Zeilen):
Claudia Arnold schrieb:
Wenn Du nicht gerade streng geheime Unterlagen auf Deiner Kiste hast, gibt es doch wohl auch eh keinen Grund sich Sorgen zu machen.
Bitte ? Schon mal was von Privatsphäre gehört ?
Dann solltest du die Privatsphaere durch das Beenden eines Daemons, den du sicher *nicht* benutzt (naemlich deinen proftpd), schuetzen. -Wolfgang --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (5)
-
AClaudia@gmx.net
-
andreas@linux-society.de
-
D.Riepenhausen@pentatv.de
-
weissel@netcologne.de
-
werth@gelnhausen.net