Angriff

cle go

6 Dec 2004 6 Dec '04

09:12

Hi! ich versuche gerade mein tcodump file zu verstehen, da ein angriff auf mein system gestartet wurde. zeigen die folgenden zeilen den zugriff des angreifers auf mein system? bitte auch um eine kleine erklärung. (IP mit stern ist meine, die andere vom angreifer) 20:02:44.724810 IP 192.168.2.66.52713 > 192.168.*.*.telnet: S 216926679:216926 20:02:44.725184 IP 192.168.*.*.telnet > 192.168.2.66.52713: S 3571314954:35713 20:02:44.725297 IP 192.168.2.66.52713 > 192.168.*.*.telnet: R 216926680:216926 danke für die hilfe clemens --------------------------------- Gesendet von Yahoo! Mail - Jetzt mit 250MB kostenlosem Speicher

Show replies by date

Michael Schachtebeck

6 Dec 6 Dec

09:27

Am 12/06/2004 10:12 AM schrieb cle go:

...

ich versuche gerade mein tcodump file zu verstehen, da ein angriff auf mein system gestartet wurde.

Mal ehrlich, muß man dafür gleich 3 Threads aufmachen? MfG, Michael.

Rolf Masfelder

09:51

Hallo, Am Montag, 6. Dezember 2004 10:12 schrieb cle go:

...

Hi! ich versuche gerade mein tcodump file zu verstehen, da ein angriff auf mein system gestartet wurde. zeigen die folgenden zeilen den zugriff des angreifers auf mein system? bitte auch um eine kleine erklärung. (IP mit stern ist meine, die andere vom angreifer)

20:02:44.724810 IP 192.168.2.66.52713 > 192.168.*.*.telnet: S 216926679:216926

192.168.2.66 ist eine IP die im Internet nicht geroutet wird! Du hast im lokalen Netz also einen Rechner mit dieser IP runstehen. Von dort gehen Verbindungsversuche aus. Das kann ein versuchter Angriff (aus dem likalen Netz auf andere Rechner im selben Netz) sein. Kann aber auch sein, das da ein Programm versucht zu kontrollieren, ob bestimmte Dienste im lokalen Netz verfügbar sind. 'Überwachung'??? Versuch mal den Rechner mit 192.168.2.66 zu identifizieren und lass hören was für eine Kiste das ist...

...

20:02:44.725184 IP 192.168.*.*.telnet > 192.168.2.66.52713: S 3571314954:35713

20:02:44.725297 IP 192.168.2.66.52713 > 192.168.*.*.telnet: R 216926680:216926

danke für die hilfe

clemens

--------------------------------- Gesendet von Yahoo! Mail - Jetzt mit 250MB kostenlosem Speicher

viel Glück -- MfG Rolf Masfelder EMail: rolf.masfelder@nector.de

Dieter Kluenter

11:15

Rolf Masfelder writes:

...

Hallo,

Am Montag, 6. Dezember 2004 10:12 schrieb cle go:

...
Hi! ich versuche gerade mein tcodump file zu verstehen, da ein angriff auf mein system gestartet wurde. zeigen die folgenden zeilen den zugriff des angreifers auf mein system? bitte auch um eine kleine erklärung. (IP mit stern ist meine, die andere vom angreifer)

20:02:44.724810 IP 192.168.2.66.52713 > 192.168.*.*.telnet: S 216926679:216926

192.168.2.66 ist eine IP die im Internet nicht geroutet wird! Du hast im lokalen Netz also einen Rechner mit dieser IP runstehen. Von dort gehen Verbindungsversuche aus. Das kann ein versuchter Angriff (aus dem likalen Netz auf andere Rechner im selben Netz) sein. Kann aber auch sein, das da ein Programm versucht zu kontrollieren, ob bestimmte Dienste im lokalen Netz verfügbar sind. 'Überwachung'???

Ein geschickter Angreifer ist durchaus in der Lage, seine Adresse zu fälschen, daher kann der Angriff durchaus aus dem Internet gekommen sein. Ich glaube aber, das das nur ein Weihnachtsbaum war und kein ernsthafter Versuch. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53

Joerg Thuemmler

13:03

Dieter Kluenter schrieb:

...

Rolf Masfelder writes:

...
Hallo,

Am Montag, 6. Dezember 2004 10:12 schrieb cle go:

...
Hi! ich versuche gerade mein tcodump file zu verstehen, da ein angriff auf mein system gestartet wurde. zeigen die folgenden zeilen den zugriff des angreifers auf mein system? bitte auch um eine kleine erklärung. (IP mit stern ist meine, die andere vom angreifer)

20:02:44.724810 IP 192.168.2.66.52713 > 192.168.*.*.telnet: S 216926679:216926

192.168.2.66 ist eine IP die im Internet nicht geroutet wird! Du hast im lokalen Netz also einen Rechner mit dieser IP runstehen. Von dort gehen Verbindungsversuche aus. Das kann ein versuchter Angriff (aus dem likalen Netz auf andere Rechner im selben Netz) sein. Kann aber auch sein, das da ein Programm versucht zu kontrollieren, ob bestimmte Dienste im lokalen Netz verfügbar sind. 'Überwachung'???

Ein geschickter Angreifer ist durchaus in der Lage, seine Adresse zu fälschen, daher kann der Angriff durchaus aus dem Internet gekommen sein. Ich glaube aber, das das nur ein Weihnachtsbaum war und kein ernsthafter Versuch.

-Dieter

Ich würde auch eher denken, daß das ein Windoof im lokalen Netz ist... aber vor allem würde ich den TELNET endlich mal ABSCHALTEN, am besten deinstallieren, den braucht man doch nur in den verrücktesten Fällen und dann würde ich einen sehr "unwichtigen" Rechner für ihn nehmen... -- Joerg Thuemmler listen@vordruckleitverlag.de

Thomas Stark

8 Dec 8 Dec

21:04

Dieter Kluenter schrieb:

...

Rolf Masfelder writes:

...
Am Montag, 6. Dezember 2004 10:12 schrieb cle go:

...
Hi! ich versuche gerade mein tcodump file zu verstehen, da ein angriff auf mein system gestartet wurde. zeigen die folgenden zeilen den zugriff des angreifers auf mein system? bitte auch um eine kleine erklärung. (IP mit stern ist meine, die andere vom angreifer)

20:02:44.724810 IP 192.168.2.66.52713 > 192.168.*.*.telnet: S 216926679:216926

192.168.2.66 ist eine IP die im Internet nicht geroutet wird! Du hast im lokalen Netz also einen Rechner mit dieser IP runstehen. Von dort gehen Verbindungsversuche aus. Das kann ein versuchter Angriff (aus dem likalen Netz auf andere Rechner im selben Netz) sein. Kann aber auch sein, das da ein Programm versucht zu kontrollieren, ob bestimmte Dienste im lokalen Netz verfügbar sind. 'Überwachung'???

Ein geschickter Angreifer ist durchaus in der Lage, seine Adresse zu fälschen, daher kann der Angriff durchaus aus dem Internet gekommen sein. Ich glaube aber, das das nur ein Weihnachtsbaum war und kein ernsthafter Versuch. Ack. In diesem Fall würde es keine Sinn machen die IP zu fälschen, denn offensichtlich liegen Vebindungsversuche auf diversen Ports vor (Siehe auch die Logauszüge in seiner anderen Mail). Sinn macht ein Fälschen der IP nur, wenn der Anfrager keine Antwort erhalten will z.B. bei eine TCP-Syn Angriff, der hier offensichtlich nicht vorliegt.

Deshalb weiterhin Keine Panik auf der Titanic Thomas

Thomas Stark

21:14

cle go schrieb:

...

Hi! ich versuche gerade mein tcodump file zu verstehen, da ein angriff auf mein system gestartet wurde. zeigen die folgenden zeilen den zugriff des angreifers auf mein system? bitte auch um eine kleine erklärung. (IP mit stern ist meine, die andere vom angreifer)

20:02:44.724810 IP 192.168.2.66.52713 > 192.168.*.*.telnet: S 216926679:216926

20:02:44.725184 IP 192.168.*.*.telnet > 192.168.2.66.52713: S 3571314954:35713

20:02:44.725297 IP 192.168.2.66.52713 > 192.168.*.*.telnet: R 216926680:216926

Uhrzeit, Sender-IP, Sender-Port, Richtung des Datenflusses, Empfänger-IP, Empfänger-Port, TCP-Flag, Sequenznummern. Es wurde versucht eine Verbindung zu Deinem Telnet-Port aufzubauen. Offensichtlich hast du eine Telnetserver laufen, da Deine Maschine mit gesetzen S-Flagga antwortet, dann wird die Verbindung von der Remotemaschine beendet. Sieht nach Portscan aus. Übrigens Portscan != Angriff. Das ist höchstens bei Planetopia so... Mein Rat: mach Deinen Telnetserver aus, schließe auch alle anderen nicht benötigten Ports, wenn Du Dich in eine Netz befindetst, dem Du nicht traust. Keine Panik auf der Titanic Thomas

7090

Age (days ago)

7092

Last active (days ago)

List overview

Download

6 comments

6 participants

participants (6)

cle go
Dieter Kluenter
Joerg Thuemmler
Michael Schachtebeck
Rolf Masfelder
Thomas Stark

Angriff

cle go

Michael Schachtebeck

Rolf Masfelder

Dieter Kluenter

Joerg Thuemmler

Thomas Stark

Thomas Stark

tags

participants (6)