Hi! ich versuche gerade mein tcodump file zu verstehen, da ein angriff auf mein system gestartet wurde. zeigen die folgenden zeilen den zugriff des angreifers auf mein system? bitte auch um eine kleine erklärung. (IP mit stern ist meine, die andere vom angreifer) 20:02:44.724810 IP 192.168.2.66.52713 > 192.168.*.*.telnet: S 216926679:216926 20:02:44.725184 IP 192.168.*.*.telnet > 192.168.2.66.52713: S 3571314954:35713 20:02:44.725297 IP 192.168.2.66.52713 > 192.168.*.*.telnet: R 216926680:216926 danke für die hilfe clemens --------------------------------- Gesendet von Yahoo! Mail - Jetzt mit 250MB kostenlosem Speicher
Hallo, Am Montag, 6. Dezember 2004 10:12 schrieb cle go:
Hi! ich versuche gerade mein tcodump file zu verstehen, da ein angriff auf mein system gestartet wurde. zeigen die folgenden zeilen den zugriff des angreifers auf mein system? bitte auch um eine kleine erklärung. (IP mit stern ist meine, die andere vom angreifer)
20:02:44.724810 IP 192.168.2.66.52713 > 192.168.*.*.telnet: S 216926679:216926
192.168.2.66 ist eine IP die im Internet nicht geroutet wird! Du hast im lokalen Netz also einen Rechner mit dieser IP runstehen. Von dort gehen Verbindungsversuche aus. Das kann ein versuchter Angriff (aus dem likalen Netz auf andere Rechner im selben Netz) sein. Kann aber auch sein, das da ein Programm versucht zu kontrollieren, ob bestimmte Dienste im lokalen Netz verfügbar sind. 'Überwachung'??? Versuch mal den Rechner mit 192.168.2.66 zu identifizieren und lass hören was für eine Kiste das ist...
20:02:44.725184 IP 192.168.*.*.telnet > 192.168.2.66.52713: S 3571314954:35713
20:02:44.725297 IP 192.168.2.66.52713 > 192.168.*.*.telnet: R 216926680:216926
danke für die hilfe
clemens
--------------------------------- Gesendet von Yahoo! Mail - Jetzt mit 250MB kostenlosem Speicher
viel Glück -- MfG Rolf Masfelder EMail: rolf.masfelder@nector.de
Rolf Masfelder
Hallo,
Am Montag, 6. Dezember 2004 10:12 schrieb cle go:
Hi! ich versuche gerade mein tcodump file zu verstehen, da ein angriff auf mein system gestartet wurde. zeigen die folgenden zeilen den zugriff des angreifers auf mein system? bitte auch um eine kleine erklärung. (IP mit stern ist meine, die andere vom angreifer)
20:02:44.724810 IP 192.168.2.66.52713 > 192.168.*.*.telnet: S 216926679:216926
192.168.2.66 ist eine IP die im Internet nicht geroutet wird! Du hast im lokalen Netz also einen Rechner mit dieser IP runstehen. Von dort gehen Verbindungsversuche aus. Das kann ein versuchter Angriff (aus dem likalen Netz auf andere Rechner im selben Netz) sein. Kann aber auch sein, das da ein Programm versucht zu kontrollieren, ob bestimmte Dienste im lokalen Netz verfügbar sind. 'Überwachung'???
Ein geschickter Angreifer ist durchaus in der Lage, seine Adresse zu fälschen, daher kann der Angriff durchaus aus dem Internet gekommen sein. Ich glaube aber, das das nur ein Weihnachtsbaum war und kein ernsthafter Versuch. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Dieter Kluenter schrieb:
Rolf Masfelder
writes: Hallo,
Am Montag, 6. Dezember 2004 10:12 schrieb cle go:
Hi! ich versuche gerade mein tcodump file zu verstehen, da ein angriff auf mein system gestartet wurde. zeigen die folgenden zeilen den zugriff des angreifers auf mein system? bitte auch um eine kleine erklärung. (IP mit stern ist meine, die andere vom angreifer)
20:02:44.724810 IP 192.168.2.66.52713 > 192.168.*.*.telnet: S 216926679:216926
192.168.2.66 ist eine IP die im Internet nicht geroutet wird! Du hast im lokalen Netz also einen Rechner mit dieser IP runstehen. Von dort gehen Verbindungsversuche aus. Das kann ein versuchter Angriff (aus dem likalen Netz auf andere Rechner im selben Netz) sein. Kann aber auch sein, das da ein Programm versucht zu kontrollieren, ob bestimmte Dienste im lokalen Netz verfügbar sind. 'Überwachung'???
Ein geschickter Angreifer ist durchaus in der Lage, seine Adresse zu fälschen, daher kann der Angriff durchaus aus dem Internet gekommen sein. Ich glaube aber, das das nur ein Weihnachtsbaum war und kein ernsthafter Versuch.
-Dieter
Ich würde auch eher denken, daß das ein Windoof im lokalen Netz ist... aber vor allem würde ich den TELNET endlich mal ABSCHALTEN, am besten deinstallieren, den braucht man doch nur in den verrücktesten Fällen und dann würde ich einen sehr "unwichtigen" Rechner für ihn nehmen... -- Joerg Thuemmler listen@vordruckleitverlag.de
Dieter Kluenter schrieb:
Rolf Masfelder
writes: Am Montag, 6. Dezember 2004 10:12 schrieb cle go:
Hi! ich versuche gerade mein tcodump file zu verstehen, da ein angriff auf mein system gestartet wurde. zeigen die folgenden zeilen den zugriff des angreifers auf mein system? bitte auch um eine kleine erklärung. (IP mit stern ist meine, die andere vom angreifer)
20:02:44.724810 IP 192.168.2.66.52713 > 192.168.*.*.telnet: S 216926679:216926
192.168.2.66 ist eine IP die im Internet nicht geroutet wird! Du hast im lokalen Netz also einen Rechner mit dieser IP runstehen. Von dort gehen Verbindungsversuche aus. Das kann ein versuchter Angriff (aus dem likalen Netz auf andere Rechner im selben Netz) sein. Kann aber auch sein, das da ein Programm versucht zu kontrollieren, ob bestimmte Dienste im lokalen Netz verfügbar sind. 'Überwachung'???
Ein geschickter Angreifer ist durchaus in der Lage, seine Adresse zu fälschen, daher kann der Angriff durchaus aus dem Internet gekommen sein. Ich glaube aber, das das nur ein Weihnachtsbaum war und kein ernsthafter Versuch. Ack. In diesem Fall würde es keine Sinn machen die IP zu fälschen, denn offensichtlich liegen Vebindungsversuche auf diversen Ports vor (Siehe auch die Logauszüge in seiner anderen Mail). Sinn macht ein Fälschen der IP nur, wenn der Anfrager keine Antwort erhalten will z.B. bei eine TCP-Syn Angriff, der hier offensichtlich nicht vorliegt.
Deshalb weiterhin Keine Panik auf der Titanic Thomas
cle go schrieb:
Hi! ich versuche gerade mein tcodump file zu verstehen, da ein angriff auf mein system gestartet wurde. zeigen die folgenden zeilen den zugriff des angreifers auf mein system? bitte auch um eine kleine erklärung. (IP mit stern ist meine, die andere vom angreifer)
20:02:44.724810 IP 192.168.2.66.52713 > 192.168.*.*.telnet: S 216926679:216926
20:02:44.725184 IP 192.168.*.*.telnet > 192.168.2.66.52713: S 3571314954:35713
20:02:44.725297 IP 192.168.2.66.52713 > 192.168.*.*.telnet: R 216926680:216926
Uhrzeit, Sender-IP, Sender-Port, Richtung des Datenflusses, Empfänger-IP, Empfänger-Port, TCP-Flag, Sequenznummern. Es wurde versucht eine Verbindung zu Deinem Telnet-Port aufzubauen. Offensichtlich hast du eine Telnetserver laufen, da Deine Maschine mit gesetzen S-Flagga antwortet, dann wird die Verbindung von der Remotemaschine beendet. Sieht nach Portscan aus. Übrigens Portscan != Angriff. Das ist höchstens bei Planetopia so... Mein Rat: mach Deinen Telnetserver aus, schließe auch alle anderen nicht benötigten Ports, wenn Du Dich in eine Netz befindetst, dem Du nicht traust. Keine Panik auf der Titanic Thomas
participants (6)
-
cle go
-
Dieter Kluenter
-
Joerg Thuemmler
-
Michael Schachtebeck
-
Rolf Masfelder
-
Thomas Stark