Dieter Riepenhausen wrote:
Hallo,
Ich hatte am Sonntag früh offensichtlich einen Einbruchversuch über ftp.
Auszug aus /var/log/ftp/proftpd.paranoid_log :
pD4B9E440.dip.t-dialin.net UNKNOWN nobody [17/Dec/2000:04:30:05 +0100] "USER cyber" 331 - pD4B9E440.dip.t-dialin.net UNKNOWN nobody [17/Dec/2000:04:30:06 +0100] "PASS (hidden)" 530 -
und aus /var/log/messages :
Dec 17 04:30:04 gate1 in.proftpd[26400]: connect from 212.185.228.64 (212.185.228.64) Dec 17 04:30:06 gate1 proftpd[26400]: gate1.pentamaz.de (pD4B9E440.dip.t-dialin.net[212.185.228.64]) - USER cyber (Login failed): Can't find user. Dec 17 04:30:11 gate1 proftpd[26400]: gate1.pentamaz.de (pD4B9E440.dip.t-dialin.net[212.185.228.64]) - FTP session closed.
Das geht dann im Sekundentakt so weiter bis ~9.00 Uhr.
Nachdem was ich feststellen konnte hat er es nur über ftp versucht, also nicht mal nen Portscan gemacht.
Was mich etwas stutzig macht, ist, daß er es über 4.5 Std immer mit demselben USER versucht, der bei mir natürlich nicht existiert, und das er es nur über ftp probiert hat.
Möglich ist, das er ein ftp Programm darauf angesetzt hat eine Verbindung zu dieser IP aufzubauen und es bei Misserfolg nochmal zu versuchen. Das kann was bringen wenn der ftp server ausgelastet ist, dh keine user annimmt und man unbedingt den Zeitpunkt an dem sich einer ausloggt appassen will.
War das ein kompletter Volltrottel oder hab ich da was übersehen ?
Vermutlich. Deine IP wird wohl dynamisch vergeben (X-Sender: 320071736150-0001@t-dialin.net). Wenn Mister cyber daher irgendwann mal eine ftp Verbindung zu dieser IP aufbauen konnte und jetzt nicht mehr liegt es wohl daran das an dieser IP ein anderer Rechner (nämlich Deiner) hängt. Wenn er das Konzept von Dynamischen IPs nicht begreift und Rechner verwechselt ist er selbst daran schuld. Aber auch dafür hat man ein Login, und in deinem Fall hat das bereits ausgereicht.
Ist das schon ein Einbruchsversuch im juristischen Sinne ?
Nein, mit Sicherheit nicht.
Wie kann ich feststellen ob, und falls ja welche, Daten verändert wurden. Ich gehe zwar nicht davon aus daß er es geschafft hat ins System einzubrechen, aber ...
Sehr unwahrscheinlich
Oder hat er einfach nur versucht meinen Rechner flachzulegen ?
o. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com