On Sat, Jun 16, 2001 at 16:19 +0000, Erich Nachtmann wrote:
Hi!
Hier eine annonymisierte Mail aus einer LUG.
CU Erich
---------- Weitergeleitete Nachricht ----------
Hallo Leute,
Wenn ich meiner Firewall glauben darf (tu ich), dann scheint das TDSL- Netz der Telekom die absolute Speilwiese für Hacker zu sein. Seitdem der Linux-Route im Netz hängt habe ich immer volle Firewall Logs. Ein Ausdruck würde jeden Tag mehrere Seiten Papier füllen.
Seit Tagen habe ich aber im 10-Sekunden-Takt Scans von verschiedenen Quellports auf den TCP-Port 6346, und zwar stundenlang von einem Angreifer. Danach ist Ruhe und kurze Zeit später geht es von einem anderen weiter.
Ein Beispiel :
Eigene IP : 217.80.29.15
Jun 16 00:12:04 et kernel: Packet log: inWEB DENY ppp0 PROTO=6 208.227.166.222:3623 217.80.29.15:6346 L=48 S=0x00 I=29219 F=0x4000 T=50 SYN (#52) Jun 16 00:12:07 et kernel: Packet log: inWEB DENY ppp0 PROTO=6 208.227.166.222:3623 217.80.29.15:6346 L=48 S=0x00 I=29221 F=0x4000 T=50 SYN (#52) Jun 16 00:12:13 et kernel: Packet log: inWEB DENY ppp0 PROTO=6 208.227.166.222:3623 217.80.29.15:6346 L=48 S=0x00 I=29222 F=0x4000 T=50 SYN (#52)
nslookup 208.227.166.222 ergibt 208.227.166.222.quickclick.ctc.net
Was macht man dagegen.
Kann man Gegenmaßnahmen einleiten, die den Angreifer so beschäftigen, daß er aufhört ?? Rechtlich wirds wohl sehr schwierig.
Jemand ne Idee ??
1. Du bist hier etwas OT, versuch es in suse-security. 2. Man sollte sich bei dem ISP beschweren, von dessen Adressbereich der (vermutliche) Angriff ausgeht. Manchmal hilft es. 3. Auf jeden Fall sollte man keine "Gegenschläge" führen- man könnte sich selbst strafbar machen... Grüße Volker