Hi! Hier eine annonymisierte Mail aus einer LUG. CU Erich ---------- Weitergeleitete Nachricht ---------- Hallo Leute, Wenn ich meiner Firewall glauben darf (tu ich), dann scheint das TDSL- Netz der Telekom die absolute Speilwiese für Hacker zu sein. Seitdem der Linux-Route im Netz hängt habe ich immer volle Firewall Logs. Ein Ausdruck würde jeden Tag mehrere Seiten Papier füllen. Seit Tagen habe ich aber im 10-Sekunden-Takt Scans von verschiedenen Quellports auf den TCP-Port 6346, und zwar stundenlang von einem Angreifer. Danach ist Ruhe und kurze Zeit später geht es von einem anderen weiter. Ein Beispiel : Eigene IP : 217.80.29.15 Jun 16 00:12:04 et kernel: Packet log: inWEB DENY ppp0 PROTO=6 208.227.166.222:3623 217.80.29.15:6346 L=48 S=0x00 I=29219 F=0x4000 T=50 SYN (#52) Jun 16 00:12:07 et kernel: Packet log: inWEB DENY ppp0 PROTO=6 208.227.166.222:3623 217.80.29.15:6346 L=48 S=0x00 I=29221 F=0x4000 T=50 SYN (#52) Jun 16 00:12:13 et kernel: Packet log: inWEB DENY ppp0 PROTO=6 208.227.166.222:3623 217.80.29.15:6346 L=48 S=0x00 I=29222 F=0x4000 T=50 SYN (#52) nslookup 208.227.166.222 ergibt 208.227.166.222.quickclick.ctc.net Was macht man dagegen. Kann man Gegenmaßnahmen einleiten, die den Angreifer so beschäftigen, daß er aufhört ?? Rechtlich wirds wohl sehr schwierig. Jemand ne Idee ?? -------------------------------------------------------