cle go
HI! hab den verdacht, dass ein angreifer in mein system eingedrungen ist. ich würde gerne wissen was dieser vor der attacke gemacht hat und wie er eingedrungen ist bzw. welche Schwachpunkte mein system weiters aufweist.
Gehören die beiden Adressen 192.168.2.66 und 192.168.2.17 zu deinem lokalen Netzwerk?
20:02:44.601892 IP 192.168.2.66 > 192.168.2.17: icmp 8: echo request seq 22009
Das ist ein ping
20:02:44.602138 IP 192.168.2.17 > 192.168.2.66: icmp 8: echo reply seq 22009
das ist die Antwort auf den ping
20:02:44.602772 IP 192.168.2.66.52737 > 192.168.2.17.www: . ack 1153324382 win
Da ist versucht worden, den Apache zu befragen. Die relevanten Stellen solltest du in /var/log/apache/access.log finden.
20:02:44.603116 IP 192.168.2.17.www > 192.168.2.66.52737: R 1153324382:11533243
Das ist ein Reject von deinem Apache
20:02:44.721709 IP 192.168.2.66.52713 > 192.168.2.17.ldaps: S 216926679:2169266
Das ist der Versuch, auf deinen LDAP-Server zuzugreifen
20:02:44.722223 IP 192.168.2.17.ldaps > 192.168.2.66.52713: R 0:0(0) ack 216926
Das ist das Reject vom LDAP-Server
20:02:44.722582 IP 192.168.2.66.52713 > 192.168.2.17.smtp: S 216926679:21692667
Hier wird versucht, deinen Mailserver zu nutzen.
20:02:44.722779 IP 192.168.2.17.smtp > 192.168.2.66.52713: R 0:0(0) ack 2169266
Das ist das Reject des Mailservers
20:02:44.722929 IP 192.168.2.66.52713 > 192.168.2.17.ssh: S 216926679:216926679
Hier versucht sich einer mittels ssh einzuloggen.
20:02:44.723517 IP 192.168.2.17.ssh > 192.168.2.66.52713: R 0:0(0) ack 21692668
Das ist das Reject von ssh. In diesem Logauszug wird nicht beschrieben, wie der Angreifer in dein Netz gelangt ist. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53