Hallo Liste! Wie kann ich denn erkennen, ob jemand meine Ports scannt? Als ich selber meine Ports scannte, fand ich in keiner Logdatei eine Zeile darüber. Gruss, Jürgen
Am Donnerstag, 14. Februar 2002 13:03 schrieb Jürgen Fahnenschreiber:
Hallo Liste!
Wie kann ich denn erkennen, ob jemand meine Ports scannt? Als ich selber meine Ports scannte, fand ich in keiner Logdatei eine Zeile darüber.
hi Jürgen, in aktuellem Linux-Magazin, steht sehr viel drüber, also wie man es erkennt und was man dagegen tut, und auch gegen Rootkits... echt empfehlenswert.. gruß, roman --
<> JESUS DID 4U <><
Hallo, at Thu, 14 Feb 2002 13:03:30 +0100 Jürgen Fahnenschreiber wrote:
Wie kann ich denn erkennen, ob jemand meine Ports scannt? Als ich selber meine Ports scannte, fand ich in keiner Logdatei eine Zeile darüber.
Das klappt nur, wenn das Logging Deiner Firewall auch aktiv ist. Gruß Michael -- Homepage temporarily out of order Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE http://counter.li.org GNU PGP-Key ID 22C51B8D0140F88B ++ Webdesign ++ PHP Development ++
At 13:15 14.02.2002 +0100, Michael Raab wrote:
Hallo,
at Thu, 14 Feb 2002 13:03:30 +0100 Jürgen Fahnenschreiber wrote:
Wie kann ich denn erkennen, ob jemand meine Ports scannt? Als ich selber meine Ports scannte, fand ich in keiner Logdatei eine Zeile darüber.
Das klappt nur, wenn das Logging Deiner Firewall auch aktiv ist.
Sooooo kannste das auch nicht sagen :). Ich denk mal der scanlogd loggt auch ohne ipchains/iptables und Konsorten :). ciao
Hallo, at Thu, 14 Feb 2002 13:14:04 +0100 Matthias Strack wrote:
At 13:15 14.02.2002 +0100, Michael Raab wrote:
Das klappt nur, wenn das Logging Deiner Firewall auch aktiv ist.
Sooooo kannste das auch nicht sagen :).
Doch, kann ich. ;-))
Ich denk mal der scanlogd loggt auch ohne ipchains/iptables und Konsorten :).
iptables hat bei mir nix geloggt. Ich musste dafür Regeln aufstellen. Gruß Michael -- Homepage temporarily out of order Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE http://counter.li.org GNU PGP-Key ID 22C51B8D0140F88B ++ Webdesign ++ PHP Development ++
Jürgen Fahnenschreiber wrote:
Hallo Liste!
Wie kann ich denn erkennen, ob jemand meine Ports scannt? Als ich selber meine Ports scannte, fand ich in keiner Logdatei eine Zeile darüber. Gruss,
scanlogd ist Dein Freund :-) CU Werner -- You know you've landed gear-up when it takes full power to taxi.
Hi, hat zwar nur am Rande mit der Frage zu tun, aber wozu willst Du daß? Du kannst demjenigen, der scannt nichts machen. Tom
Hi, On Thu, 14 Feb 2002, Thomas Michael Wanka wrote:
Hi,
hat zwar nur am Rande mit der Frage zu tun, aber wozu willst Du daß? Du kannst demjenigen, der scannt nichts machen.
Tom
nun ja...ich würde sagen, wenn man paranoia schiebt und von ungebetenen besuchern verschont bleiben will, dann ist es nicht das schlimmst, wenn man weiß wer einen so alles scannt. schau einfach mal hier: http://www.psionic.com/products/portsentry.html ist ne interessante sache und könnte dir weiterhelfen. bye Tom
Hi,
hat zwar nur am Rande mit der Frage zu tun, aber wozu willst Du daß? Du kannst demjenigen, der scannt nichts machen.
Hallo zusammen, hallo Tom, die Frage ist gerechtfertigt. Aber zu wissen, wer da scannt kann insofern nützlich sein, da es a) beruhigt und b) ein Portscan u.U. einen Angriff vorhersagt ... gehst du in ein Haus, wo du nicht weißt, wie du rein kommst!? Tschüss! Christian Weickhmann
Hi, On 14 Feb 2002 at 21:30, Christian Weickhmann wrote:
die Frage ist gerechtfertigt. Aber zu wissen, wer da scannt kann insofern nützlich sein, da es a) beruhigt und b) ein Portscan u.U. einen Angriff vorhersagt ... gehst du in ein Haus, wo du nicht weißt, wie du rein kommst!?
das ist sicher richtig, es kommt aber darauf an, was Du machst, ein Heimsystem ist etwas anderes als ein Server. Selbst auf einem kleinen Webserver hast Du täglich mindestens 50 Spammer die nache inem offenen Relay scannen, von irgendwelchen Scriptkiddies ganz zu schweigen. Aber auch auf einem Privatrechner hast Du sicher soviele Einträge in den Logs, daß alleine die Auswertung der IP Adressen eine gute Stunde pro Tag verbrauchte. Diese Zeit wird aber kaum jemand aufwänden. Wirklich interessant wäre ein Tool, daß eine Art "Nutzungsprofil" des Servers erstellt, und so über Veränderungen Auskunft gibt. Tom
On 14 Feb 2002 at 21:30, Christian Weickhmann wrote:
die Frage ist gerechtfertigt. Aber zu wissen, wer da scannt kann insofern nützlich sein, da es a) beruhigt und b) ein Portscan u.U. einen Angriff vorhersagt ... gehst du in ein Haus, wo du nicht weißt, wie du rein kommst!?
das ist sicher richtig, es kommt aber darauf an, was Du machst, ein Heimsystem ist etwas anderes als ein Server. Selbst auf einem kleinen Webserver hast Du täglich mindestens 50 Spammer die nache inem offenen Relay scannen, von irgendwelchen Scriptkiddies ganz zu schweigen. Aber auch auf einem Privatrechner hast Du sicher soviele Einträge in den Logs, daß alleine die Auswertung der IP Adressen eine gute Stunde pro Tag verbrauchte. Diese Zeit wird aber kaum jemand aufwänden.
Wirklich interessant wäre ein Tool, daß eine Art "Nutzungsprofil" des Servers erstellt, und so über Veränderungen Auskunft gibt. [...] Wie wärs mit LIDS, AWACS, AIDE, Tripwire... Da Sollte sich doch was
On Thursday, 14. February 2002 22:49, Thomas Michael Wanka wrote: [...] passendes finden lassen :-)) Ausserdem sind im Buch Linux Sicherheit, dPunkt Verlag einige interessante Ansätze wie loggin Hosts, guard Hosts ... Tschüss, Thomas -- Linux! Guerrilla UNIX Development Venimus, Vidimus, Dolavimus. (By mah@ka4ybr.com, Mark A. Horton KA4YBR)
Hallo, at Thu, 14 Feb 2002 22:49:47 +0100 Thomas Michael Wanka wrote:
On 14 Feb 2002 at 21:30, Christian Weickhmann wrote:
die Frage ist gerechtfertigt. Aber zu wissen, wer da scannt kann insofern nützlich sein, da es a) beruhigt
Einige Zugriffe auf meinen heimischen Server lasse ich schon gar nicht mehr loggen. Denn das sind die Standartzugriffe auf Morpheus & Co. Die loggen zulassen ist nicht gerade effektiv, da die Logs mit unötigen Krempel zugemüllt werden.
und b) ein Portscan u.U. einen Angriff vorhersagt ... gehst du in ein Haus, wo du nicht weißt, wie du rein kommst!?
das ist sicher richtig, es kommt aber darauf an, was Du machst, ein Heimsystem ist etwas anderes als ein Server.
Ich habe heir auch einen Server stehen, wo die Kundendaten draufliegen. Gleichzeitig ist das auch mein Gateway ins Internet.
Aber auch auf einem Privatrechner hast Du sicher soviele Einträge in den Logs, daß alleine die Auswertung der IP Adressen eine gute Stunde pro Tag verbrauchte. Diese Zeit wird aber kaum jemand aufwänden.
Deswegen lasse ich ja einige Ports nicht scannen. Solange diese geblockt werden kratzt mich das nicht, wenn einer drauf rumscannt.
Wirklich interessant wäre ein Tool, daß eine Art "Nutzungsprofil" des Servers erstellt, und so über Veränderungen Auskunft gibt.
Das wäre wirklich nicht schlecht. Webalizer macht es ja schon mit dem Apachen und Squid. Und das IMO recht ordentlich. Gruß Michael -- Homepage temporarily out of order Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE http://counter.li.org GNU PGP-Key ID 22C51B8D0140F88B ++ Webdesign ++ PHP Development ++
hi, On Thu, Feb 14, 2002 at 01:03:30PM +0100, Jürgen Fahnenschreiber wrote:
Hallo Liste!
Wie kann ich denn erkennen, ob jemand meine Ports scannt? Als ich selber meine Ports scannte, fand ich in keiner Logdatei eine Zeile darüber. fuer iptables gibt es in patch-o-matic den psd patch. psd sthet dabei fuer port scan detection. nie probiert, aber so was wie
iptables -A INPUT --match psd \ --psd-weight-threshold 3 --jump LOG --log-prefix "PORTSCAN: " koennte dein freund sein ;) ciao sascha
Gruss,
Jürgen
-- Sascha Andres linux@programmers-world.com http://www.programmers-world.com
Hallo_{Jürgen,Sascha}, * Am 14.02.2002 um 15:08 Uhr schrieb Sascha Andres:
On Thu, Feb 14, 2002 at 01:03:30PM +0100, Jürgen Fahnenschreiber wrote:
Wie kann ich denn erkennen, ob jemand meine Ports scannt? Als ich selber meine Ports scannte, fand ich in keiner Logdatei eine Zeile darüber. fuer iptables gibt es in patch-o-matic den psd patch. psd sthet dabei fuer port scan detection. nie probiert, aber so was wie
iptables -A INPUT --match psd \ --psd-weight-threshold 3 --jump LOG --log-prefix "PORTSCAN: "
'psd' kenne ich nicht, aber <iptables> in Verbindung mit <logsurfer> sollte alle Deine Wünsche erfüllen können. Wichtig hierbei ist ein ausführliches Logging per <iptables>. Die Logeinträge sollten selbstsprechend sein und ein einfaches Filtern per <logsurfer> ermöglichen. z.B. --log-prefix "[FIREWALL: PORTSCAN] " --log-prefix "[FIREWALL: TCP NEW] " --log-prefix "[FIREWALL: TCP INVALID] " --log-prefix "[FIREWALL: ICMP PING] " ... Eine verfeinerte Analyse und entsprechende Gegenmaßnahmen könnten mit Hilfe von <logurfer> on-the-fly gestartet werden. z.B. - dynamisches Einfügen einer zusätzlichen <iptables>-Regel um den Benutzer kurzfristig auszusperren. - Benachrichtung per MsgBox, Mail oder SMS - was auch immer Du möchtest ;-) - Feststellen der Identität (wenn möglich) per <whois>, <finger>,... Jürgen -- Alles Gute im Leben ist entweder ungesetzlich, unmoralisch oder es macht dick. / Registered Linux-User #130804 http://counter.li.org \ \ Linux Stammtisch Bremerhaven http://linux.hs-bremerhaven.de /
participants (11)
-
Christian Weickhmann
-
Juergen Schwarting
-
Jürgen Fahnenschreiber
-
Matthias Strack
-
Michael Raab
-
Roman Langolf
-
Sascha Andres
-
Thomas Michael Wanka
-
Thomas Templin
-
Tom Woezel
-
Werner Jansen