HI! hab den verdacht, dass ein angreifer in mein system eingedrungen ist. ich würde gerne wissen was dieser vor der attacke gemacht hat und wie er eingedrungen ist bzw. welche Schwachpunkte mein system weiters aufweist. 20:02:44.601892 IP 192.168.2.66 > 192.168.2.17: icmp 8: echo request seq 22009 0x0000: 4500 001c 16d2 0000 3801 e66b c0a8 0242 E.......8..k...B 0x0010: c0a8 0211 0800 5a5a 47ac 55f9 ......ZZG.U. 20:02:44.602138 IP 192.168.2.17 > 192.168.2.66: icmp 8: echo reply seq 22009 0x0000: 4500 001c 1aac 0000 4001 da91 c0a8 0211 E.......@....... 0x0010: c0a8 0242 0000 625a 47ac 55f9 0000 0000 ...B..bZG.U..... 0x0020: 0000 0000 0000 0000 0000 0000 0000 .............. 20:02:44.602772 IP 192.168.2.66.52737 > 192.168.2.17.www: . ack 1153324382 win 0x0000: 4500 0028 8053 0000 2f06 85d9 c0a8 0242 E..(.S../......B 0x0010: c0a8 0211 ce01 0050 1cbe 555e 44be 555e .......P..U^D.U^ 0x0020: 5010 1000 3fa6 0000 P...?... 20:02:44.603116 IP 192.168.2.17.www > 192.168.2.66.52737: R 1153324382:11533243 0x0000: 4500 0028 1aad 4000 4006 9a7f c0a8 0211 E..(..@.@....... 0x0010: c0a8 0242 0050 ce01 44be 555e 0000 0000 ...B.P..D.U^.... 0x0020: 5004 0000 c1ce 0000 0000 0000 0000 P............. 20:02:44.721709 IP 192.168.2.66.52713 > 192.168.2.17.ldaps: S 216926679:2169266 0x0000: 4500 0028 e552 0000 3506 1ada c0a8 0242 E..(.R..5......B 0x0010: c0a8 0211 cde9 027c 0cee 09d7 0000 0000 .......|........ 0x0020: 5002 0800 3b14 0000 P...;... 20:02:44.722223 IP 192.168.2.17.ldaps > 192.168.2.66.52713: R 0:0(0) ack 216926 0x0000: 4500 0028 1aae 4000 4006 9a7e c0a8 0211 E..(..@.@..~.... 0x0010: c0a8 0242 027c cde9 0000 0000 0cee 09d8 ...B.|.......... 0x0020: 5014 0000 4301 0000 0000 0000 0000 P...C......... 20:02:44.722582 IP 192.168.2.66.52713 > 192.168.2.17.smtp: S 216926679:21692667 0x0000: 4500 0028 5a41 0000 3106 a9eb c0a8 0242 E..(ZA..1......B 0x0010: c0a8 0211 cde9 0019 0cee 09d7 0000 0000 ................ 0x0020: 5002 0800 3d77 0000 P...=w.. 20:02:44.722779 IP 192.168.2.17.smtp > 192.168.2.66.52713: R 0:0(0) ack 2169266 0x0000: 4500 0028 1aaf 4000 4006 9a7d c0a8 0211 E..(..@.@..}.... 0x0010: c0a8 0242 0019 cde9 0000 0000 0cee 09d8 ...B............ 0x0020: 5014 0000 4564 0000 0000 0000 0000 P...Ed........ 20:02:44.722929 IP 192.168.2.66.52713 > 192.168.2.17.ssh: S 216926679:216926679 0x0000: 4500 0028 14d9 0000 3206 ee53 c0a8 0242 E..(....2..S...B 0x0010: c0a8 0211 cde9 0016 0cee 09d7 0000 0000 ................ 0x0020: 5002 0c00 397a 0000 P...9z.. 20:02:44.723517 IP 192.168.2.17.ssh > 192.168.2.66.52713: R 0:0(0) ack 21692668 0x0000: 4500 0028 1ab0 4000 4006 9a7c c0a8 0211 E..(..@.@..|.... 0x0010: c0a8 0242 0016 cde9 0000 0000 0cee 09d8 ...B............ 0x0020: 5014 0000 4567 0000 0000 0000 0000 P...Eg........ vielen danke für die hilfe clemens --------------------------------- Gesendet von Yahoo! Mail - Jetzt mit 250MB kostenlosem Speicher
cle go
HI! hab den verdacht, dass ein angreifer in mein system eingedrungen ist. ich würde gerne wissen was dieser vor der attacke gemacht hat und wie er eingedrungen ist bzw. welche Schwachpunkte mein system weiters aufweist.
Gehören die beiden Adressen 192.168.2.66 und 192.168.2.17 zu deinem lokalen Netzwerk?
20:02:44.601892 IP 192.168.2.66 > 192.168.2.17: icmp 8: echo request seq 22009
Das ist ein ping
20:02:44.602138 IP 192.168.2.17 > 192.168.2.66: icmp 8: echo reply seq 22009
das ist die Antwort auf den ping
20:02:44.602772 IP 192.168.2.66.52737 > 192.168.2.17.www: . ack 1153324382 win
Da ist versucht worden, den Apache zu befragen. Die relevanten Stellen solltest du in /var/log/apache/access.log finden.
20:02:44.603116 IP 192.168.2.17.www > 192.168.2.66.52737: R 1153324382:11533243
Das ist ein Reject von deinem Apache
20:02:44.721709 IP 192.168.2.66.52713 > 192.168.2.17.ldaps: S 216926679:2169266
Das ist der Versuch, auf deinen LDAP-Server zuzugreifen
20:02:44.722223 IP 192.168.2.17.ldaps > 192.168.2.66.52713: R 0:0(0) ack 216926
Das ist das Reject vom LDAP-Server
20:02:44.722582 IP 192.168.2.66.52713 > 192.168.2.17.smtp: S 216926679:21692667
Hier wird versucht, deinen Mailserver zu nutzen.
20:02:44.722779 IP 192.168.2.17.smtp > 192.168.2.66.52713: R 0:0(0) ack 2169266
Das ist das Reject des Mailservers
20:02:44.722929 IP 192.168.2.66.52713 > 192.168.2.17.ssh: S 216926679:216926679
Hier versucht sich einer mittels ssh einzuloggen.
20:02:44.723517 IP 192.168.2.17.ssh > 192.168.2.66.52713: R 0:0(0) ack 21692668
Das ist das Reject von ssh. In diesem Logauszug wird nicht beschrieben, wie der Angreifer in dein Netz gelangt ist. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Hallo, dafür bräuchten wir schon etwas mehr Angaben. Ich nehme jetzt mal an, 192.168.2.17 ist dein Rechner. Wer oder was ist 192.168.2.66? Ein weiterer Rechner in deinem LAN, ein Router...? Das unten sieht mir erst mal lediglich nach einem Portscan aus, da wird der Rechner einmal angepingt und dann auf den Ports für www,ldaps,smtp und ssh kontaktiert, worauf jeweils eine Antwort des anderen Rechners erfolgt. So wie's aussieht, läuft da auch auf allen Ports was. Was davor oder danach geschehen ist, ist meiner Meinung nach aber nicht ersichtlich. Ist übrigens grade in solchen Fällen hilfreich, aussagekräftige Betreff-Zeilen zu verwenden, z.B. "Dringender Hacker-Verdacht, bitte um Hilfe". cle go schrieb:
HI! hab den verdacht, dass ein angreifer in mein system eingedrungen ist. ich würde gerne wissen was dieser vor der attacke gemacht hat und wie er eingedrungen ist bzw. welche Schwachpunkte mein system weiters aufweist.
20:02:44.601892 IP 192.168.2.66 > 192.168.2.17: icmp 8: echo request seq 22009 0x0000: 4500 001c 16d2 0000 3801 e66b c0a8 0242 E.......8..k...B 0x0010: c0a8 0211 0800 5a5a 47ac 55f9 ......ZZG.U.
20:02:44.602138 IP 192.168.2.17 > 192.168.2.66: icmp 8: echo reply seq 22009 0x0000: 4500 001c 1aac 0000 4001 da91 c0a8 0211 E.......@....... 0x0010: c0a8 0242 0000 625a 47ac 55f9 0000 0000 ...B..bZG.U..... 0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............
20:02:44.602772 IP 192.168.2.66.52737 > 192.168.2.17.www: . ack 1153324382 win 0x0000: 4500 0028 8053 0000 2f06 85d9 c0a8 0242 E..(.S../......B 0x0010: c0a8 0211 ce01 0050 1cbe 555e 44be 555e .......P..U^D.U^ 0x0020: 5010 1000 3fa6 0000 P...?...
20:02:44.603116 IP 192.168.2.17.www > 192.168.2.66.52737: R 1153324382:11533243 0x0000: 4500 0028 1aad 4000 4006 9a7f c0a8 0211 E..(..@.@....... 0x0010: c0a8 0242 0050 ce01 44be 555e 0000 0000 ...B.P..D.U^.... 0x0020: 5004 0000 c1ce 0000 0000 0000 0000 P.............
20:02:44.721709 IP 192.168.2.66.52713 > 192.168.2.17.ldaps: S 216926679:2169266 0x0000: 4500 0028 e552 0000 3506 1ada c0a8 0242 E..(.R..5......B 0x0010: c0a8 0211 cde9 027c 0cee 09d7 0000 0000 .......|........ 0x0020: 5002 0800 3b14 0000 P...;...
20:02:44.722223 IP 192.168.2.17.ldaps > 192.168.2.66.52713: R 0:0(0) ack 216926 0x0000: 4500 0028 1aae 4000 4006 9a7e c0a8 0211 E..(..@.@..~.... 0x0010: c0a8 0242 027c cde9 0000 0000 0cee 09d8 ...B.|.......... 0x0020: 5014 0000 4301 0000 0000 0000 0000 P...C.........
20:02:44.722582 IP 192.168.2.66.52713 > 192.168.2.17.smtp: S 216926679:21692667 0x0000: 4500 0028 5a41 0000 3106 a9eb c0a8 0242 E..(ZA..1......B 0x0010: c0a8 0211 cde9 0019 0cee 09d7 0000 0000 ................ 0x0020: 5002 0800 3d77 0000 P...=w..
20:02:44.722779 IP 192.168.2.17.smtp > 192.168.2.66.52713: R 0:0(0) ack 2169266
0x0000: 4500 0028 1aaf 4000 4006 9a7d c0a8 0211 E..(..@.@..}....
0x0010: c0a8 0242 0019 cde9 0000 0000 0cee 09d8 ...B............
0x0020: 5014 0000 4564 0000 0000 0000 0000 P...Ed........
20:02:44.722929 IP 192.168.2.66.52713 > 192.168.2.17.ssh: S 216926679:216926679
0x0000: 4500 0028 14d9 0000 3206 ee53 c0a8 0242 E..(....2..S...B
0x0010: c0a8 0211 cde9 0016 0cee 09d7 0000 0000 ................
0x0020: 5002 0c00 397a 0000 P...9z..
20:02:44.723517 IP 192.168.2.17.ssh > 192.168.2.66.52713: R 0:0(0) ack 21692668
0x0000: 4500 0028 1ab0 4000 4006 9a7c c0a8 0211 E..(..@.@..|....
0x0010: c0a8 0242 0016 cde9 0000 0000 0cee 09d8 ...B............
0x0020: 5014 0000 4567 0000 0000 0000 0000 P...Eg........
vielen danke für die hilfe clemens
--------------------------------- Gesendet von Yahoo! Mail - Jetzt mit 250MB kostenlosem Speicher
participants (3)
-
Andreas Heinlein
-
cle go
-
Dieter Kluenter