hi carsten,
Ich hatte gestern abend auf meiner (privaten!) Firewall 387 geloggte Pakete in sechs Minuten -- von 25 verschiedenen IPs. Die meisten (nicht alle) kamen vom Quellport 28431 und alle wollten Port 28432.
die 25 verschiedenen IP's deuten darauf hin, dass ein scanner verwendet wurde, welcher die IP "verstecken" kann, d.h. von diesen 387 geloggten Meldungen gehoeren sehr wahrscheinlich nur 387 / 25 dem wirklichen Hacker, die anderen 24 sind wahllos getippte IP's. So hat man kaum eine Moeglichkeit, herauszufinden, von wo der scan kam. bei nmap nennt man solch einen scan decoy scan (option -D).
Kann damit jemand was anfangen? Was ist so interessant an Port 28432?
Schau mal bei cert vorbei, ob im moment auf port 28432 was interessantes laeuft. http://www.cert.org/current/current_activity.html
Und was kann man gegen solche Amokläufer tun?
du koenntest die 25 verschiedenen IP's explizit alle sperren... hope it helps jan --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Jan Stifter schrieb:
Und was kann man gegen solche Amokläufer tun?
du koenntest die 25 verschiedenen IP's explizit alle sperren...
oder falls es regelmäßig vorkommt alle 25 IP's aufschreiben und dann nach einiger Zeit vergleichen ob manche von den IP's immer vorkommen, oder ob bestimmte Sub-Netzte häufiger vorkommen (falls Dial UP Account). und dann diese gezielt sperren Daniel "Fengor" Brachmann --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Fengor Wolfsclaw wrote:
Jan Stifter schrieb:
Und was kann man gegen solche Amokläufer tun?
du koenntest die 25 verschiedenen IP's explizit alle sperren...
oder falls es regelmäßig vorkommt alle 25 IP's aufschreiben und dann nach einiger Zeit vergleichen ob manche von den IP's immer vorkommen, oder ob bestimmte Sub-Netzte häufiger vorkommen (falls Dial UP Account). und dann diese gezielt sperren
Oder dafür sorgen daß das System sicher ist, also auf dem entsprechenden Port nichts gefähliches läuft, und sich entspannt zurücklehnen, und den cracker beobachten wie er sich die Zähne ausbeißt :-) Dafür muß man sich aber schon sehr genau wissen in wie weit das System sicher ist -- __ _ Raymond Häb, ray.haeb@gmx.net, cologne, germany / / (_)__ __ ____ __ / /__/ / _ \/ // /\ \/ / . . . t h e c h o i c e o f a /____/_/_//_/\_,_/ /_/\_\ G N U g e n e r a t i o n . . . --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Wed, 05 Jan 2000, Raymond Haeb wrote:
Fengor Wolfsclaw wrote:
oder falls es regelmäßig vorkommt alle 25 IP's aufschreiben und dann nach einiger Zeit vergleichen ob manche von den IP's immer vorkommen, oder ob bestimmte Sub-Netzte häufiger vorkommen (falls Dial UP Account). und dann diese gezielt sperren
Oder dafür sorgen daß das System sicher ist, also auf dem entsprechenden Port nichts gefähliches läuft, und sich entspannt zurücklehnen, und den cracker beobachten wie er sich die Zähne ausbeißt :-)
Genau das habe ich ja auch getan. Nur so richtig entspannt, bin ich nie, wenn die Kiste piept :-) Ich habe den logsurfer auf die /var/log/messages angesetzt und jedesmal wenn ein "Packet log" auftaucht, piept er halt. Und in diesen sechs Minuten war das halt etwas nervig ... PIEP, PIEP PIEP PIIIIIEP, PIEP .... :-] Mir ging es eigentlich nur darum, zu erfahren, ob jemand in der Liste a) weiß, was sich hinter Port 28432 verbirgt (bei mir ohnehin nichts). b) ein Verfahren kennt, mit dem man den tatsächlichen Verursacher herausfinden kann. Carsten --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Wed, 5 Jan 2000, Fengor Wolfsclaw wrote:
Jan Stifter schrieb:
Und was kann man gegen solche Amokläufer tun?
du koenntest die 25 verschiedenen IP's explizit alle sperren...
Man koennte auch den Rechner so einstellen, dass er nur so kurz wie noetig am Netz ist und sich schnell wieder abmeldet. (Ist bei der Telekom zu teuer, aber es gibt Provider und Telefonanbieter, die sekundengenau abrechnen und keine Einwahlgebuer nehmen. Vertrag vorher genau lesen!). Also z.B. bei Untaetigkeit nach 20 Sekunden vom Netz. So ist die Wahrscheinlichkeit das man von Scannern erwischt wird, geringer. (Klingt logisch. Stimmt es auch?) In der Regel hat man nach der naechsten Einwahl eine neue IP-Nummer. Werner Mueller --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Wed, 05 Jan 2000, Jan Stifter wrote:
Ich hatte gestern abend auf meiner (privaten!) Firewall 387 geloggte Pakete in sechs Minuten -- von 25 verschiedenen IPs. Die meisten (nicht alle) kamen vom Quellport 28431 und alle wollten Port 28432.
die 25 verschiedenen IP's deuten darauf hin, dass ein scanner verwendet wurde, welcher die IP "verstecken" kann, d.h. von diesen 387 geloggten
Hmmm... an einen Scan hatte ich noch gar nicht gedacht! Die Policy ist "DENY" -- also versucht der Angreifer immer wieder einen Connect aufzubauen :-) Nächstes mal werde ich diesen Port auf "REJECT" setzen. Mal schauen, ob "es" dann noch weitere Ports abklopft. Carsten --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (5)
-
9d@cosmosdirekt.de -
cmeyer@mail.com -
j.stifter@medres.ch -
ray.haeb@gmx.net -
wmueller@ring.de