On Sunday 19 September 2004 01:00, Torsten E. wrote:
Andreas Scherer schrieb am Sonntag, 19. September 2004 00:53:
Am Sonntag, 19. September 2004 00:04 schrieb Torsten E.:
Guten Abend Liste,
[ ... ]
Um das Ganze aber nicht langweilig zu machen, werden die Ports 11164 & 6881 angesprochen ...
Sehr klug! Alles unnassigned Ports.
Schuß ins Blaue! Da ist ein "Wurmfinder" am Werk und versucht Verbindung zu seinen Kindern aufzunehmen.
Oder es ist einfach eine DOS-Attacke.
Die Logdatei hat mittlerweile (nur für heute, 18.09.2004), eine Größe von 180MB.
Ich hoffe Du hast /var auf einer eigenen Partition.
Yep ... :-) ... 10GB (noch 3GB frei).
Kann man da irgendetwas gegen tun, außer die Verbindung zum Internet zu trennen?
Eine Abuse-Mail an abuse@savvis.net schreiben mit relevanten Auszügen aus Deinen Logs und eventuell, dass Du Dir das Recht vorbehältst Strafanzeige zu erstatten, sollte der Mißstand nicht abgestellt werden.
Habe nun eine Email mit einer csv-Datei als Anhang (~40000 Zeilen aus dem Zeitraum 19:00 - 21:00) an: abuse@exodus.net, ncc@exodus.net & abuse@exodus.net geschickt. Zusätzlich habe ich den gesamten Vorgang noch an die Abteilung für Computerkriminalität des FBI geschickt ...
Rein rechtlich würde ich denjenigen gerne anstinken, da es, wenn man keine Flatrate haben sollte, teuer werden kann ...
Ich denke, dass SAVVIS dafür haftbar gemacht werden kann. Ich hab vor einiger Zeit ein ähnliches Symptom aus dem Adressbereich von Chinanet und einem Netzbetreiber von den Phillipinen gehabt, 11.161.41.0/255.255.255.0, 218.21.64.0/255.255.192.0, 218.85.0.0/255.255.128.0 und 61.129.0.0/255.255.0.0.
Allerdings nicht wie bei dir in DOS manier sondern als Portscan mit jeweils über einer Stunde Verzögerung zwischen den Scans und auf den gesammten Port Bereich über 1024. Und jedesmal wurde mit einer anderen IP gescant, allerdings jeweils nur aus diesen IP Bereichen. Ich hab diese Bereiche in die /etc/hosts.deny eingetragen (ALL: 218.21.64.0/255.255.192.0 : DENY). Jemand vom BSI-Cert, hab den Namen schon wieder vergessen, meinte zu mir das dies bereits seit einiger Zeit zu beobachten sei. Tschüss, Thomas