nicht angemeldet
Hackversuch - was tun?
0 0 PS: .
0 0 0 0 0
0 0
Hackversuch - was tun?
Hallo,
In meinem Access-Log finde ich heute morgen 1130 Einträge von Versuchen, eine über .htaccess geschützte Seite aufzurufen:
pD9E9D75C.dip.t-dialin.net - taylor [16/Apr/2002:08:23:01 +0200] "GET /xxxxxx.de/restricted/.htpasswd HTTP/1.1" 401 409 "-" "Mozilla/4.75 [en] (Win98; U)"
pD9E9D75C.dip.t-dialin.net - brendan [16/Apr/2002:08:23:01 +0200] "GET /xxxxxx.de/restricted/.htpasswd HTTP/1.1" 401 409 "-" "Mozilla/4.75 [en] (Win98; U)"
usw. usw. usw. - über 1000 Einträge
(die Domain habe ich gegen "xxxxxx.de" ersetzt)
Frage: der Angreifer wählt sich mit offensichtlich t-online ein. Kann ich mich an T-Online wenden und dort verlangen, daß mir der Name des Teilnehmers genannt wird? Wie? Wo? - Leider steht keine IP-Nummer im Log.
Was kann ich weiter tun, um mit einem vertretbaren Aufwand gegen den Angreifer vorzugehen?
Grüße
K@rl
PS: die Login-Versuche geschehen in schneller zeitlicher Folge, so daß ich kaum glaube, daß da jemand mit einem Mozilla/4.75 sitzt, sondern wohl ein Tool (LWPsimple?) einsetzt.
-
T Online rückt dir nur die Daten ihrer Kunden raus wenn du eine Anzeige ausüben willst. Ansonsten antworten sie dir nichteinmal. :)
Mach einfach das passwort 20 Zeichen lang mit Sonderzeichen Groß und Kleinbuchstaben und der kerl kann da 10 Jahre dran rumhacken und bekommt nix raus.
*tipgeb*
.Moritz ;)
-
Hallo Moritz,
T Online rückt dir nur die Daten ihrer Kunden raus wenn du eine Anzeige ausüben willst. Ansonsten antworten sie dir nichteinmal. :)
Ja - aber an welche Stelle innerhalb der Rosa Elefanten Tochter muß man sich wenden.
Mach einfach das passwort 20 Zeichen lang mit Sonderzeichen Groß und Kleinbuchstaben und der kerl kann da 10 Jahre dran rumhacken und bekommt nix raus.
Klar, Chancen räume ich dem Angreifer keine ein. Dennoch - daß einfach so ein A*lo*h herkommt und versucht einen geschützten Bereich zu Hacken möchte ich mir nicht gefallen lassen.
Ciao
K@rl-
Hast recht ist schon ein A*lo*h *gg*
Ehm t-online... an wen man sich da wenden soll... gute frage... im impressum nach verwaltung suchen vielleicht.
;)
-
Hast recht ist schon ein A*lo*h *gg*
Ehm t-online... an wen man sich da wenden soll... gute frage... im impressum nach verwaltung suchen vielleicht.
ehe kannst ja direkt beim admin anrufen :)
Registrant:
Deutsche Telekom Online Service GmbH (T-DIALIN2-DOM)
Waldstrasse 3
Weiterstadt, Germany D-64331
DEDomain Name: T-DIALIN.NET
Administrative Contact, Technical Contact:
Kaufmann, Daniel (DK162-RIPE) d.kaufmann@T-ONLINE.NET
Deutsche Telekom Online Service GmbH
Julius-Reiber-Str.37
Darmstadt
Germany
D-6429
DE
+49 61 51 680 537 (FAX) +49 61 51 680 519
Billing Contact:
Billing, Domain Name (DN54-RIPE) invoice@TELEKOM.DE
Deutsche Telekom AG, NIC
Gueterstr. 10a
Oldenburg
Germany
26122
DE
+49 441 234 4555 (FAX) +49 441 234 4559Analpha
-
-
Hi
Sowas muß nicht immer beabsichtigt sein! Und wenn solche Daten mitübertragen werden, ist - wenn eine böser Absicht dahinter stekt - derjenige mit dieser IP ein sehr viel bedauernswerteres Opfer als Du, denn welcher noch so dummer Angreifer wäre so blöd! Kann man nicht diese T-Online Kennung auch als email-Adresse verwenden? Nur mal so um so nachfragen vielleicht.
Grüße
Andreas-
Hi Andreas,
na ja, nicht jedes herumhackende A*l*ch muß ein Genie sein. Ich glaube, das sind die wenigsten.
wegen eMail-Adresse:
|------------------------- Failed addresses follow: ---------------------|
0007347588923200455967660001@t-online.de ... unknown user / Teilnehmer existiert nicht
|------------------------- Message text follows: ------------------------|
Received: from mail08a.verio.de ([213.198.55.86]) by mailin07.sul.t-online.de
with smtp id 16xPIC-1Ze0kCC; Tue, 16 Apr 2002 11:30:28 +0200K@rl
-
Hi!
wegen eMail-Adresse:
|------------------------- Failed addresses follow: ---------------------|
0007347588923200455967660001@t-online.de ... unknown user / Teilnehmer existiert nicht
|------------------------- Message text follows: ------------------------|
Received: from mail08a.verio.de ([213.198.55.86]) by mailin07.sul.t-online.de
with smtp id 16xPIC-1Ze0kCC; Tue, 16 Apr 2002 11:30:28 +0200schade, früher ging das mal, zumindest so ähnlich, jedenfalls hatten wir uns mal einen Alias zugelegt, aber man konnte trotzdem noch mit der Nummer senden. Naja, weiß aber nicht mehr, ob es genau die Nummer war. Hatte das immer gedacht! Vielleicht haben die das auch geändert, naja!
Grüße
Andreas-
Moin auch hier!
wegen eMail-Adresse:
|------------------------- Failed addresses follow: ---------------------|
0007347588923200455967660001@t-online.de ... unknown user / Teilnehmer existiert nicht
|------------------------- Message text follows: ------------------------|
Received: from mail08a.verio.de ([213.198.55.86]) by mailin07.sul.t-online.de
with smtp id 16xPIC-1Ze0kCC; Tue, 16 Apr 2002 11:30:28 +0200schade, früher ging das mal, zumindest so ähnlich, jedenfalls hatten wir uns mal einen Alias zugelegt, aber man konnte trotzdem noch mit der Nummer senden. Naja, weiß aber nicht mehr, ob es genau die Nummer war. Hatte das immer gedacht! Vielleicht haben die das auch geändert, naja!
Ich dachte eigentlich, die Zahlen-Mailadressen wären in der Form
TONLINENUMMER-MITBENUTZERNUMMER@t-online.dealso
xxxxxxxxxxxxx-yyyy@t-online.deWie die lange Nummer auseinanderzunehmen ist, wurde ja schon geklärt. Versuch mach kluch. ;)
- Sven Rautenberg
-
hi sven
xxxxxxxxxxxxx-yyyy@t-online.de
Wie die lange Nummer auseinanderzunehmen ist, wurde ja schon geklärt. Versuch mach kluch. ;)^^^^^^^^^^^^^^^^^^
kommt auch zurück - t-online hat auf meine mail reagiert "wir werden den kunden anschreiben"grüße
k@rl-
Hi!
kommt auch zurück -
die auch?:
000734758892320045596766-0001@t-online.deGrüße
Andreas
-
-
-
-
Tag auch.
wegen eMail-Adresse:
|------------------------- Failed addresses follow: ---------------------|
0007347588923200455967660001@t-online.de ... unknown user / Teilnehmer existiert nichtVersuch's mal so: 000734758892320045596766-0001@t-online.de
Sollte funktionieren.GaW
Thomas J. -
Moin,
XXXXXXXXXXXX3200455967660001@t-online.de ... unknown user / Teilnehmer existiert nicht
Bitte sag mir dass du die Telekomleute ernsthaft darauf aufmerksam gemacht hast. Nochmal: Die Anschlusskennung ist geheim, höchst geheim sogar. Die kommt in einem lichtdichten Umschlag und wird auch später im T-Online-Programm nicht mehr angezeigt, an deren Stelle erscheinen nur X'e. Dank dieser Mail dürfte dieser Information aber jetzt im Log des einen oder anderen Mailservers auftauchen und demnächst bei google indiziert sein.
Sag den Telekomleuten dass es wohl im Interesse ihres Kunden ist wenn sie den Anschluss vorübergehend sperren, es dürfte jetzt wohl nicht lange dauern bis die Nummer in 'die falschen Hände' gerät.
--
Henryk Plötz
Grüße aus Berlin-
Hallo!
XXXXXXXXXXXX3200455967660001@t-online.de ... unknown user / Teilnehmer existiert nicht
die richtige Email-Adresse wäre: 320045596766-0001@t-online.de
Bitte sag mir dass du die Telekomleute ernsthaft darauf aufmerksam gemacht hast. Nochmal: Die Anschlusskennung ist geheim, höchst geheim sogar.
Wieso eigentlich?
Was bringt die ohne Passwort? Und wie kommen die Schwachm... ähm Profis von der Telekom darauf geheime Info im Usernamen unterzubringen?Wenn der 'Angreifer', oder derjenige dessen Rechner missbraucht wurde, eine T-Online Homepage hätte, gäbs seine (Post)Adresse unter:
http://home.t-online.de/home/320045596766-0001/.impressum.htmlGruss,
Carsten -
N'abend
Bitte sag mir dass du die Telekomleute ernsthaft darauf aufmerksam gemacht hast.
Die haben die Logs, wo das drinsteht; ich werde ihnen aber morgen noch 'ne Mail schreiben.
Grüße nach Berlin
K@rl-
hi
Die haben die Logs, wo das drinsteht;
Das ist ja das Problem, eben nicht nur! Du ja anscheinend auch! Und inzwischen(fast) die ganze Welt, und wenn in 1 Jahr cracker Hansi M. in google nach Anschlusskennung T-Online... sucht bekommt er dies auf dem Silbertablett aus dem Selfforum, wobei ich zustimmen muß das das herzlich wenig bringt! Man kann ja nicht einfach per Brute-Force probieren, das macht selbst T-Online nicht lange mit!
Außerdem bin ich jetzt gar nicht mehr so sicher ob das alles so verwerflich ist. Jeder andere DFÜ-Benutzername hätte da jetzt auch gestanden - nur zufällig T-Online! Und dessen Benutzerkennung sollte genau so geheim in einem Umschlag gekommen sein!
Da ist kein Unterschied zur Bedeutsamkeit der Anschlußkennung von T-Online, naja.
Was ich aber immer noch nicht genau verstehe welches bekloppte Programm(und wie/wobei) dafür gesorgt hat, das diese Kennung überhaupt an diese Stelle gelangt ist - ich denke daran ist T-Online wohl kaum Schuld! Außerdem bin ich nicht sicher ob Opera... nicht dasselbe getan hätten?
*grübel*Grüße
Andreas-
Hallo Andreas!
Man kann ja nicht einfach per Brute-Force probieren, das macht selbst T-Online nicht lange mit!
Stimmt. Nach neun falschen Paßwort-Eingaben ist man für einen ganzen Tag gesperrt. Ist mir einmal passiert, als ich neue Zugangsdaten beantragt hatte, diese zwar an dem Tag wirksam waren, als der Brief per Post ankam... Leider wollte ich um 10.00 online und der Briefträger kommt hier erst um 12.00, oder wann er gerade Lust hat ;-)
Mittlerweile habe ich das automatische Verbindung-Erstellen abgeschaltet, passiert mir nicht mehr so schnell wieder ;-)
Grüße,
Patrick
-
-
-
-
-
-
-
-
PS: im Error-Log stehen doch die IP-Nummern:
[Tue Apr 16 08:23:01 2002] [error] [client 217.233.215.92] user spencer not found: /xxxxx.de/restricted/.htpasswd
[Tue Apr 16 08:23:01 2002] [error] [client 217.233.215.92] user taylor not found: /xxxxx.de/restricted/.htpasswd-
Okay, dann würde ich zur sicherheit einfach das passwort komplizierter machen. Und wenn das weiterhin so ist mit diesen 1000 Zugriffen am tag.. würde ich mir alle IP nummern und die zeiten dazu aufschreiben und dann t-online fragen ob da eine einzeige schon in frage kommen könnte.
MFG
.Moritz
PS: im Error-Log stehen doch die IP-Nummern:
[Tue Apr 16 08:23:01 2002] [error] [client 217.233.215.92] user spencer not found: /xxxxx.de/restricted/.htpasswd
[Tue Apr 16 08:23:01 2002] [error] [client 217.233.215.92] user taylor not found: /xxxxx.de/restricted/.htpasswd -
Hoi,
PS: im Error-Log stehen doch die IP-Nummern:
[Tue Apr 16 08:23:01 2002] [error] [client 217.233.215.92] user
spencer not found: /xxxxx.de/restricted/.htpasswd
[Tue Apr 16 08:23:01 2002] [error] [client 217.233.215.92] user
taylor not found: /xxxxx.de/restricted/.htpasswdpD9E9D75C.dip.t-dialin.net - taylor [16/Apr/2002:08:23:01 +0200]
"GET /xxxxxx.de/restricted/.htpasswd HTTP/1.1" 401 409 "-"
"Mozilla/4.75 [en] (Win98; U)"Das 'pD9E9D75C.dip.t-dialin.net' ist der zur IP-Adresse gehoerige
Hostname ;-) Waere also voellig egal, ob die IP selber drin stuende oder
nicht. Ich wuerde dir ueberigens empfehlen, 'HostnameLookups' auf 'off'
zu stellen. Sonst muss der Apache immer wieder einen reverse dns lookup
machen -- und das kostet Traffic und Performance.Gruesse aus dem nassen Muenster,
c.j.k -
PS: im Error-Log stehen doch die IP-Nummern:
[Tue Apr 16 08:23:01 2002] [error] [client 217.233.215.92] user spencer not found: /xxxxx.de/restricted/.htpasswd
[Tue Apr 16 08:23:01 2002] [error] [client 217.233.215.92] user taylor not found: /xxxxx.de/restricted/.htpasswdvon http://www.ripe.net/perl/whois
----------------------------------------
...
inetnum: 217.224.0.0 - 217.237.161.47
...
remarks: ************************************************************
remarks: * ABUSE CONTACT: abuse@t-ipnet.de IN CASE OF HACK ATTACKS, *
remarks: * ILLEGAL ACTIVITY, VIOLATION, SCANS, PROBES, SPAM, ETC. *
remarks: ************************************************************
...
----------------------------------------bye
ich
-
-
Moin
Frage: der Angreifer wählt sich mit offensichtlich t-online ein. Kann ich mich an T-Online wenden und dort verlangen, daß mir der Name des Teilnehmers genannt wird? Wie? Wo? - Leider steht keine IP-Nummer im Log.
Nein.
Die einzige Chance ist, Strafanzeige wegen was auch immer zu stellen. Dafür müßtest Du natürlich nachweisen, daß Dir ein Schaden enstanden ist.
T-Online wäre dann verpflichtet, die Zugangsdaten der Staatsanwaltschaft zu übergeben. Allerdings werden die Zugangsdaten nicht ewig gespeichert.Was kann ich weiter tun, um mit einem vertretbaren Aufwand gegen den Angreifer vorzugehen?
Dazu fällt mir im Moment beim besten Willen nichts ein.
GaW (voll im Trend)
Thomas J. -
Moin,
mail doch an abuse@t-online.de und schicke den Auszug aus Deinem Logfile mit, daß sie dem Kunden mal auf die Finger klopfen sollen.
Du kannst zwar mit Anzeige gegen den Kunden drohen, aber die düfte ziemlich fruchtlos sein, weil Dir bisher, außer vielleicht zusätzl. kostenpflichtiger Traffic, kein Schaden entstanden ist. Bis jetzt macht der ja nicht mehr, als feste an die Tür zu klopfen... Und außerdem solltest Du nat. Vorsorge treffen, um die Sicherheit zu erhöhen (längere Paßwörter).
Du kannst nat. auch versuchen, über htaccess die Domain des "Angreifers" zu sperren, aber das ist wohl nur bedingt sinnvoll, da dann nat. ale anderen T-Onliner rausfallen (was ja doch ein paar sind). Und da ich annehme, daß die pD-irgendwas-Nummer auch immer eine andere ist und daher kein Mittel den Kunden wiederzurerkennen, kannst Du die wahrscheinlich nicht gezielt sperren - müßte man aber mal ausprobieren.
Greetz,
Andreas-
Moin Andreas,
mail doch an abuse@t-online.de und schicke den Auszug aus Deinem Logfile mit, daß sie dem Kunden mal auf die Finger klopfen sollen.
Danke! - abuse@t-online.de => Das habe ich gemacht. Mal sehen, was dabei herauskommt.
btw:
[Mon Apr 15 19:34:58 2002] [error] [client 217.80.51.186] user 0007347588923200455967660001@t-online.de not found: /xxxxx.de/restricted/index.html
=> ich bin kein T-Online Kunde; könnte "0007347588923200455967660001@t-online.de" die Kundennummer des T-Onliners sein?
Grüße
K@rl-
=> ich bin kein T-Online Kunde;
Ich auch nicht, aber ich kenn ein paar. ;-)
könnte "0007347588923200455967660001@t-online.de" die Kundennummer des T-Onliners sein?
Die Nummer kommt mir zwar ein wenig lang vor, aber prinzipiell könnte es möglich sein (wer weiß wieviele User die mittlerweile haben).
Bei T-Online ist die Kundennummer (so weit ich weiß) plus "@t-online.de" auch die Grundlage für die eMail-addy.
So könntest du zumindest prüfen, ob ne Kundennummer ist oder nur ne wilde Zahlenkombi.HTH
Gruß Sasch
-
Hallo K@rl!
=> ich bin kein T-Online Kunde; könnte "0007347588923200455967660001@t-online.de" die Kundennummer des T-Onliners sein?
Ja. Das ist der Benutzername, wenn man einen T-Online-Zugang ohne T-Online-Software sondern über eine DFÜ-Verbindung aufruft.
Eigentlich sollten diesen Daten nirgends erscheinen... Wenn Du auch noch das Paßwort knackst, kannst DU Dich dann über dessen Zugang einwählen. Will wiederum sagen: der Hacker hat vielleicht schon auf diese Weise den Zugang eines ahnungslosen User geknackt...
Das spricht nicht gerade für die Sicherheit von t-online, dass diese Daten in irgendwelche Logs erscheinen... Ist Dein Server ein Apache? Ich habe darauf hin auch meine eigenen Error-Logs auf Einträge mit dem String t-online durchsucht und nichts festgestellt.
Um auf die lange Zahl zurückzukommen, sie setzt sich wie folgt zusammen:
Anschlusskennung:
000734758892
T-Online-Nummer:
320045596766 (das ist die für Deine Nachfragen relevante Nummer, bei T-Online nachfragen)
Mitbenutzernummer/Suffix:
0001 (die 1 bedeutet, dass es der Hauptuser des Zugangs ist)Grüße,
Patrick-
Hallo K@rl!
=> ich bin kein T-Online Kunde; könnte "0007347588923200455967660001@t-online.de" die Kundennummer des T-Onliners sein?
Ja. Das ist der Benutzername, wenn man einen T-Online-Zugang ohne T-Online-Software sondern über eine DFÜ-Verbindung aufruft.
Eigentlich sollten diesen Daten nirgends erscheinen... Wenn Du auch noch das Paßwort knackst, kannst DU Dich dann über dessen Zugang einwählen. Will wiederum sagen: der Hacker hat vielleicht schon auf diese Weise den Zugang eines ahnungslosen User geknackt...
Das spricht nicht gerade für die Sicherheit von t-online, dass diese Daten in irgendwelche Logs erscheinen... Ist Dein Server ein Apache? Ich habe darauf hin auch meine eigenen Error-Logs auf Einträge mit dem String t-online durchsucht und nichts festgestellt.
Um auf die lange Zahl zurückzukommen, sie setzt sich wie folgt zusammen:
Anschlusskennung:
000734758892
T-Online-Nummer:
320045596766 (das ist die für Deine Nachfragen relevante Nummer, bei T-Online nachfragen)Geschickt. Nun ruft man bei T-Online nach und will zur Kontolle seine Adressdaten. ;-)
Ciao Micha
Mitbenutzernummer/Suffix:
0001 (die 1 bedeutet, dass es der Hauptuser des Zugangs ist)Grüße,
Patrick
-
-
Moin,
bei T-Online besteht die Kundennummer aus drei Bestandtteilen: Anschlußkennung, Anschlußnummer und Mitbenutzerkennung. Wenn ich es richtig verstanden habe, st die Anschlußkennung immer 12-stellig und die Mitbenutzernummer 4stellig. Dann käme aus
0007347588923200455967660001 das raus:Anschlußkennung: 000734758892
Anschlußnummer: 320045596766
Mitbenutzerkennung: 0001Wozu genau die Unterscheidung zw. Anschlußkennung und -nummer ist kann ich Dir nicht sagen, die Mitbenutzernummer unterscheidet halt die Benutzer (so hat meine Frau bei uns die 0001 und ich die 0002, das ist aushsclaggebend zB für das Versenden und Empfangen von Mails).
Was Dir die Daten bringen könnten weiß ich nicht, außer Du kannst den User .htaccess oder anderen Mittel kicken, zB weiterleiten auf www.fbi.gov (würde dann gerne das dumme Gesicht sehen :-)) ).
Greetz,
Andreas -
Moin,
[Mon Apr 15 19:34:58 2002] [error] [client 217.80.51.186] user 0007347588923200455967660001@t-online.de not found: /xxxxx.de/restricted/index.html
=> ich bin kein T-Online Kunde; könnte "0007347588923200455967660001@t-online.de" die Kundennummer des T-Onliners sein?
Jein, das ist der Benutzername aus dem DFÜ-Netzwerk. Wenn ich mich recht erinnere benutzt ein bestimmtes von uns allen geliebtes kompiliertes Sicherheitsrisiko diesen Namen standardmäßig für die Anmeldung [1]. Dabei ist auch die _geheime_ Anschlusskennung. Die kommt in einem hochsicheren Sichtgeschützen Umschlag und sollte nie preisgegeben werden. Du solltest dich mit dieser Info unbedingt an T-Online wenden und ihnen sagen dass du die Infos ohne über die Brisanz bescheid zu wissen veröffentlicht hast, damit sie die Daten sofort ändern bzw. sperren können. (Das hat den netten Nebeneffekt dass dem User auf die Finger geklopft wird)
Bescheid sagen solltest du ihnen aber auf jeden Fall.[1] iirc steht das irgendwo auf den T-Online-Seiten beschrieben
--
Henryk Plötz
Grüße aus Berlin-
hidiho!
Jein, das ist der Benutzername aus dem DFÜ-Netzwerk. Wenn ich mich recht erinnere benutzt ein bestimmtes von uns allen geliebtes kompiliertes Sicherheitsrisiko diesen Namen standardmäßig für die Anmeldung [1]. Dabei ist auch die _geheime_ Anschlusskennung. Die kommt in einem hochsicheren Sichtgeschützen Umschlag und sollte nie preisgegeben werden. Du solltest dich mit dieser Info unbedingt an T-Online wenden und ihnen sagen dass du die Infos ohne über die Brisanz bescheid zu wissen veröffentlicht hast, damit sie die Daten sofort ändern bzw. sperren können. (Das hat den netten Nebeneffekt dass dem User auf die Finger geklopft wird)
Genau das ist mein Problem, ist ja schön das das der IE benutzt, aber wofür genau? Was hat denn sowas auf irgendwelchen Servern außer denen von T-Online zu suchen? Und soweit ich weiß nutzen doch alle ALLE Browser unter win das DFÜ-Netzwerk!
Wie funktioniert das eigentlich genau? Wenn ich im Browser eine Adresse eingebe, startet das DFÜ-Netzwerk und wählt sich auf einem bestimmten server mit angegeber Telefonnumer ein(ISDN/Modem) ein. So jetzt ist die Verbindung hergestellt, man hat jetzt eine IP zugewiesen bekommen, mit der man mit anderen Servern, z.B. dem in den Browser eingegeben direkt komuniziert. Wozu braucht man an dieser Stelle jetzt noch die DFÜ-Daten?
In diesem Fall war es ja DSL, da gibt es keine TELEFON-Verbindung mehr, sondern nur über TCP/IP von der netzwerkkarte zum Modem, da werden die Benutzerdaten mit übertragen, und vom Modem zu irgendeinem T-Online-Knoten, der die Daten überprüft. So jetzt hat man wieder ein IP. Das sollte doch reichen, oder?
Versteh das nicht :((
Grüße
Andreas
-
-
-
Hi!
Alles richtig, und das @t-online.de sagt Dir das es T-DSL war :-)
Aber bringt alles nicht sonderlich viel, schade, vor ein paar Jahren noch hätte da die Telefonnummer gestanden, als T-Online-Nummer, das wäre interessant gewesen da mal anzurufen :)
Ich befürchte auch das der Arme Mensch mit diesen Zugangsdaten da nichts für kann. Nur was haben diese Daten in Deinen Logs zu suchen - habe ich noch nie gehört!!! Vor allem da das Kennwort meist eine reine Zahl ist, und nicht sehr lang und immer gleich lang glaub ich, also das halte ich für HÖCHST gefährlich! Aber Du könntest den Anschluß selber sperren :))))))
Wahrscheinlich tust Du dem damit auch einen Gefallen, wenn er kein DSL-Flat hat!
Grüße
Andreas
-
-
Hallo,
In meinem Access-Log finde ich heute morgen 1130 Einträge von Versuchen, eine über .htaccess geschützte Seite aufzurufen:
pD9E9D75C.dip.t-dialin.net - taylor [16/Apr/2002:08:23:01 +0200] "GET /xxxxxx.de/restricted/.htpasswd HTTP/1.1" 401 409 "-" "Mozilla/4.75 [en] (Win98; U)"
pD9E9D75C.dip.t-dialin.net - brendan [16/Apr/2002:08:23:01 +0200] "GET /xxxxxx.de/restricted/.htpasswd HTTP/1.1" 401 409 "-" "Mozilla/4.75 [en] (Win98; U)"
usw. usw. usw. - über 1000 Einträge(die Domain habe ich gegen "xxxxxx.de" ersetzt)
Frage: der Angreifer wählt sich mit offensichtlich t-online ein. Kann ich mich an T-Online wenden und dort verlangen, daß mir der Name des Teilnehmers genannt wird? Wie? Wo? - Leider steht keine IP-Nummer im Log.
Was kann ich weiter tun, um mit einem vertretbaren Aufwand gegen den Angreifer vorzugehen?
Grüße
K@rlPS: die Login-Versuche geschehen in schneller zeitlicher Folge, so daß ich kaum glaube, daß da jemand mit einem Mozilla/4.75 sitzt, sondern wohl ein Tool (LWPsimple?) einsetzt.
Hi,
hab auch mal sowas gepostet. Vielleicht hilft es ein bischenhttp://forum.de.selfhtml.org/archiv/2002/2/4379/#m24618
Gruss Klaus
-
Es gäbe noch die Möglichkeit einer persönlichen Suche geographischer Art um sicher zu sein woher das kommt.
Angeblich geht das im amerikanischen Raum sogar so weit das man exakt das Haus herausfindet woher die Attacken kommen (so detailiert führen die doret Buch)
Das Softwareprodukt welches eine IP Adresse "verfolgt" und auf eine ganze Menge offizielle Informationen zurückgreift kostet zwar einiges aber soll gut was leisten.
Der Name fällt mir gerade ... doch ... Visual Trace..
ciao
-Marco Wagner-PS: Es muss ja nicht klappen aber nen Versuch ist es Wert.
Man kriegt so auchg raus über was geroutet wird, etc.
Also ein Bekannter von mir hat es tatsächlich geschafft anhand einer IP-Adresse seine eigene Strasse in Amerika rauszubekommen.-
Hallo
Angeblich geht das im amerikanischen Raum sogar so weit das man exakt das Haus herausfindet woher die Attacken kommen (so detailiert führen die doret Buch)
Ja, das geht auch hier: Der Provider kann dir sagen, von welchem Anschluss aus die entsprechende IP benutzt wurde, und das Telefonbuch *blätterblätter* sagt dir, wo das passende Haus zu der Nummer steht :). Aber ist das ohne Gerichtsbeschluss möglich? Ich möchte nicht in einem solchen Land leben *sicherheitshalberschonmalsachenzusammenpack*. Stell dir mal vor, was für einen Unfug damit getrieben werden kann?! Nicht nur eMail-Spam, sondern auch im RL, um nur ein kleines Übel zu nennen (obwohl: Es gäbe kaum noch Arbeitslose, weil wir so viele Postboten bräuchten ;-).
Das Softwareprodukt welches eine IP Adresse "verfolgt" und auf eine ganze Menge offizielle Informationen zurückgreift kostet zwar einiges aber soll gut was leisten.
Der Name fällt mir gerade ... doch ... Visual Trace..werd mal schaun, was google meint...
PS: Es muss ja nicht klappen aber nen Versuch ist es Wert.
Man kriegt so auchg raus über was geroutet wird, etc.
Also ein Bekannter von mir hat es tatsächlich geschafft anhand einer IP-Adresse seine eigene Strasse in Amerika rauszubekommen.Huch *überraschtsei* Frag ihn bitte mal, wie er das genau gemacht hat!
MfG
Tom2
-
hoi
Das Softwareprodukt welches eine IP Adresse "verfolgt" und auf eine ganze Menge offizielle Informationen zurückgreift kostet zwar einiges aber soll gut was leisten.
Der Name fällt mir gerade ... doch ... Visual Trace..
werd mal schaun, was google meint...Naja erwarte mal von den proggis net zuviel.
ich habe eine firewall die IP´s traced ( NeoWatch )
und ein programm mit dem man Ips und URLS tracen kann ( NeoTrace Pro )Was ich grade rausgefunde habe ist:
wenn ich bei NeoTrace pro ein eintrag aus meinem logbuch eingeben zb:
pd9e397c6.dip.t-dialin.net bekomme ich eine IP und folgendest-dialin.net
Query: t-dialin.net
Server: whois.networksolutions.com
Registrant:
Deutsche Telekom Online Service GmbH (T-DIALIN2-DOM)
Waldstrasse 3
Weiterstadt, Germany D-64331
DEDomain Name: T-DIALIN.NET
Administrative Contact, Technical Contact:
Kaufmann, Daniel (DK162-RIPE) d.kaufmann@T-ONLINE.NET
Deutsche Telekom Online Service GmbH
Julius-Reiber-Str.37
Darmstadt
Germany
D-6429
DE
+49 61 51 680 537 (FAX) +49 61 51 680 519
Billing Contact:
Billing, Domain Name (DN54-RIPE) invoice@TELEKOM.DE
Deutsche Telekom AG, NIC
Gueterstr. 10a
Oldenburg
Germany
26122
DE
+49 441 234 4555 (FAX) +49 441 234 4559Record last updated on 12-May-2000.
Record expires on 10-Feb-2001.
Record created on 10-Feb-1999.
Database last updated on 2-Dec-2000 06:27:52 EST.Domain servers in listed order:
DNS00.SDA.T-ONLINE.DE 195.145.119.62
DNS01.SDA.T-ONLINE.DE 195.145.119.189
DNS00.SUL.T-ONLINE.DE 194.25.2.123
DNS01.SUL.T-ONLINE.DE 194.25.2.124217.227.151.198
Query: 217.227.151.198
Server: whois.apnic.net
% Rights restricted by copyright. See http://www.apnic.net/db/dbcopyright.html
% (whois7.apnic.net)% No entries found. For help, try "whois -h whois.apnic.net help". If you
% are trying to look up an AS number, make sure you specify AS#### instead of
% just ####.
%
% Note: APNIC contains _ONLY_ IP and AS allocations and associated contact
% information. APNIC does _NOT_ allocate domain names, thus is not responsible
% for domain name information. For domain name delegation information, please
% contact the top level domain name administrator of the domain in questiondann werden mir sämtlich "knoten" angezeigt über die die connection gekommen ist, mit ping zeit.
Alles recht lustig ( vor allem weil beim tracn lustige geräusche kommen aber doch recht nutzlos, schlisslich kennen wir alle mindesten eine nummer von der telekom - und wenn die eins können dann ist es weiterverbinden !!! :) )____
Wenn ich zb: http://forum.de.selfhtml.org/ eingebe, finde ich raus das es vermutlich 2 server sind
- ghostet von primakom
- server steht in münchen ( bin ich mir nicht ganz sicher )
-- dann bekomme ich den namen vom admin, seine normal und e-mailaddi
-- dann noch irgend eine person die sich [tech-c][zone-c] nennt gleiche infos.PS: Es muss ja nicht klappen aber nen Versuch ist es Wert.
Man kriegt so auchg raus über was geroutet wird, etc.
Also ein Bekannter von mir hat es tatsächlich geschafft anhand einer IP-Adresse seine eigene Strasse in Amerika rauszubekommen.hm das kann ich mir kaum vorstellen, aber das bin nur ich.
Theorethisch müsste dann mein Provider ( nicht die telekom *scrn* )
meien daten sehr schlecht gesichert haben. Denn lezendlich gibt mir mein provider eine ip, oder täusche ich mich da?
... obwohl theorethisch könnte ich einen monat online sein.... naja egalMfG
Tom2
AnalphaBestie
Der nurmal über diese Trace proggis aufklären wollte
-
Der Name fällt mir gerade ... doch ... Visual Trace..
hatte ich vor einiger Zeit mal auf'm Rechner (als Time-limited Trial). Löst die traceroute graphisch auf (Java-Anwendung); gin aber, wenn ich mich recht entsinne, immer nur bis zur Stadt des ISP.
-
-
-
-
Moin!
In meinem Access-Log finde ich heute morgen 1130 Einträge von Versuchen, eine über .htaccess geschützte Seite aufzurufen:
Sowas passiert.
Was kann ich weiter tun, um mit einem vertretbaren Aufwand gegen den Angreifer vorzugehen?
Scanne ihn. Du hast doch einen Portscanner, oder? Vielleicht kriegst du ja Kontakt zu seinen Serverdiensten (SMB ist immer gerne genommen), und auch zu seinen öffentlich angebotenen Word-Dokumenten mit Telefonnummer. Ein Anruf, und die Panik dürfte ihm ins Gesicht geschrieben stehen.
Naja, wenn das Scannen nichts bringt, dann ignoriere den Kerl. Wenn deine Sicherheitsmaßnahmen gut genug sind, kannst du doch ohnehin ruhig schlafen. Das sind sie doch, oder? Ansonsten solltest du die nochmal einer genaueren Prüfung unterziehen.
Du kannst natürlich die IP-Adresse des Angreifers sperren. Bei der nächsten dynamischen Zuweisung der IP-Adressen hat er dann eine neue, und das Spiel geht von vorne los.
Oder du verlagerst den gesicherten Bereich URL-mäßig einfach woanders hin und packst an die alte Stelle stattdessen eine öffentliche Hinweisseite - der Mensch wird von seinem Tool eine Erfolgsmeldung erhalten und dann sehen, daß er doch entdeckt wurde. Mach auf dieser Seite ein wenig Angst, schreib, daß der Provider informiert wurde etc.
Andererseits kannst du vielleicht denselben Effekt speziell für diese IP-Adresse mit mod_rewrite auch erreichen: Alle Zugriffe dieses Rechners werden umgebogen auf eine andere, öffentlich zugängliche URL.
Generell: Es wird sehr viel an den Türen gerüttelt im Internet. Portscans sind an der Tagesordnung - und es ist strittig, ob das schon ein böser Angriff ist (ich meine: Nein). Wer allerdings in offenbar aufdringlicher Absicht viele Usernamen/Paßwort-Kombinationen durchprobiert, der rüttelt nicht nur an der Tür, der setzt schon ein Brecheisen an. Und sowas ist böse. Das Überwinden einer Paßwortsperre ist ein Straftatbestand.
- Sven Rautenberg
-
Hi!
Aber sag mir mal wie K@rt an die DFÜ-Zugangsdadten kommen kann! Wo wird denn sowas übertragen? Das macht mir jetzt wirklich Sorgen!
Ist hier schonmal jemand an ne Telefonnummer gekommen und hat jemanden angerufen, der tatsächlich so verdutzt war;-)?
Aber man braucht ja die aktuelle IP! Und soweit ich weiß ist SMB doch nur in älternen Version ein Problem, oder? Ist das nicht inzwischen "dicht"?
Aber ich würd das echt mal mit nem Anruf bei T-Online probieren, und dann als "Staatsanwaltschaft Frankfurt" anrufen "...uns liegen mehrere Anzeigen vor..."
Und wenn es tatsächlich ein Bösewicht war eben den Zugang sperren:))))) (das würde ich gerne mal machen ;-)))
Grüße
Andreas-
Aber ich würd das echt mal mit nem Anruf bei T-Online probieren, und dann als "Staatsanwaltschaft Frankfurt" anrufen "...uns liegen mehrere Anzeigen vor..."
Moin,
für einen "Spaß zum Wochenende" ist es wohl zu früh.
Das ist doch wohl keine ernsthafte Empfehlung?
Gruß
CPG-
jajaja, habt ja Recht!
Hatte nur überlegt was am meisten schockt! Aber ein Anruf in aller Freundschaft tut es wohl auch :) Würde mich wahrscheinlich noch mehr verunsichern, denn der normalsterbliche sollte ja eigentlich nicht an solche Daten kommen, im Gegensatz zur Staatsanwaltschaft!
Grüße
Andreas
-
-
Moin!
Aber sag mir mal wie K@rt an die DFÜ-Zugangsdadten kommen kann! Wo wird denn sowas übertragen? Das macht mir jetzt wirklich Sorgen!
Tja, einfach vernünftige Software benutzen hilft. ;)
Ist hier schonmal jemand an ne Telefonnummer gekommen und hat jemanden angerufen, der tatsächlich so verdutzt war;-)?
Naja, bei Stern TV haben die mal sowas gemacht. Sowohl für einen vorproduzierten Beitrag Leute zuhause besucht und ihnen aus ihrem Lebenslauf erzählt, als auch live im Studio einen Menschen angerufen. Der nahm's irgendwie leicht, meinte nur "Ich hab den Rechner grad neu installiert, da fehlt noch die Firewall."
Aber man braucht ja die aktuelle IP! Und soweit ich weiß ist SMB doch nur in älternen Version ein Problem, oder? Ist das nicht inzwischen "dicht"?
Ich hab vor nicht allzu langer Zeit immer noch prima über's Internet SMB-Verbindungen herstellen können. Da ist nichts dicht. IP-Adressen kriegt man massenhaft durch Scannen der Ports 137-139 (grob fahrlässig, daß soviele Leute ungeschützt im Internet surfen). Ungefähr 10% davon haben tatsächlich Shares angelegt, und ungefähr 80% davon sind ohne Paßwort öffentlich zugänglich. Oft ist "C:" freigegeben, mit allen Konsequenzen, die sich daraus ergeben: Freier Blick auf die Festplatte. Und aus Bequemlichkeit sind die meisten Freigaben auch noch beschreibbar, d.h. jemand könnte beliebige Software auf dem Rechner installieren, den Rechner einfach noch weiter aufmachen oder in der Autoexec.bat den Befehl "format c:" einfügen. Der kann mit sehr simplem DOS-Wissen automatisch ohne weitere Rückfragen ausgeführt werden, und dank Quickformat ist er auch sehr schnell fertig - und die Platte ist leer. Aus dieser Falle befreien sich Unwissende niemals, obwohl nur das Inhaltsverzeichnis gelöscht ist.
Aber ich würd das echt mal mit nem Anruf bei T-Online probieren, und dann als "Staatsanwaltschaft Frankfurt" anrufen "...uns liegen mehrere Anzeigen vor..."
Amtsanmaßung ist auch böse. Sehr böse sogar. Abgesehen davon: Du übermittelst beim Telefonieren in jedem Fall deine Rufnummer - erst recht, wenn du bei der Telekom anrufst, dürfte diese Information für die irgendwie zugänglich sein.
Und wenn es tatsächlich ein Bösewicht war eben den Zugang sperren:))))) (das würde ich gerne mal machen ;-)))
Das dürfte unspektakulärer sein, als du es dir vorstellst. Viel interessanter wäre es, beim Bösewicht Webcam zu sein, wenn das passiert. ;)
- Sven Rautenberg
-
Hi!
Tja, einfach vernünftige Software benutzen hilft. ;)
sehr hilfreich!
Aber man braucht ja die aktuelle IP! Und soweit ich weiß ist SMB doch nur in älternen Version ein Problem, oder? Ist das nicht inzwischen "dicht"?
Ich hab vor nicht allzu langer Zeit immer noch prima über's Internet SMB-Verbindungen herstellen können. Da ist nichts dicht. IP-Adressen kriegt man massenhaft durch Scannen der Ports 137-139 (grob fahrlässig, daß soviele Leute ungeschützt im Internet surfen). Ungefähr 10% davon haben tatsächlich Shares angelegt, und ungefähr 80% davon sind ohne Paßwort öffentlich zugänglich. Oft ist "C:" freigegeben, mit allen Konsequenzen, die sich daraus ergeben: Freier Blick auf die Festplatte. Und aus Bequemlichkeit sind die meisten Freigaben auch noch beschreibbar, d.h. jemand könnte beliebige Software auf dem Rechner installieren, den Rechner einfach noch weiter aufmachen oder in der Autoexec.bat den Befehl "format c:" einfügen. Der kann mit sehr simplem DOS-Wissen automatisch ohne weitere Rückfragen ausgeführt werden, und dank Quickformat ist er auch sehr schnell fertig - und die Platte ist leer. Aus dieser Falle befreien sich Unwissende niemals, obwohl nur das Inhaltsverzeichnis gelöscht ist.
Wovon gehst Du denn aus? Ich denke das selbst die Leute "Zwei Frames auf einmal ändern" ganz erheblich über dem Durchschnitt liegen, was Computerwissen anbelangt! Ich wage zu behaupten das über 90% hier im Forum gar nicht wissen das sowas möglich ist, und wenn doch dann nur grob, aber sich nicht schützen. Aber wenn man erst Shares(was meinst Du damit genau???) anlegen muß, dann glaube ich nicht, dass das so erfolgreich wird, nur wenn Du allgemein mal ein wenig Leute ärgern willst! Bzw. böse Sachen mit auf anderen Computern vorhast!
Amtsanmaßung ist auch böse. Sehr böse sogar. Abgesehen davon: Du übermittelst beim Telefonieren in jedem Fall deine Rufnummer - erst recht, wenn du bei der Telekom anrufst, dürfte diese Information für die irgendwie zugänglich sein.
Hast Recht, obwohl ich glaub ich von so jemanden keine Anzeige befürchten würde!
Das dürfte unspektakulärer sein, als du es dir vorstellst. Viel interessanter wäre es, beim Bösewicht Webcam zu sein, wenn das passiert. ;)
Noch viel unspektakulärer, mache ich hier und jetzt in 5 Sekunden! Dann ist erstmal Schluß mit Internet für die nächsten 10 Stunden!
(hab ich jetzt nicht gemacht:)Ach ja, wenn er ne Webcam hätte gibt es ja lustige Tools mit denen man dadurch gucken kann :) Aber dann kann man die Verbindung ja nicht mehr trennen, aber es gibt ja auch andere lustige Späße!
Grüße
Andreas-
Moin!
Wovon gehst Du denn aus? Ich denke das selbst die Leute "Zwei Frames auf einmal ändern" ganz erheblich über dem Durchschnitt liegen, was Computerwissen anbelangt! Ich wage zu behaupten das über 90% hier im Forum gar nicht wissen das sowas möglich ist, und wenn doch dann nur grob, aber sich nicht schützen. Aber wenn man erst Shares(was meinst Du damit genau???) anlegen muß, dann glaube ich nicht, dass das so erfolgreich wird, nur wenn Du allgemein mal ein wenig Leute ärgern willst! Bzw. böse Sachen mit auf anderen Computern vorhast!
Sagen wir mal so: Wer zuhause zwei Computer hat, und diese Computer vernetzt, zum schönen Datenaustausch dann auf den Rechnern Ordner oder ganze Festplatten freigibt (das ist dann "ein Share") und obendrein noch ohne Firewall ins Internet geht - der hat das Problem, daß ihm jeder auf die Platte gucken kann.
Einfach mal bei http://grc.com den Links zu "Shields Up" folgen (zwei Klicks von der ersten Seite entfernt), und dann gucken, was rauskommt. Ich hab nach einigem Grübeln zuhause endlich meinen Server SMB-dicht bekommen (ja, auch die UDP-Ports lassen Informationen raus...).
- Sven Rautenberg
-
Hi Sven!
Danke für den Link, aber was sagt mir das?das einzige was offen war ist PORT 135 (RPC), den man nur über eine extra Firewall (obwohl doch Software-Firewalls auch nicht wirklich dicht sein sollen?!) abdichten könne. Nun, ich habe vor ein paar Tagen win2K neu installiert, keine Firewall, kein SP, gar nichts. Dafür fand ich es schon recht sicher! Auch der 2. Test war nicht schlecht:
"It is true that this server was unable to connect to your machine just now - and that's definitely great news!"
Scheint jetzt Windows inzwischen doch nicht mehr ganz so unsicher zu sein? Halt wie Du richtig prognostiziert hast nur Port 135. Wovon wird der denn überhaupt genutzt? Warum ist der auf und geht nicht zu???? Aber solange ich hier nichts freigebe kann da doch keiner was mit anfangen, oder? Könnte man bei der Freigabe dann genau so zugreifen wie im Windows LAN(netzwerkumgebung...?) auf andere freigegebenen Festplatten? Aber da braucht man ja wieder die Benutzerdaten!
Grüße
Andreas-
Hi Sven!
Danke für den Link, aber was sagt mir das?das einzige was offen war ist PORT 135 (RPC), den man nur über eine extra Firewall (obwohl doch Software-Firewalls auch nicht wirklich dicht sein sollen?!) abdichten könne.
Definiere "Software-Firewalls". Eine Firewall hat immer Software - weil nur Software entscheiden kann, ob ein Datenpaket durchgelassen wird oder nicht. Und da ist es erstmal egal, ob die Firewall in einem extra Gerät eingebaut ist, oder auf dem eigenen Rechner läuft.
Die zweite Lösung ist aber dann unsicherer, wenn Angreifer von innen erwartet werden. Zonealarm kann ja z.B. kontrollieren, welches Programm Onlinezugriff haben möchte. Ein böses Programm kann Zonealarm aber vorher einfach deaktivieren (ist ja auch nur ein Programm), oder sich durchmogeln, etc. All das passiert bei externen Firewalls nicht, aber die können auch nicht wissen, von welchem Programm die Datenpakete erzeugt wurden.
Nun, ich habe vor ein paar Tagen win2K neu installiert, keine Firewall, kein SP, gar nichts. Dafür fand ich es schon recht sicher! Auch der 2. Test war nicht schlecht:
"It is true that this server was unable to connect to your machine just now - and that's definitely great news!"
Ja, das ist gut, und es ist ja auch durchaus möglich, daß man ganz ohne Firewall den Zugriff vom Internet aus verhindert. Manchmal kommt bei Windows beim Einrichten des DFÜ-Netzwerkes ja auch eine entsprechende Warnmeldung - aber eben nur manchmal, nicht immer.
Scheint jetzt Windows inzwischen doch nicht mehr ganz so unsicher zu sein? Halt wie Du richtig prognostiziert hast nur Port 135.
Den habe ich nicht prognostiziert - der ist bei meinen Windowssen noch nie benutzt worden. 137 bis 139 sind interessant.
Wovon wird der denn überhaupt genutzt? Warum ist der auf und geht nicht zu????
Ich habe keine Ahnung. "RPC" steht üblicherweise für "Remote Procedure Call", also in irgendeiner Art für Fernsteuerung. Kann sein, daß Win2K sich da in unrühmlicher Weise wieder mal hervortut. Unter WinME ist z.B. auch Port 5000 offen - was man durch einen kleinen Eingriff bei den Autostarts in der Registry abstellen kann, weil das Programm nicht gebraucht wird. Könnte mit dem "Universal Plug and Play" zusammenhängen (etwas, was absolut nichts mit dem ISA- oder USB-Plug'n'Play zu tun hat).
Aber solange ich hier nichts freigebe kann da doch keiner was mit anfangen, oder? Könnte man bei der Freigabe dann genau so zugreifen wie im Windows LAN(netzwerkumgebung...?) auf andere freigegebenen Festplatten? Aber da braucht man ja wieder die Benutzerdaten!
Wenn du was freigegeben hast, und man das ohne Kennwort benutzen kann, und der Rechner die Freigabe auch ins Internet hinein anbietet - dann kann jedermann zugreifen. Sonst nicht (um da niemanden in falscher Sicherheit zu wiegen: sofern mir bekannt ist. Offene Ports sind deshalb schlecht, weil irgendein Programm dahintersteckt, welches man möglicherweise durch einen Buffer Overflow für eigene Zwecke mißbrauchen kann).
- Sven Rautenberg
-
Moin,
Definiere "Software-Firewalls". Eine Firewall hat immer Software
Och, es gibt auch ganz gute Hardware-Firewalls: Zwei Centimeter Luft zwischen Stecker und Buchse zum Beispiel sind heutzutage schon bezahlbar geworden und garantieren absolute Sicherheit (SCNR), siehe auch http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Hardware.
Ich habe keine Ahnung. "RPC" steht üblicherweise für "Remote Procedure Call", also in irgendeiner Art für Fernsteuerung. Kann sein, daß Win2K sich da in unrühmlicher Weise wieder mal hervortut.
Nein, das ist ein Standarddienst den man unter Unix zum Beispiel für NFS braucht. Ich bin mir nicht sicher, aber ich glaube unter Windows ist das fürs Durcken gut.
Offene Ports sind deshalb schlecht, weil irgendein Programm dahintersteckt, welches man möglicherweise durch einen Buffer Overflow für eigene Zwecke mißbrauchen kann.
Deswegen hast du hoffentlich alle Bindungen auf externe Netzwerkdevices (unter Windows in der Regel der "DFÜ-Adapter") aller Dienste die im externen Netz nichts zu suchen haben entfernt?
--
Henryk Plötz
Grüße aus Berlin
-
-
-
Hallo Sven + alle anderen,
erstmal danke für die Infos.
<AM_RANDE>
Der Server ist übrigens Unix (Irix) mit Apache. Was meinen eigenen Client anbelangt (WinDOS), habe ich ShieldsUp mal probiert. Alles dicht (ich verwende ZoneAlarm).Den Tip, mich gegenüber der Telekom als "Staatsanwaltschaft Frankfurt" ausgzugeben werde ich wohl nicht aufgreifen. Neulich gelesen, daß ein Gericht jemanden wegen Hausfriedensbruch verklagt hat, nur weil er sich vor einem Gerichtsgebäude auf einen reservierten Parkplatz gestellt hat [Quelle: Süddeutsche Zeitung]. Amtsanmaßung mögen die Damen und Herren Beamten nicht - und die Justizbeamten am allerwenigsten.
</AM_RANDE>Wegen SMB und den anderen Cracker-Werkzeugen: mit dem Themenkreis habe ich mich bisher kaum beschäftigt. SMB ist mir auch kein Begriff. Über Portscanner weiß ich halt das, was man so in der c't und iX ließt. Die "Datenschutz CD / Hacker's best Friend" habe ich auch irgendwo noch rumliegen <wo???>, aber die Werzeuge habe ich (noch?) nicht verwendet.
Ansonsten: daß es sich bei dem Angreifer selbst nur um ein Opfer handelt kann ich mir nicht so recht vorstellen.
Grüße
K@rl-
Moin,
Wegen SMB und den anderen Cracker-Werkzeugen
hihi, das hast du schön gesagt.
SMB steht für Server Message Block und ist das Protokoll mit dem unter Windows die Datei- und Druckerfreigaben arbeiten.--
Henryk Plötz
Grüße aus Berlin
-
-
Moin!
Einfach mal bei http://grc.com den Links zu "Shields Up" folgen (zwei Klicks von der ersten Seite entfernt), und dann gucken, was rauskommt. Ich hab nach einigem Grübeln zuhause endlich meinen Server SMB-dicht bekommen (ja, auch die UDP-Ports lassen Informationen raus...).
kewle seite. Habe mal ein check gemacht
alles Hidden ( was wohl wenn ich es richtig verstanden habe, besser als Closed ist )
ich verwende NeoWatch ( eine firewall mit der man alle "angriffe" per ip tracen kann )- Sven Rautenberg
Danke
AnalphaBestie-
Moin,
kewle seite. Habe mal ein check gemacht
^^^^^
Ist das was ansteckendes?alles Hidden ( was wohl wenn ich es richtig verstanden habe, besser als Closed ist )
Nein, Hidden (aka stealth aka DROP oder DENY) ist lediglich asozialer als Closed (aka REJECT), siehe auch http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Deny.
ich verwende NeoWatch ( eine firewall mit der man alle "angriffe" per ip tracen kann )
Auweia, meldet dir deine 'Firewall' dann wenigstens alle "IMCP-Echo Request"-Angriffe? ;-)
--
Henryk Plötz
Grüße aus Berlin-
Moin,
kewle seite. Habe mal ein check gemacht
^^^^^
Ist das was ansteckendes?kewl = cool
ich verwende NeoWatch ( eine firewall mit der man alle "angriffe" per ip tracen kann )
Auweia, meldet dir deine 'Firewall' dann wenigstens alle "IMCP-Echo Request"-Angriffe? ;-)
was das?
--
Henryk Plötz
Grüße aus BerlinAnalphaBestie greetz from LE
-
Hi Henryk!
Nein, Hidden (aka stealth aka DROP oder DENY) ist lediglich asozialer als Closed (aka REJECT), siehe auch http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Deny.
Ist wohl eher was psychologisches (sowohl für den Computernutzer als auch für den Hacker). Nichts ist eben noch mal weniger als "Nö, darfst nicht"
ich verwende NeoWatch ( eine firewall mit der man alle "angriffe" per ip tracen kann )
Auweia, meldet dir deine 'Firewall' dann wenigstens alle "IMCP-Echo Request"-Angriffe? ;-)
Kenn' mich da ja auch nicht so aus, aber ein ICMP Echo Request (out) und Echo Replay (in) ist auch in vorbildlich konfigurierten Firewalls möglich. ;-)
Allerdings gab es mal einen ct-Artikel zum Tiny-Firewall (ct 21/01, S. 152), in dem beiläufig stand, dass ICMP schon Probleme machen könnte:
"Das Internet Control Message Protocol dient hauptsächlich dem Austausch von Status- une Fehlermeldungen, kann aber unter gewissen Umständen [Verweis auf ct 11/97 S. 332: Jürgen Schmidt, Firewall getunnelt, Geheimer Datenashtausch über ICMP-Pakete] für Hintertüren genutzt werden."
Clemens
-
Moin,
Ist wohl eher was psychologisches (sowohl für den Computernutzer als auch für den Hacker). Nichts ist eben noch mal weniger als "Nö, darfst nicht"
Nein, schau mal in de.comp.security.firewall rein, da wird das einmal wöchentlich durchgekaut: Wenn ein Rechner keine Antwort kriegt (und sei es ein RST) dann wiederholt er die Verbindungsanfrage je nach Implementation zwischen 3 bis 11 mal. Durch eine idiotische DROP-Regel vervielfältigst du den Traffic also mindestens um den Faktor 2 bis etwa 10, davon dass die Dinge ausgebremst werden gar nicht zu reden. Ich merke das grade: Die Uni hat seit einiger Zeit einen Paketfilter vor ihrem Netz (in dem ich per WLAN hänge) mit einer blöden DROP-Regel. Das verzögert den Aufbau von verschiedenen Verbindungen (IRC, manche Mailserver) um gut 10 Sekunden.
Kenn' mich da ja auch nicht so aus, aber ein ICMP Echo Request (out) und Echo Replay (in) ist auch in vorbildlich konfigurierten Firewalls möglich. ;-)
Ja, Firewalls die hirnlos ICMP-Pakete wegschmeissen sind mindestens ebenso asozial: Hin und wieder soll es ja mal vorkommen dass ein {Port|Host|Net} unreachable, etc. ernst gemeint ist. Wenn der 'geschützte' Host den nicht empfängt schiebt das die Antwortzeiten und den nutzlosen Traffic abermals nach oben.
(Ein lustiges Beispiel aus der kürzeren Vergangenheit das zeigt wie schädlich hirnloses Droppen ist: http://groups.google.com/groups?hl=de&selm=slrnab5bq9.mb.lutz%40taranis.iks-jena.de&rnum=1)"Das Internet Control Message Protocol dient hauptsächlich dem Austausch von Status- une Fehlermeldungen, kann aber unter gewissen Umständen [Verweis auf ct 11/97 S. 332: Jürgen Schmidt, Firewall getunnelt, Geheimer Datenashtausch über ICMP-Pakete] für Hintertüren genutzt werden."
Auweia ;-) Merke: _Jedes_ Protokoll kann als Tunnel dienen. Die einzige Möglichkeit einen Tunnel sicher zu verhindern wäre die bereits erwähnte Hardwarefirewall in Form einiger Zentimeter Luft.
--
Henryk Plötz
Grüße aus Berlin
-
-
-
-
-
-
-
-
Hi!
Ich denke, das der "Angreifer" gar keiner ist. Sondern nur einer der eventuell mit einem/dem Offline Explorer Deine Seite herruntergeladen hat, um die zu kopieren und eine eigene in dem Style zu machen. Sowas ähnliches ist mal mit meiner Seite passiert. Vielleicht ist es auch bei Dir so.
Oder:
Der hat sein Passwort vergessen und versuchte mehrmals in den gesicherten Bereich hinein zu kommen.
Oder:
Der hat einen scheiss Router im LAN und der schickt alle Anfragen andauernt hin und her
Oder:
wat weis ich noch
schööö