Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Einbruchsversuch in mein Netzwerk

Mitglied: MarcBecker

MarcBecker (Level 1) - Jetzt verbinden

26.02.2007, aktualisiert 19.05.2007, 5443 Aufrufe, 16 Kommentare

Was zu tun ist - Tipps und Tricks

Servus,

ich habe zuhause ein privates Netzwerk und denke, dass es einigermaßen sicher ist. Absicherung erfolgt mittels eines IpCops und der Web- und Mailserver steht in der DMZ. Jetzt versucht seit ca. einer Woche jemand auf mein System einzudringen und es ist keiner der es darf, denn ich sehe in den Logs, dass sämtliche gängigen Usernamen eines Linuxsystems ausprobiert wurden.

Per SSH kam er nicht rein, jetzt versucht er es auf anderen Wegen. Anfangs dachte ich noch, dass er bald genug hat. Aber mittlerweile bekomme ich doch ein wenig Panik, ob er es irgendwann vielleicht nicht doch schafft, eine Lücke aufzudecken, die ich noch nicht geschlossen habe.

Wie kann ich mich wehren? Lohnt es, einen Ausdruck der Logs zu machen und Anzeige bei der Polizei zu machen? Die IP des Angreifers habe ich, wo es geht, hinzugefügt und explizit gesperrt!

Bin dankbar für Tipps und Erfahrungen, die ihr mit dem Thema gemacht habt.

Gruß

Marc Becker
Mitglied: Dani
26.02.2007 um 19:45 Uhr
G' Abend,
das wird dir ein bisschen weiterhelfen:
01.
Auch wenn Portscan nicht unbedingt illegal sein mag, gilt es als grobe Unhöflichkeit im Netz, 
02.
fremde Rechner ohne Absprache mit deren Betreibern anzuscannen. Wer dies regelmäßig  
03.
tut, kann auf Ärger mit seinem Leitungsanbieter rechnen – bis zur Abschaltung hin. Wer aus 
04.
Sicherheitsgründen seine eigenen Rechner anscannt, sollte vorher sicherstellen –  
05.
insbesondere bei DynDNS – dass er auch wirklich mit seinen eigenen Rechnern redet
Auf jeden Fall die Logs sichern bzw. ausdrucken. Wenn es ein Stück zusammen gibt => Anzeige machen. Da aber die IP's nur noch 7 Tage gespeichert werden (zum Teil schon umgesetzt) wird's schwerer!! Aber ein Versuch ist es auf jeden Fall wert!!


Grüße
Dani
Bitte warten ..
Mitglied: MarcBecker
26.02.2007 um 20:08 Uhr
Danke, dann werde ich mal ausdrucken und morgen zur Polizei gehen.

Schließlich versucht er es per SSH und das ist kein "unhöflicher" Portscan!
Bitte warten ..
Mitglied: 39916
26.02.2007 um 20:35 Uhr
Hi Marc,

das leidige Thema habe ich fast jeden Tag! Ich habe mein System so konfiguriert, dass es mich per Mail über den Einbruchsversuch informiert. Wenn man gerade am PC sitzt hat man wenigstens die Möglichkeit, direkt etwas dagegen zu unternehmen.

Schon mal den Gedanken mit einem Gegenangriff gehabt?

Gruß,

Martin
Bitte warten ..
Mitglied: MarcBecker
26.02.2007 um 20:42 Uhr
Ja, aber dann bewege ich mich im illegalen Bereich und das will ich nicht...

Habe mich da auch schon umgehört und auch gerüchteweise von einem Tool gehört, dass Viren und alles mögliche an den Angreifer schickt. Aber das ist hochgradig illegal, da lebe ich lieber mit den Angriffsversuchen und sehe zu, dass ich das System jeden Tag ein Stück weit sicherer mache!
Bitte warten ..
Mitglied: 13100
26.02.2007 um 20:49 Uhr
wieso rennt dein webserver als dmz?
gibt es irgendeinen logischen grund dafür?
Bitte warten ..
Mitglied: 39916
26.02.2007 um 20:51 Uhr
Nein, keine Viren o.ä. - das ist schlecht weil wirklich Grenze von legal.
Nachschauen, wer's ist, dann nach seinen Ports schauen, dann ne nette Mail an den Provider oder an die Typen selbst - geht fast immer.

Man muss noch dazu sagen, dass das ja meist System sind, die selbst angegriffen und übernommen wurden. Das muss man den Leuten "zu Gute" halten.

Habe ein kleines Script, das einen Angreifer nach ca. 30min in die hosts.deny verbannt, dann ist das erst mal gut.
Bitte warten ..
Mitglied: aran67
26.02.2007 um 21:07 Uhr
Hi @ Angeldust,

wo sollte, nach deine Meinung, ein Webserver stehen? Außer DMZ sehe ich (zumindest ich) keinen alternative !!!

aran67
Bitte warten ..
Mitglied: MarcBecker
26.02.2007 um 21:39 Uhr
Also ein Webserver, bietet Dienste an die auch über das Internet erreichbar sein müssen, also gehört der in die DMZ.

@39916:
Kannst du mir das Skript mal schicken? Würde mir das gerne mal ansehen!
Bitte warten ..
Mitglied: catachan
26.02.2007 um 22:01 Uhr
ich würde mal mit whois nachsehen ob die ip die du logst überhaut korrekt ist. oft sind sie gefälscht und du siehst dann das yahoo oder google die eigner sind
Bitte warten ..
Mitglied: 39916
26.02.2007 um 22:20 Uhr
Mit der DMZ schließe ich mich an. Der einzige Ort, an den ein Webserver gehört!

@Marc:
Hab dir das Script als PN zugeschickt. Falls die Form nicht leserlich sein sollte, dann gib bitte Bescheid.
Bitte warten ..
Mitglied: aqui
26.02.2007 um 23:09 Uhr
Hast du dann wenigsten mal ein whois <ip adresse> gemacht um zu sehen woher der potentielle Angreifer kommt.
Wenn der aus Hongkong oder Russland oder sonstwoher kommt hat die Polizei morgen was zu lachen wenn sie die Anzeige aufnimmt.....
Bitte warten ..
Mitglied: Dani
27.02.2007 um 14:31 Uhr
Hi,
wenn die IP vergeben ist an einen ISP, einfach ne Mail mit dem Versuchen schreiben. Der ISP wird dann herausfinden, wem die IP zu diesem Zeitpunkt hattte und diesen Anschluss sperren / kündigen oder nur Abmahnen.


Grüße
Dani
Bitte warten ..
Mitglied: MarcBecker
28.02.2007 um 00:15 Uhr
Habe whois mal ausgeführt und eine der IPs war eine Hochschule in Hessen. Dem Rechenzentrum habe ich mal eine Mail geschickt, aber da kam noch nix. Bei den anderen IPs (es scheint mittlerweile ein Wettbewerb statt zu finden, wer meinen Server zuerst knackt) bin ich noch am überprüfen.

Werde den Server erst mal vom Netz nehmen, weil mir das hier zu heiß wird.
Bitte warten ..
Mitglied: 46010
19.05.2007 um 02:32 Uhr
Hi,

hätt mich jetzt intressiert wie es weiter gegangen ist, verfolge in meinen Logs gleiches....


Gruss Christian
Bitte warten ..
Mitglied: MarcBecker
19.05.2007 um 15:31 Uhr
Ich habe den Server wie oben geschrieben vom Netz genommen und nach zwei Wochen wieder angeschlossen. Die Angriffe sind weniger geworden, aber immer noch da.

Ich lebe jetzt damit und das war's....

Insgesamt habe ich zwei Hochschulen angeschrieben, deren IPs bei mir migeloggt wurden, aber hier habe ich nie eine Antwort bekommen.
Bitte warten ..
Mitglied: Dani
19.05.2007 um 15:35 Uhr
Hallo!
Insgesamt habe ich zwei Hochschulen angeschrieben, deren IPs bei mir migeloggt wurden,
aber hier habe ich nie eine Antwort bekommen.
Das bringt nichts. Am einfachsten beim Direktor anrufen und die Sache über ihn publik machen. Somit schenkt dir die IT freiweilig ihre Aufmerksamkeit.


Gruß
Dani
Bitte warten ..
Ähnliche Inhalte
Windows Server

Windows Security Einbruchsversuche erkennen

gelöst Frage von AlchimedesWindows Server4 Kommentare

Hallo , welche Tools , Software ,Richtlinien etc nutzt Ihr um Einbruchsversuche auf einem Windowsserver zu erkennen ? Ich ...

Netzwerkgrundlagen

Netzwerk wird Erneuert

Frage von mikahaapamaekiNetzwerkgrundlagen20 Kommentare

Hallo zusammen, wir haben vor das Netzwerk im Gebäude frisch aufzusetzen (hat einige Gründe, auch weil die Server dazugekommen ...

LAN, WAN, Wireless

Altlasten im Netzwerk

gelöst Frage von schneerunzelLAN, WAN, Wireless12 Kommentare

Hallo zusammen, ich habe noch Altlasten in Form von z.B. Uralten Terminal die hin und wieder doch mal auftauchen ...

Hyper-V

Taskmanager - Kein Netzwerk

Frage von rurotilHyper-V4 Kommentare

Hallo Leute, wir haben 2 Hyper-V Server im Cluster und es funktioniert eigentlich alles. Außer das wir im Taskmanager ...

Neue Wissensbeiträge
Backup

2016 - Restore mit WBAdmin - iSCSI Device als Sicherungsziel

Erfahrungsbericht von Henere vor 14 StundenBackup1 Kommentar

Servus zusammen, was mich eben einige graue Haare gekostet hat Server 2016. Ich habe meinem Server eine weitere M2 ...

Humor (lol)
(Part num your Hacked phone. +XX XXXXXX5200)
Erfahrungsbericht von Henere vor 2 TagenHumor (lol)5 Kommentare

Mein Handy hat aber ne ganz andere Endnummer. Muss ich mir jetzt Sorgen machen ? :-) Vielleicht betrifft es ...

Exchange Server

Letztes Update für Exchange 2016 CU9 war in gewisser Weise destruktiv

Erfahrungsbericht von DerWoWusste vor 2 TagenExchange Server8 Kommentare

Kurzer Erfahrungsbericht zu Exchange2016-KB4340731-x64 Der Exchangeserver hat wie gewöhnlich versucht, es in der Nacht automatisch zu installieren - abgesehen ...

Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 3 TagenErkennung und -Abwehr3 Kommentare

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Heiß diskutierte Inhalte
Netzwerke
Netzwerk-Architektur mit VLANs
Frage von niLuxxNetzwerke47 Kommentare

Liebe Community, Ich hätte eine kurze Frage an euch. Ich werde in Kürze das Netzwerk unserer (sehr) kleinen Firma ...

Netzwerke
SSH - Wieso werde ich nach VPN Verbindung rausgeschmissen?
Frage von VernoxVernaxNetzwerke10 Kommentare

Hallo, ich habe es endlich geschafft mein Handy mit einer VPN Verbindung an meinen Router anzuschließen. Nach der Login ...

Windows Server
Server 2016 Autotiering Storage Space
Frage von HenereWindows Server9 Kommentare

Servus, ich habe jetzt ein StorageSpace auf einem Server 2016 in Betrieb zum Testen. 1x M2 mit 512GB (970pro) ...

Windows 10
VPN Verbindung Android - Win10 funktioniert nach Update auf Android 8 Oreo nicht mehr
gelöst Frage von OnleinWindows 108 Kommentare

Hallo, SETUP: Ich habe unter Win10 (up to date) einen VPN Server eingerichtet (Eingehende Verbindung). In meinen Routern habe ...