9
Gerät über externe IP identifizieren
Hallo,
der Zugang zum Mailserver eines Bekannten wurde gesperrt, weil 5x ein falsches Passwort verwendet wurde. Die betreffende externe IP-Adresse 80.134.191.XXX liegt mir vor. Wie bekomme ich heraus, welches Gerät den Login versucht hat? Hinter dem Router hängen 2 PCs und 1 Smartphone. Freue mich über jeden Tipp!
Achim
der Zugang zum Mailserver eines Bekannten wurde gesperrt, weil 5x ein falsches Passwort verwendet wurde. Die betreffende externe IP-Adresse 80.134.191.XXX liegt mir vor. Wie bekomme ich heraus, welches Gerät den Login versucht hat? Hinter dem Router hängen 2 PCs und 1 Smartphone. Freue mich über jeden Tipp!
Achim
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 250774
Url: https://administrator.de/contentid/250774
Printed on: April 25, 2024 at 19:04 o'clock
9 Comments
Latest comment
Zitat von @achklein:
Hallo,
der Zugang zum Mailserver eines Bekannten wurde gesperrt, weil 5x ein falsches Passwort verwendet wurde. Die betreffende externe
IP-Adresse 80.134.191.XXX liegt mir vor. Wie bekomme ich heraus, welches Gerät den Login versucht hat? Hinter dem Router
hängen 2 PCs und 1 Smartphone. Freue mich über jeden Tipp!
Hallo,
der Zugang zum Mailserver eines Bekannten wurde gesperrt, weil 5x ein falsches Passwort verwendet wurde. Die betreffende externe
IP-Adresse 80.134.191.XXX liegt mir vor. Wie bekomme ich heraus, welches Gerät den Login versucht hat? Hinter dem Router
hängen 2 PCs und 1 Smartphone. Freue mich über jeden Tipp!
im Nachhineinen? keine Chance, wenn keine entsprehchenden Logdateien vorliegen. Protokkolliert dein NAT-Gateway die Verbinungen nach draußen oder ist das nur ein popeliger Plasterouter der Telekom?
Anonsten;: sniffer anwerfen und schauen, welches Gerät sich einlogen will.
lks
Moin,
hat dein Bekannter seinen Anschluss bei der Telekom?
VG,
Thomas
hat dein Bekannter seinen Anschluss bei der Telekom?
VG,
Thomas
Moin,
ein Ping -a auf eine beliebige IP in dem Netz gibt dir diese Info. (ja)
Gruß
Chris
ein Ping -a auf eine beliebige IP in dem Netz gibt dir diese Info. (ja)
Gruß
Chris
Zitat von @Sheogorath:
ein Ping -a auf eine beliebige IP in dem Netz gibt dir diese Info. (ja)
Gruß
Chris
ein Ping -a auf eine beliebige IP in dem Netz gibt dir diese Info. (ja)
Gruß
Chris
Das die IP von der Telekom ist weiss ich dank WHOIS selbst, mich interessiert nur ob der Bekannte sich vielleicht selbst ausgesperrt hat.
VG
Thomas
Hallo,
das sind die Logs, die mir vorliegen:
Sep 30 10:18:40 hd-102 lfd[821]: (smtpauth) Failed SMTP AUTH login
from 80.134.191.66 (DE/Germany/p5086BF42.dip0.t-ipconnect.de): 5 in
the last 3600 secs - *Blocked in csf* [LF_SMTPAUTH]
Oct 1 11:59:43 hd-102 lfd[28367]: (smtpauth) Failed SMTP AUTH login
from 80.134.179.66 (DE/Germany/p5086B342.dip0.t-ipconnect.de): 5 in
the last 3600 secs - *Blocked in csf* [LF_SMTPAUTH]
Achim
das sind die Logs, die mir vorliegen:
Sep 30 10:18:40 hd-102 lfd[821]: (smtpauth) Failed SMTP AUTH login
from 80.134.191.66 (DE/Germany/p5086BF42.dip0.t-ipconnect.de): 5 in
the last 3600 secs - *Blocked in csf* [LF_SMTPAUTH]
Oct 1 11:59:43 hd-102 lfd[28367]: (smtpauth) Failed SMTP AUTH login
from 80.134.179.66 (DE/Germany/p5086B342.dip0.t-ipconnect.de): 5 in
the last 3600 secs - *Blocked in csf* [LF_SMTPAUTH]
Achim
Moin,
sieht für mich nach einem Mailclient mit falschem Passwort aus,
man sollte mal die Rechner prüfen ob da nicht irgendwo ein Thunderbird o.Ä. funkt.
Gruß
Chris
sieht für mich nach einem Mailclient mit falschem Passwort aus,
man sollte mal die Rechner prüfen ob da nicht irgendwo ein Thunderbird o.Ä. funkt.
Gruß
Chris
Irgendeiner der mailclients ist falsch eingestellt.
lks
lks
Und woher kommt sowas?
Oct 2 06:33:07 hd-102 dovecot[694]: auth-worker(5101):
shadow(info@umzuege-xxx.de,80.134.177.199): unknown user
Oct 2 06:33:07 hd-102 dovecot[694]: auth-worker(5101):
passwd(info@umzuege-xxx.de,80.134.177.199): unknown user
Oct 2 06:33:07 hd-102 dovecot[694]: imap-login: Login:
user=<info@umzuege-xx.de>, method=PLAIN, rip=80.134.177.199,
lip=148.251.29.191, mpid=5143, session=<NTPxHGkEFABQhrHH>
Achim
Oct 2 06:33:07 hd-102 dovecot[694]: auth-worker(5101):
shadow(info@umzuege-xxx.de,80.134.177.199): unknown user
Oct 2 06:33:07 hd-102 dovecot[694]: auth-worker(5101):
passwd(info@umzuege-xxx.de,80.134.177.199): unknown user
Oct 2 06:33:07 hd-102 dovecot[694]: imap-login: Login:
user=<info@umzuege-xx.de>, method=PLAIN, rip=80.134.177.199,
lip=148.251.29.191, mpid=5143, session=<NTPxHGkEFABQhrHH>
Achim
Zitat von @achklein:
Und woher kommt sowas?
Oct 2 06:33:07 hd-102 dovecot[694]: auth-worker(5101):
shadow(info@umzuege-xxx.de,80.134.177.199): unknown user
Oct 2 06:33:07 hd-102 dovecot[694]: auth-worker(5101):
passwd(info@umzuege-xxx.de,80.134.177.199): unknown user
Oct 2 06:33:07 hd-102 dovecot[694]: imap-login: Login:
user=<info@umzuege-xx.de>, method=PLAIN, rip=80.134.177.199,
lip=148.251.29.191, mpid=5143, session=<NTPxHGkEFABQhrHH>
Und woher kommt sowas?
Oct 2 06:33:07 hd-102 dovecot[694]: auth-worker(5101):
shadow(info@umzuege-xxx.de,80.134.177.199): unknown user
Oct 2 06:33:07 hd-102 dovecot[694]: auth-worker(5101):
passwd(info@umzuege-xxx.de,80.134.177.199): unknown user
Oct 2 06:33:07 hd-102 dovecot[694]: imap-login: Login:
user=<info@umzuege-xx.de>, method=PLAIN, rip=80.134.177.199,
lip=148.251.29.191, mpid=5143, session=<NTPxHGkEFABQhrHH>
Falscher User. wenn es die richtige domain ist, hat entweder jemand beim einstellen des Mailclients etas falsch eingetragen oder jemand anders versucht den Mailer zu "mißbrauchen".
lks
