Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Einbruchsversuch in mein Netzwerk

Frage Sicherheit Tipps & Tricks

Mitglied: MarcBecker

MarcBecker (Level 1) - Jetzt verbinden

26.02.2007, aktualisiert 19.05.2007, 5373 Aufrufe, 16 Kommentare

Was zu tun ist - Tipps und Tricks

Servus,

ich habe zuhause ein privates Netzwerk und denke, dass es einigermaßen sicher ist. Absicherung erfolgt mittels eines IpCops und der Web- und Mailserver steht in der DMZ. Jetzt versucht seit ca. einer Woche jemand auf mein System einzudringen und es ist keiner der es darf, denn ich sehe in den Logs, dass sämtliche gängigen Usernamen eines Linuxsystems ausprobiert wurden.

Per SSH kam er nicht rein, jetzt versucht er es auf anderen Wegen. Anfangs dachte ich noch, dass er bald genug hat. Aber mittlerweile bekomme ich doch ein wenig Panik, ob er es irgendwann vielleicht nicht doch schafft, eine Lücke aufzudecken, die ich noch nicht geschlossen habe.

Wie kann ich mich wehren? Lohnt es, einen Ausdruck der Logs zu machen und Anzeige bei der Polizei zu machen? Die IP des Angreifers habe ich, wo es geht, hinzugefügt und explizit gesperrt!

Bin dankbar für Tipps und Erfahrungen, die ihr mit dem Thema gemacht habt.

Gruß

Marc Becker
Mitglied: Dani
26.02.2007 um 19:45 Uhr
G' Abend,
das wird dir ein bisschen weiterhelfen:
01.
Auch wenn Portscan nicht unbedingt illegal sein mag, gilt es als grobe Unhöflichkeit im Netz, 
02.
fremde Rechner ohne Absprache mit deren Betreibern anzuscannen. Wer dies regelmäßig  
03.
tut, kann auf Ärger mit seinem Leitungsanbieter rechnen – bis zur Abschaltung hin. Wer aus 
04.
Sicherheitsgründen seine eigenen Rechner anscannt, sollte vorher sicherstellen –  
05.
insbesondere bei DynDNS – dass er auch wirklich mit seinen eigenen Rechnern redet
Auf jeden Fall die Logs sichern bzw. ausdrucken. Wenn es ein Stück zusammen gibt => Anzeige machen. Da aber die IP's nur noch 7 Tage gespeichert werden (zum Teil schon umgesetzt) wird's schwerer!! Aber ein Versuch ist es auf jeden Fall wert!!


Grüße
Dani
Bitte warten ..
Mitglied: MarcBecker
26.02.2007 um 20:08 Uhr
Danke, dann werde ich mal ausdrucken und morgen zur Polizei gehen.

Schließlich versucht er es per SSH und das ist kein "unhöflicher" Portscan!
Bitte warten ..
Mitglied: 39916
26.02.2007 um 20:35 Uhr
Hi Marc,

das leidige Thema habe ich fast jeden Tag! Ich habe mein System so konfiguriert, dass es mich per Mail über den Einbruchsversuch informiert. Wenn man gerade am PC sitzt hat man wenigstens die Möglichkeit, direkt etwas dagegen zu unternehmen.

Schon mal den Gedanken mit einem Gegenangriff gehabt?

Gruß,

Martin
Bitte warten ..
Mitglied: MarcBecker
26.02.2007 um 20:42 Uhr
Ja, aber dann bewege ich mich im illegalen Bereich und das will ich nicht...

Habe mich da auch schon umgehört und auch gerüchteweise von einem Tool gehört, dass Viren und alles mögliche an den Angreifer schickt. Aber das ist hochgradig illegal, da lebe ich lieber mit den Angriffsversuchen und sehe zu, dass ich das System jeden Tag ein Stück weit sicherer mache!
Bitte warten ..
Mitglied: 13100
26.02.2007 um 20:49 Uhr
wieso rennt dein webserver als dmz?
gibt es irgendeinen logischen grund dafür?
Bitte warten ..
Mitglied: 39916
26.02.2007 um 20:51 Uhr
Nein, keine Viren o.ä. - das ist schlecht weil wirklich Grenze von legal.
Nachschauen, wer's ist, dann nach seinen Ports schauen, dann ne nette Mail an den Provider oder an die Typen selbst - geht fast immer.

Man muss noch dazu sagen, dass das ja meist System sind, die selbst angegriffen und übernommen wurden. Das muss man den Leuten "zu Gute" halten.

Habe ein kleines Script, das einen Angreifer nach ca. 30min in die hosts.deny verbannt, dann ist das erst mal gut.
Bitte warten ..
Mitglied: aran67
26.02.2007 um 21:07 Uhr
Hi @ Angeldust,

wo sollte, nach deine Meinung, ein Webserver stehen? Außer DMZ sehe ich (zumindest ich) keinen alternative !!!

aran67
Bitte warten ..
Mitglied: MarcBecker
26.02.2007 um 21:39 Uhr
Also ein Webserver, bietet Dienste an die auch über das Internet erreichbar sein müssen, also gehört der in die DMZ.

@39916:
Kannst du mir das Skript mal schicken? Würde mir das gerne mal ansehen!
Bitte warten ..
Mitglied: catachan
26.02.2007 um 22:01 Uhr
ich würde mal mit whois nachsehen ob die ip die du logst überhaut korrekt ist. oft sind sie gefälscht und du siehst dann das yahoo oder google die eigner sind
Bitte warten ..
Mitglied: 39916
26.02.2007 um 22:20 Uhr
Mit der DMZ schließe ich mich an. Der einzige Ort, an den ein Webserver gehört!

@Marc:
Hab dir das Script als PN zugeschickt. Falls die Form nicht leserlich sein sollte, dann gib bitte Bescheid.
Bitte warten ..
Mitglied: aqui
26.02.2007 um 23:09 Uhr
Hast du dann wenigsten mal ein whois <ip adresse> gemacht um zu sehen woher der potentielle Angreifer kommt.
Wenn der aus Hongkong oder Russland oder sonstwoher kommt hat die Polizei morgen was zu lachen wenn sie die Anzeige aufnimmt.....
Bitte warten ..
Mitglied: Dani
27.02.2007 um 14:31 Uhr
Hi,
wenn die IP vergeben ist an einen ISP, einfach ne Mail mit dem Versuchen schreiben. Der ISP wird dann herausfinden, wem die IP zu diesem Zeitpunkt hattte und diesen Anschluss sperren / kündigen oder nur Abmahnen.


Grüße
Dani
Bitte warten ..
Mitglied: MarcBecker
28.02.2007 um 00:15 Uhr
Habe whois mal ausgeführt und eine der IPs war eine Hochschule in Hessen. Dem Rechenzentrum habe ich mal eine Mail geschickt, aber da kam noch nix. Bei den anderen IPs (es scheint mittlerweile ein Wettbewerb statt zu finden, wer meinen Server zuerst knackt) bin ich noch am überprüfen.

Werde den Server erst mal vom Netz nehmen, weil mir das hier zu heiß wird.
Bitte warten ..
Mitglied: 46010
19.05.2007 um 02:32 Uhr
Hi,

hätt mich jetzt intressiert wie es weiter gegangen ist, verfolge in meinen Logs gleiches....


Gruss Christian
Bitte warten ..
Mitglied: MarcBecker
19.05.2007 um 15:31 Uhr
Ich habe den Server wie oben geschrieben vom Netz genommen und nach zwei Wochen wieder angeschlossen. Die Angriffe sind weniger geworden, aber immer noch da.

Ich lebe jetzt damit und das war's....

Insgesamt habe ich zwei Hochschulen angeschrieben, deren IPs bei mir migeloggt wurden, aber hier habe ich nie eine Antwort bekommen.
Bitte warten ..
Mitglied: Dani
19.05.2007 um 15:35 Uhr
Hallo!
Insgesamt habe ich zwei Hochschulen angeschrieben, deren IPs bei mir migeloggt wurden,
aber hier habe ich nie eine Antwort bekommen.
Das bringt nichts. Am einfachsten beim Direktor anrufen und die Sache über ihn publik machen. Somit schenkt dir die IT freiweilig ihre Aufmerksamkeit.


Gruß
Dani
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Windows Netzwerk
USB-Gerät ins Netzwerk (Domäne) einbinden (4)

Frage von griss0r zum Thema Windows Netzwerk ...

Monitoring
Netzwerk-Qualität Monitoring Toolempfehlung (9)

Frage von michmeie zum Thema Monitoring ...

Windows 10
Plötzlich kein Netzwerk mehr (13)

Frage von ZeroCool23 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...