Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Werden wir gehackt?

Frage Internet Hosting & Housing

Mitglied: schattenhacker

schattenhacker (Level 2) - Jetzt verbinden

08.09.2012 um 20:34 Uhr, 7230 Aufrufe, 32 Kommentare

Guten Abend allerseits,

ich sehe im maillog des linus Servers dauernd solche Einträge:


Sep 8 20:30:52 ds80-237-157-109 pop3d: Connection, ip=[200.155.64.132]
Sep 8 20:30:57 ds80-237-157-109 pop3d: IMAP connect from @ [200.155.64.132]checkmailpasswd: FAILED: web3p2 - short names not allowed from @ [200.155.64.132]ERR: LOGIN FAILED, ip=[200.155.64.132]


die IP ist aus Brasilien. 200.155.64.132

Ich denke, das ist das normale Hintergrundrauschen, ich dachte mir, man könnte ja via der IP dem "Angreifer" eine Meldung senden, so :

Finger weg, Du Hammel, oder sinngemäß ähnliche Nachrichten.
Kann man bewerkstelligen?

Danke und Gruß Joachim
32 Antworten
Mitglied: Lochkartenstanzer
08.09.2012, aktualisiert um 21:03 Uhr
Ja,

Sag deinem IMAP-Server, das er als optinalen Text zu der Response das hinschreiben soll. Siehe auch RFC-3501.

Nachtrag. Eine ALERT-Response wäre z.B. das passende.


lks
Bitte warten ..
Mitglied: maretz
08.09.2012 um 21:21 Uhr
Lohnt sich nicht - die skriptkiddys sind zu bloed um sowas zu verstehen...
Bitte warten ..
Mitglied: Flatcher
08.09.2012 um 21:25 Uhr
Würd ich persönlich jetzt nicht allzu kritisch einstufen. Wenns mehr wird, müsste man sich etwas überlegen.
Hab mir einen Root Server gemietet bei einem Hoster - leider weiß ich nicht was mein Vorgänger mit dieser IP getan hat, jedenfalls hab ich am Tag zirka 200 Anmeldeversuche von Orte aus der ganzen Welt....
Ziemlich ärgerlich, weil die Hälfte des Logs aus diesen Abort´s besteht. Somit tut man sich relativ schwer, wenn man was sucht. ;)

lg
Bitte warten ..
Mitglied: dog
08.09.2012 um 21:51 Uhr
das ist das normale Hintergrundrauschen

Einfach ignorieren oder Software wie fail2ban benutzen um die IPs nach zu vielen Versuchen zu blocken.
Bitte warten ..
Mitglied: mtdnet
09.09.2012 um 19:41 Uhr
Hallo,
obwohl dieser "Angriff" nicht schlimm ist würde ich mir Gedanken über die Passwort Komplexität machen.

Gruß
Mike
Bitte warten ..
Mitglied: Sendmen
09.09.2012 um 23:40 Uhr
Hallo,

wie mein Vorposter schon schrieb ändere bitte die Passwörter regelmäßig ab. Und wenn ich es richtig sehe, nutzt Dein Webhoster oder Du selbst Confixx zumindest zu sehen an dem Benutzernamen. Daher bitte auch die anderen Zugangsdaten etwa zum Beispiel einmal im Monat ändern.

Ansonsten ist dieses Verhalten nicht auffällig sollte aber dennoch beobachtet werden, habe ich bei meinen Postfächern auch ab und wann.

Beste Grüße

Sendmen
Bitte warten ..
Mitglied: jedi7650
10.09.2012 um 09:57 Uhr
Kleiner Tip : setze einfach eine Route (je nach OS) z.B. 200.155.64.132 --> 127.0.0.1 oder ein anderes "sinnloses" Ziel, dann kann diese IP (kannst auch das Subnetz adressieren) keinen "Schaden" anrichten. Professionelle Lösung wäre direkt in der Firewall einen Eintrag machen oder wie angesprochen mit Fail2Ban (das kenne ich eher von SSH-Anmeldeversuchen) oder einem kleinen iptables-Eintrag. Ich persönlich würde es direkt am Eintrittspunkt ins Netz machen (Meist die Firewall).

Grüße...
Max
Bitte warten ..
Mitglied: mtdnet
10.09.2012 um 10:07 Uhr
Zitat von jedi7650:
Kleiner Tip : setze einfach eine Route (je nach OS) z.B. 200.155.64.132 --> 127.0.0.1 oder ein anderes "sinnloses"
Ziel, dann kann diese IP (kannst auch das Subnetz adressieren) keinen "Schaden" anrichten. Professionelle Lösung
wäre direkt in der Firewall einen Eintrag machen oder wie angesprochen mit Fail2Ban (das kenne ich eher von
SSH-Anmeldeversuchen) oder einem kleinen iptables-Eintrag. Ich persönlich würde es direkt am Eintrittspunkt ins Netz
machen (Meist die Firewall).

Grüße...
Max

Das mit dem Ruten setzten wird nicht viel bringen das sich die "Angreifer" IP's meist ändern. (so meine Erfahrung)

Gruß
Mike
Bitte warten ..
Mitglied: jedi7650
10.09.2012 um 10:12 Uhr
Zitat von mtdnet:
> Zitat von jedi7650:
> ----
> Kleiner Tip : setze einfach eine Route (je nach OS) z.B. 200.155.64.132 --> 127.0.0.1 oder ein anderes
"sinnloses"
> Ziel, dann kann diese IP (kannst auch das Subnetz adressieren) keinen "Schaden" anrichten. Professionelle
Lösung
> wäre direkt in der Firewall einen Eintrag machen oder wie angesprochen mit Fail2Ban (das kenne ich eher von
> SSH-Anmeldeversuchen) oder einem kleinen iptables-Eintrag. Ich persönlich würde es direkt am Eintrittspunkt ins
Netz
> machen (Meist die Firewall).
>
> Grüße...
> Max


Da hast du komplett Recht - ich würde das auch niemandem empfehlen außer er beobachten den Zugriff von ständig der gleichen IP. Dann empfehle ich wohl eher, mal das Subnetz des lokalen Providers herauszufinden (Ripe.net zeigt dir das Netz inklusive Subnetz-Maske) und dieses zu sperren. Sowas haben wir mal mit chinesischen Netzen gemacht und Schwupps, weg war die aktuelle Spam-Welle
Das mit dem Ruten setzten wird nicht viel bringen das sich die "Angreifer" IP's meist ändern. (so meine
Erfahrung)

Gruß
Mike
Bitte warten ..
Mitglied: sky5000i
10.09.2012 um 14:58 Uhr
Das sind einträge von Bots die deine Seiten Spidern....
wenn du das nicht möchtest dann solltest du deine .htaccess umschreiben!

Bis dann Sky
Bitte warten ..
Mitglied: maretz
10.09.2012 um 15:01 Uhr
Zitat von sky5000i:
Das sind einträge von Bots die deine Seiten Spidern....
wenn du das nicht möchtest dann solltest du deine .htaccess umschreiben!

Bis dann Sky

Und jetzt erkläre mir mal welcher BOT auf einem IMAP "spidert" - und vor allem welcher POP3/IMAP-Server mit ner .htaccess was anfangen kann?!?
Bitte warten ..
Mitglied: Giovansimone
10.09.2012 um 15:48 Uhr
Ist doch ein Linus Server.

Quelle Einleitung
Bitte warten ..
Mitglied: viragomann
10.09.2012 um 17:18 Uhr
Stell dir mal die Frage, ob dein Mailserver überhaupt via POP oder IMAP oder generell aus Brasilien erreicht werden muss.

Ich habe für unseren Server diese Frage mit "nein" beantwortet und eine pfsense Firewall mit der pfBlocker-Extension vorgeschaltet. Damit lassen sich sämtliche IP-Netze jedes einzelnen Landes sperren. Oder man sperrt einfach eine Auswahl aus den "Top Spammers", denen auch Brasilien angehört.
Ähnliche Funktionen bieten wohl auch andere FW-Lösungen. Andernfalls kannst du immer noch einzelne Netze sperren, doch da ist o.g. Lösung mit Fail2Ban komfortabler.

Grüße
Bitte warten ..
Mitglied: maretz
10.09.2012 um 22:09 Uhr
Und was hat linux mit der ueberlegung zu tun das ipam/pop3 nix mit htaccess dateien anfangen koennen - da diese fuer webserver sind?
Bitte warten ..
Mitglied: jedi7650
11.09.2012 um 00:43 Uhr
@maretz: ich denke die botschaft ist angekommen^^
Bitte warten ..
Mitglied: schattenhacker
13.09.2012 um 12:03 Uhr
Hallo,

auf dem Server ist z.B. eine Seite, die der AIDS Forschung dient und weltweit aufrufbar sein sollte. Auch kann ich ja einem Kunden nicht vorschreiben, aus welchen Ländern er Emails erhalten darf und von wo nicht. Einer handelt mit Autos, einer hat Leute, die in der Welt umherfliegen und vom Flughafen mal ein Mail senden möchten.
Das Thema mit den sicheren Passwörtern ist ja alt, aber ich habe keinen Zugriff auf die PW´s der Kunden und deren intellektuellen Fähigkeiten, sich mal ein 8-stelliges zu merken.
Es ist ja kein Firmenserver, sondern einer mit Kunden.
Ich kann auch nicht in den Internetseiten rumpfuschen und deren htacess Dateien manipulieren, wenn es denn ginge...

HAbt Dank für Eure Tipps.
Bitte warten ..
Mitglied: Lochkartenstanzer
13.09.2012 um 12:08 Uhr
Zitat von schattenhacker:
Das Thema mit den sicheren Passwörtern ist ja alt, aber ich habe keinen Zugriff auf die PW´s der Kunden und deren
intellektuellen Fähigkeiten, sich mal ein 8-stelliges zu merken.

Dafür gibt es tools. Und sei es, daß man einfach eine paßwort-Tester drauf losläßt und sobald der Erfolg hat, man dem User sagt, er muß es ändern.

lsk
Bitte warten ..
Mitglied: schattenhacker
13.09.2012 um 12:44 Uhr
was es alles gibt........ Hast Du da genauere Infos?

Danke
Bitte warten ..
Mitglied: Lochkartenstanzer
13.09.2012, aktualisiert um 13:07 Uhr
Zitat von schattenhacker:
was es alles gibt........ Hast Du da genauere Infos?

Es gibt genügend Tools, die paßwörter wiederherstellen/erraten. Eine google-Suche führt da sehr schnell zum Ziel. Da diese tools Dual-Use-Güter sind, so ähnlich wie Uranstäbe, gibt es Forenregeln, die dieses Thema einschränken. Andere Foren sind da nicht ganz so restiktiv, die haben aber vielleicht mehr Geld um sich Anwälte zu leisten oder sind außerhalb der Jurisdiktion von DE. Daher kann ich Dich nur auf google verweisen.

lks
Bitte warten ..
Mitglied: Giovansimone
13.09.2012 um 18:36 Uhr
du schreibst ---> Es ist ja kein Firmenserver, sondern einer mit Kunden.
was ist es dann.

ich habe mir mal die mühe gemacht und habe die ip meinem firefox anvertraut. siehe da. ein recht ungesicherter apache webserver. ist sogar über ssh zu erreichen.

betreibst du zufälliger weise webmail auf diesem so unbekannten server?
Bitte warten ..
Mitglied: maretz
14.09.2012 um 11:17 Uhr
respekt - der tipp ist gut... Und jetzt überlege bitte mal was du machst wenn der Admin dich anruft und dir erklärt das er grade dein PW gehackt hat...

a) du bist froh und änderst das
b) du sche***t den erstmal völlig zusammen was der sich einbildet und gehst ggf. sogar vor Gericht damit

Nun - ich würde vermutlich zu b tendieren -> denn weisst DU ob die Person X nicht dasselbe PW für EBay, Online-Banking, Amazon usw. verwendet? D.h. der Admin hätte jetzt den Vollzugriff auf alle diese Konten - klasse!

Von daher: Respektabler Tipp um seinen Job schnell loszuwerden und derart viel Ärger mit dem Gesetz zu bekommen das man die nächsten Jahre auch gar nicht mehr überlegen muss wie man den Server schützt -> man hat nicht mehr die Option an einen Server zu kommen!
Bitte warten ..
Mitglied: Lochkartenstanzer
14.09.2012, aktualisiert um 11:43 Uhr
Zitat von maretz:
respekt - der tipp ist gut... Und jetzt überlege bitte mal was du machst wenn der Admin dich anruft und dir erklärt das
er grade dein PW gehackt hat...

Das ist falsch. Man macht das anders: Man hat eeine Betriebsvereinbarung und sagt den leuten, daß ein paßwortchecker läuft, und wenn die Ihre Paßwörter zu einfach wählen, der diese finden wird (schriftlich!) udn läßt die das auch abzeichenen. Und dann kan man anrufen udn sagen, daß der Paßwort-checker das Paßwort gefunden hat. Man kann das sogar so machen, daß keiner außer dem User das Paßwort erfährt.

a) du bist froh und änderst das

Ist dann die regel.

b) du sche***t den erstmal völlig zusammen was der sich einbildet und gehst ggf. sogar vor Gericht damit

Und fällt damit auf die Schnauze, wenn der Admin es richtig gemacht hat.


Nun - ich würde vermutlich zu b tendieren -> denn weisst DU ob die Person X nicht dasselbe PW für EBay,
Online-Banking, Amazon usw. verwendet? D.h. der Admin hätte jetzt den Vollzugriff auf alle diese Konten - klasse!

Dann ist der selber doof. Und wenn es eien Betriebsvereinbarung gibt (sollte es imerm geben), kann der sich aufregen soviel er will.

Von daher: Respektabler Tipp um seinen Job schnell loszuwerden und derart viel Ärger mit dem Gesetz zu bekommen das man die
nächsten Jahre auch gar nicht mehr überlegen muss wie man den Server schützt -> man hat nicht mehr die Option an
einen Server zu kommen!

Das passiert nur dann, wenn man seinen Job nicht richtig macht und die User nicht mit einbezieht.

lks

PS: Ich arbeite schon seit 18 Jahre in der IT-Security. Da habe ich schon manche Sachen erlebt.


Noch'n Nachtrag: OK, ich hätte das mit der Betriebsvereinbarung mit in den Tipp schreiben sollen. Aber ansonsten ist das eine Möglichkeit die User zu erziehen.
Bitte warten ..
Mitglied: maretz
14.09.2012 um 13:09 Uhr
Hmm - würde mich interessieren ob jemand diese BV unterzeichnet... Also wenn mir jemand eine BV vorlegt bei der ich dem Admin faktisch erlaube meine Passwörter zu hacken dann wäre das unterzeichnen vermutlich eher nicht meine erste überlegung...
Bitte warten ..
Mitglied: Lochkartenstanzer
14.09.2012 um 16:17 Uhr
das ist nichts anderesa, als wenn der Admin die leute darauf hinweist, keine Paßwörter unter die Tastatur zu kleben und auch sagt, daß er regelmäßig nachschauen wird, ob da was ist. Und derjenige, der ein paßwort drunterklebt, bekomtm halt einen Anschiß.

Und geuanso bekommen die Leute gesagt, was daß sie ein vernuünfties Paßwort zu wählen habenm, daß nciht so leicht zu erraten ist. Du kannst zwar die Systeme anweisen, daß sie mindestkriterien prüfen, aber die Idioten sind erfinderisch und generieren trotzdem leicht zu erratende Paßworte. Und wenn man eine Prüfalgehrythmus laufen läßt, der diese "einfachen" Paßwörter duchrcheckt, ist das durchaus legitim.

Man mu vorhder die leute natüclich schulen, wie sie sichere paßwörter generieren udn natürlich die Paßwörter im Betrieb nicht auch für andere Accounts verwendet werden sollten. Udn wenn die Leute so dämlch sind, für facebook die gleichen Paßwörter zu verwenden wie für Ihren VPN-zugang in die Frma, wird es höchste Zeit diesen Leuten auf die Finger zu hauen.

lks


PS: Bei vernünftig gewählten Paßwörtern wird i.d.R. gar nichts passieren. Die meisten Fälle die mir untergekommen sind, sind wirklich zu einfach gewählte Paßwörter, die Trotz komlexitätsanfoderungen" zu leicht durch Wörterbuchattacken zu finden waren. Und die sind dann wirklich eine Gefahr für die unetrnehmenssicherheit.
Bitte warten ..
Mitglied: Alchimedes
14.09.2012 um 16:44 Uhr
Zitat von maretz:
Hmm - würde mich interessieren ob jemand diese BV unterzeichnet...

hallo ,

wenn nicht, muessen Sie sich eine andere Firma suchen.

Solange klar ist was die Passwortrichtlinien angeht und die Benutzer
sich daran halten wird der Passwortchecker oder aehnliches
nichts knacken koennen.

Es geht ja darum die Mitarbeiter zu sensebelisieren..
Wenn die fuer Ihren Mailaccount nur Ihren Nachnamen als Passwort
benutzen und jede Welt darauf zugreifen kann, dann kann das fuer
das Unternehmen boese enden.

Gruss
Bitte warten ..
Mitglied: schattenhacker
17.09.2012 um 20:44 Uhr
Hallo,

ich hätte ja nicht gedacht, dass ich so eine Diskussion lostrete.
Ok was ich wollte: Ich habe eine IP, und statt denjenigen anzupingen ( was er gar nicht merkt ) im via ip eine Nachricht zukommen lassen.
Toll wäre ping ip "hör auf mich zu belatschern" -t

Grade versucht einer aus Russland mein Email zu hacken.

Gruß Jo
Bitte warten ..
Mitglied: jedi7650
17.09.2012 um 20:59 Uhr
mit "hör auf mich zu belatschern" wirst du jeden spam-bot in die flucht treiben... not
sperr einfach die IP - oder verbiete generell icmp von extern.

Gruß...
Max
Bitte warten ..
Mitglied: Alchimedes
17.09.2012 um 21:15 Uhr
Hallo,

icmp zu sperren bringt hier nichts.
Die Scan Tools fragen diverse Netzbereiche nach bestimmten Kriterien ab. Also z.B smpt... pop3 .. ssh ..
what ever.
Da der Mailserver auf smpt(oder pop3) Anfragen antwortet weiss der Angreifer das da ein Maildienst luebbt.
Jetzt muss er nur noch Userlisten und Passwortlisten auf den Server loslassen und irgendwann hat er einen Treffer.
Und schon gibt es eine Spambuechse mehr....

Was hilft:
Die Ip auf der Firewall sperren... fail2ban... den Provider anschreiben meisst irgend ein abuse@provider.ru

Dem Angreifer eine Nachricht via Ping zukommen lassen?? Da hilft wohl nur nen Botnetz und nen ping -f <attackerrechner>


Gruss
Bitte warten ..
Mitglied: schattenhacker
17.09.2012 um 21:22 Uhr
Hallo,

nein ich wollte auch keinem einen Liebesbrief schreiben, mein Vokabular könnte auch anders lauten, der hört dann schon auf.......
Aber illegale Sachen wollte ich nicht machen.
Bitte warten ..
Mitglied: jedi7650
17.09.2012 um 21:32 Uhr
Zitat von Alchimedes:
Hallo,

icmp zu sperren bringt hier nichts.
Die Scan Tools fragen diverse Netzbereiche nach bestimmten Kriterien ab. Also z.B smpt... pop3 .. ssh ..
what ever.
Da der Mailserver auf smpt(oder pop3) Anfragen antwortet weiss der Angreifer das da ein Maildienst luebbt.
Jetzt muss er nur noch Userlisten und Passwortlisten auf den Server loslassen und irgendwann hat er einen Treffer.
Und schon gibt es eine Spambuechse mehr....

Was hilft:
Die Ip auf der Firewall sperren... fail2ban... den Provider anschreiben meisst irgend ein abuse@provider.ru

Dem Angreifer eine Nachricht via Ping zukommen lassen?? Da hilft wohl nur nen Botnetz und nen ping -f <attackerrechner>


Gruss

Generell stimmt das, in seinem Fall ist es eh zu spät, da wird nur noch eine IP-Sperre helfen...
Bitte warten ..
Mitglied: Alchimedes
17.09.2012, aktualisiert um 22:51 Uhr
Zitat von schattenhacker:

nein ich wollte auch keinem einen Liebesbrief schreiben, mein Vokabular könnte auch anders lauten, der hört dann schon
auf.......


wieso nicht? ist vielleicht ne Superbraut aus Brasilien...
mit mega Ti.. ok ich hoer schon auf...

Wie Du am Anfang geschrieben hast ist es das typische Grundrauschen, leider fuehrt das immer wieder zum Erfolg.
Denn sonst wuerden die sowas nicht machen.

/OT {
@maretz "Und jetzt erkläre mir mal welcher BOT auf einem IMAP "spidert" - und vor allem welcher POP3/IMAP-Server mit ner .htaccess was anfangen kann?!? "

es gibt Bots(sripte) die genau das machen. Machst nur ein Script mit nmap das die Maildienste abfragst verpackst das in ein Script was dann loginversuche startet. Kein Hexenwerk selbst fuer Mausschubser gibt es Anleitungen.. ? } /OT

Wieder zurueck...
Loesung:
Du musst den (Mail)server abhaerten.
Wenn das ne z.B. eine Debian Buechse ist schaust Du hier:

http://www.debian.org/doc/manuals/securing-debian-howto/index.de.html#c ...

Und so eine Diskussion ist noetig damit einige mal auf den Prompt gebracht werden.

Gruss

Ergaenzung: Auf dem server von dem die Loginversuche gestartet wurden laueft nen Debian squeeze mit telnet !!


Starting Nmap 5.21 ( http://nmap.org ) at 2012-09-17 22:12 CEST
Nmap scan report for static.datacenter1.com.br (200.155.64.132)
Host is up (0.23s latency).
Not shown: 994 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.5p1 Debian 6+squeeze2 (protocol 2.0)
| ssh-hostkey: 1024 02:05:03:b3:01:60:93:b9:46:6a:5a:af:e6:96:a4:3a (DSA)
|_2048 21:4b:eb:8e:31:80:be:0f:d8:3f:69:8f:07:d8:3a:4f (RSA)
23/tcp filtered telnet
80/tcp open http Apache httpd 2.2.16 ((Debian))
|_html-title: Site doesn't have a title (text/html).
111/tcp open rpcbind
| rpcinfo:
| 100000 2 111/udp rpcbind
| 100003 2,3,4 2049/udp nfs
| 100005 1,2,3 35100/udp mountd
| 100021 1,3,4 43512/udp nlockmgr
| 100024 1 50308/udp status
| 100000 2 111/tcp rpcbind
| 100003 2,3,4 2049/tcp nfs
| 100005 1,2,3 42186/tcp mountd
| 100024 1 49290/tcp status
|_100021 1,3,4 60507/tcp nlockmgr
646/tcp filtered ldp
2049/tcp open rpcbind
Service Info: OS: Linux

und whois schmeisst uns folgendes raus:

% Copyright (c) Nic.br
% The use of the data below is only permitted as described in
% full by the terms of use (http://registro.br/termo/en.html),
% being prohibited its distribution, comercialization or
% reproduction, in particular, to use it for advertising or
% any similar purpose.
% 2012-09-17 17:41:27 (BRT -03:00)

inetnum: 200.155.64/20
aut-num: AS16397
abuse-c: ABC204
owner: Alog-02 Soluções de Tecnologia em Informática S.A.
ownerid: 003.672.254/0001-44
responsible: Area de Engenharia - Alog
country: BR
owner-c: AEC81
tech-c: GRC66
inetrev: 200.155.64/20
nserver: ns1.datacenter1.com.br
nsstat: 20120917 AA
nslastaa: 20120917
nserver: ns3.datacenter1.com.br
nsstat: 20120917 AA
nslastaa: 20120917
created: 20011018
changed: 20040917

nic-hdl-br: ABC204
person: Abuse @ comDominio
e-mail: abuse@comdominio.com.br
created: 20030625
changed: 20100715

nic-hdl-br: AEC81
person: Area de Engenharia - comDominio
e-mail: registro@alog.com.br
created: 20020909
changed: 20120626

nic-hdl-br: GRC66
person: Gerencia de Redes - comDominio
e-mail: suportesp@alog.com.br
created: 20020909
changed: 20071226

% Security and mail abuse issues should also be addressed to
% cert.br, http://www.cert.br/, respectivelly to cert@cert.br
% and mail-abuse@cert.br
%
% whois.registro.br accepts only direct match queries. Types
% of queries are: domain (.br), ticket, provider, ID, CIDR
% block, IP and ASN.


Hier hat nen Student/User aus Alog-02 Soluções de Tecnologia em Informática S.A. einen scan durchgefuehrt.

Also kannst Du Dich hier beschweren...


Gruss


P.S Telnet filtered ... das wollen wir doch mal sehen weil da koenntest Du Dich dann beschweren..

Gruss
Bitte warten ..
Mitglied: Lochkartenstanzer
18.09.2012 um 10:59 Uhr
Zitat von Alchimedes:
/OT {
@maretz "Und jetzt erkläre mir mal welcher BOT auf einem IMAP "spidert" - und vor allem welcher
POP3/IMAP-Server mit ner .htaccess was anfangen kann?!? "

es gibt Bots(sripte) die genau das machen. Machst nur ein Script mit nmap das die Maildienste abfragst verpackst das in ein Script
was dann loginversuche startet. Kein Hexenwerk selbst fuer Mausschubser gibt es Anleitungen.. ? } /OT

Wieder zurueck...

Die pöhsen Puben sind schon lange dabei, alle möglichen Ports zu "spidern" und Dabei sich in einer Datenbank zu merken, welche Software da hintendran lauscht, ggf sogar mit Version und Revision.

Sobald dann ein 0-day-exploit bekannt wird, sind die Gewehr bei Fuß und können innerhalb von Minuten tausende Maschinen kompromittieren.

lks
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Linux Desktop
Webseite aufgerufen - Linux gehackt (5)

Link von BirdyB zum Thema Linux Desktop ...

Erkennung und -Abwehr
Adult Friend Finder: 412 Milionen Accounts von Datingseite gehackt (3)

Link von Frank zum Thema Erkennung und -Abwehr ...

Viren und Trojaner
Philips Hue: Smarte Lampe per Drohne gehackt (1)

Link von magicteddy zum Thema Viren und Trojaner ...

Utilities
Teamviewer gehackt? (21)

Link von michi1983 zum Thema Utilities ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...