(Gelöst) Wie finde ich heraus, wer in mein System einbrechen wollte?

Status
Für weitere Antworten geschlossen.

DerGrosseBaer

New Member
Ab und zu, so alle paar Tage, finde ich in /var/log/messages einen Eintrag wie diesen:

May 8 09:56:05 myserver IN=ppp0 OUT= MAC= SRC=xxx.xxx.xxx.xxx DST=yyy.yyy.yyy.yyy LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=6819 PROTO=TCP SPT=3047 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0
Wie kann ich herausfinden, wer in mein System einbrechen wollte bzw. von wo der Eindringling kam? Welche Tools verwendet ihr in so einem Fall?

mfg,
DGB
 

Rain_Maker

Administrator
Teammitglied
AW: Wie finde ich heraus, wer in mein System einbrechen wollte?

Also ich verwende bei solchen "Angriffen" Baldrian und Kamillentee, das beruhigt.

Das sieht nach einer ganz normalen, gedroppten Anfrage auf Port 22 aus, was zugegebenermassen theoretisch ein Angriff sein *könnte*.

Läuft bei Dir überhaupt ein SSH-Server? Wenn Nein, dann "Wo nichts läuft ist auch nichts zu holen". Die Firewall hat die Anfrage gedroppt, wenn ich das richtig sehe. Es gibt einige Scriptkiddies, die nach verwundbaren Servern suchen und wild durch die Gegend scannen und da diese meist keine Ahnung haben, was sie tun, ist ein sauber konfigurierter Rechner kein lohnendes Ziel und fertig.

Wenn Du unbedingt dem "bösen Hacker" auf die Spur kommen willst, dann solltest Du zuerst nachsehen, ob dieser Eintrag z.B. zig male nacheinander innerhalb kürzester Zeit auftaucht, ansonsten würde ich hier nicht in Paranoia ausbrechen, denn ein "Angreifer", der nur einmal nachfragt und nach einem "NEIN" vom Server einfach verschwindet stellt wohl keine ernsthafte Gefahr dar.

Ansonsten gilt, immer zeitnahe Sicherheits-Patches einspielen, sichere Passwörter verwenden, das Übliche eben.


Greetz,


RM
 

Basti

New Member
AW: Wie finde ich heraus, wer in mein System einbrechen wollte?

Hi,

du suchst n IDS such mal im Netz, nennt sich Snort ;)


Greez Basti
 

DerGrosseBaer

New Member
AW: Wie finde ich heraus, wer in mein System einbrechen wollte?

Danke für die bisherigen Antworten. Panik bricht keine aus, denn

1. ist sshd so konfiguriert, daß nur Public Key Authentifizierung möglich ist
2. ist sshd so konfiguriert, daß es nur im internen Netz lauscht
3. läßt die Firewall keinen Verbindungsaufbau von außen zu

Ich hab auch nicht vor, gegen irgendwelche Script Kiddies vorzugehen.

Mich interessiert prinzipiell die Vorgangsweise, wie man einem Angreifer nachspürt. Wie verfolgt man jemand im Internet? In den diversen Büchern zu diesem Thema ist das ja immer toll beschrieben, wie sie den Angreifer von System zu System verfolgt haben, aber wie genau das gemacht wurde, steht nie drinnen.
 

Rain_Maker

Administrator
Teammitglied
AW: Wie finde ich heraus, wer in mein System einbrechen wollte?

DerGrosseBaer schrieb:
Danke für die bisherigen Antworten. Panik bricht keine aus, denn

1. ist sshd so konfiguriert, daß nur Public Key Authentifizierung möglich ist
2. ist sshd so konfiguriert, daß es nur im internen Netz lauscht
3. läßt die Firewall keinen Verbindungsaufbau von außen zu
Thumbs up, gute Konfiguration.

Ich hab auch nicht vor, gegen irgendwelche Script Kiddies vorzugehen.
Jupp, die sind die Mühe auch meist nicht wert, weil die null Ahnung haben und bei guter Konfiguration (siehe oben) sich eher "lohnendere" Ziele, wie den nächsten ungepatchten *Ich_schreib_jetzt_kein_OS_hin_ihr_könnts_euch_ja_denken*-PC suchen und den dann "hacken".

Mich interessiert prinzipiell die Vorgangsweise, wie man einem Angreifer nachspürt. Wie verfolgt man jemand im Internet? In den diversen Büchern zu diesem Thema ist das ja immer toll beschrieben, wie sie den Angreifer von System zu System verfolgt haben, aber wie genau das gemacht wurde, steht nie drinnen.
Nun ja, da gibt es wohl 2 Möglichkeiten.

Entweder man verwendet die Standard-Tools wie Traceroute&Co oder die Experten haben irgendwelche Experten-Tools, die sie nicht so einfach verraten wollen, sonst würden sie diese in die Berichte reinschreiben, oder?

Eine nette Site, die ein paar Standard-Tools zum Ausprobieren enthält ist:

www.dnsstuff.com

Greetz,

RM
 

DerGrosseBaer

New Member
AW: Wie finde ich heraus, wer in mein System einbrechen wollte?

Rain_Maker schrieb:
Nun ja, da gibt es wohl 2 Möglichkeiten.
Entweder man verwendet die Standard-Tools wie Traceroute&Co oder die Experten haben irgendwelche Experten-Tools, die sie nicht so einfach verraten wollen, sonst würden sie diese in die Berichte reinschreiben, oder?
Eine nette Site, die ein paar Standard-Tools zum Ausprobieren enthält ist:
www.dnsstuff.com
Danke für den Link.

Ich hab auch einen Hinweis auf whois bekommen. Das hab ich mir installiert, und konnte damit auch schon die Infos der Systeme abrufen, von denen der Einbruchsversuch kam.

Ist doch nett zu wissen, daß man sich an einen ISP-Admin wenden kann, wenn mal jemand zu aufdringlich wird. ;)
 

Rain_Maker

Administrator
Teammitglied
AW: Wie finde ich heraus, wer in mein System einbrechen wollte?

DerGrosseBaer schrieb:
Ist doch nett zu wissen, daß man sich an einen ISP-Admin wenden kann, wenn mal jemand zu aufdringlich wird. ;)
Jupp, das ist auch der Sinn der Sache ;).

Damit ist die Sache wohl erstmal erledigt.

-----> closed.

Greetz,

RM

(Im Zweifelsfalle, PN an mich, denke aber das Thema ist erledigt).
 
Status
Für weitere Antworten geschlossen.
Oben