Hallo freunde,


kann mir jemand sagen, ob und wie gefährlich folgende denies meiner firewall sind? sorry, ich habe von soetwas wenig ahnung...


7778 hex-gw.teletext.co.uk unbekannt May 27 18:53:52
7778 h02206f0d5baf.ne.mediaone.net unbekannt May 27 18:54:04
7778 204.246.213.46 unbekannt May 27 18:54:06
7778 24.147.230.165 unbekannt May 27 18:54:06
111 209.247.88.12 sunrpc May 27 18:54:07
7838 195.149.21.72 unbekannt May 27 18:54:08
7778 24.219.86.232 unbekannt May 27 18:55:22
7778 24.219.86.232 unbekannt May 27 18:55:23
7778 203.166.43.110 unbekannt May 27 18:55:38
22 194-78-167-181.pro.turboline.skynet.be ssh May 27 18:55:40
7778 203.166.43.110 unbekannt May 27 18:55:40
22 194-78-167-181.pro.turboline.skynet.be ssh May 27 18:55:42
7778 62.104.217.5 unbekannt May 27 18:55:42
7778 64.211.5.98 unbekannt May 27 18:55:44
7778 64.211.5.98 unbekannt May 27 18:55:46
49159 144.85.4.134 unbekannt May 27 18:55:47
7778 64.214.70.6 unbekannt May 27 18:55:48
7778 64.214.70.6 unbekannt May 27 18:55:49
7778 216.160.211.198 unbekannt May 27 18:55:53
7778 216.160.211.198 unbekannt May 27 18:55:54
7778 209.144.192.62 unbekannt May 27 18:55:57
7778 12.124.245.90 unbekannt May 27 18:55:57
7778 209.144.192.62 unbekannt May 27 18:55:58
3301 c196204-c.elnsng1.mi.home.com unbekannt May 27 18:56:23
49194 000gra092.chartermi.net unbekannt May 27 18:56:24
49194 000gra092.chartermi.net unbekannt May 27 18:56:25
3301 24.179.170.233 unbekannt May 27 18:56:25
7788 12.108.13.253 unbekannt May 27 18:56:25
7788 12.108.13.253 unbekannt May 27 18:56:27
7778 204.126.8.150 unbekannt May 27 18:56:28
137 pc-62-31-240-146-gl.blueyonder.co.uk netbios-ns May 27 18:56:35
7778 24.215.31.202 unbekannt May 27 18:56:36
7778 24.215.31.202 unbekannt May 27 18:56:37
7778 65.6.159.63 unbekannt May 27 18:56:37
137 62.31.240.146 netbios-ns May 27 18:56:38
7778 c1541747-a.grapid1.mi.home.com unbekannt May 27 18:56:39
137 pc-62-31-240-146-gl.blueyonder.co.uk netbios-ns May 27 18:56:53
137 pc-62-31-240-146-gl.blueyonder.co.uk netbios-ns May 27 18:57:16
137 pc-62-31-240-146-gl.blueyonder.co.uk netbios-ns May 27 18:57:51
7704 gameserver2.ubcom.net unbekannt May 27 19:13:13
7704 gameserver2.ubcom.net unbekannt May 27 19:13:14
111 64.221.227.189 sunrpc May 27 19:21:01


alles was über die ports 7777 und 7778 läuft, dürften gameserver sein von unreal, soweit ok... aber wer versucht den bitteschön ssh, netbios, netbus und sunrpc auf meinem rechner? ist das normal?

ich habe meine firewall gerade zum ersten mal "angeschmissen" -- dachte ja, unter linux kann mir soviel nicht passieren, sind keine wichtigen daten drauf. jetzt bin ich mir aber nicht mehr so sicher!


danke, Tosk

[ 27. Mai 2001: Beitrag editiert von: Tosk ]

[ 27. Mai 2001: Beitrag editiert von: Tosk ]

ziemlich entscheidend ist, wann die zugriffe auftauchen (relativ zum zeitpunkt der einwahl)

hallo Ronny,

naja, ungefähr nach 1-2h ist die firewall nur noch am schreien... ist das nun gut? oder ist das schlecht?

was macht Ihr, wenn Ihr mit nebus oder trinity beworfen werdet? dem isp (hosts werden ja ausgegeben) anmailen? bringt das was?

seht mir bitte meine recht naiven fragen nach, aber ich war heute einigermassen überrascht über das ausmass... was machen denn leute, die windows-standard-installationen haben?

Tosk

hi Tosk!

solange kein effektiver Schaden entstanden ist, bringen Mails rein gar nichts, es besteht dann kein Strafbestand.. Und du musst das mal sorum sehen:
die Leute ohne Firewall, merken nicht mal was da ab geht, erst durch dein Firewall merkst du was du täglich an Angriffen/Portscans abbekommst!

Port 137-139 (netbios) ist relativ einfach zu erklären: Bei einer Windows-Standartinstallation wird der Microsoft-Client auch auf die DFÜ-Verbindungen gebunden, dann kann man übers Internet auf die Freigegebenen Daten zugreifen, ist das nicht nett? (und wenn man dann noch win9x/me hat, sogar gänzlich ohne password....)
netbus ist n trojaner, zu sunrpc kann ich nicht viel sagen...
geht halt alles nach dem prinzip hoffnung: wenn ich einen 255´er IP-Adressblock scanne, werden schon ein paar online sein und wiederum ein paar davon kann ich vielleicht etwas tun - windowsfreigabe, netbus, trojaner etc etc...
ich würd dir daher empfehlen nicht alle denies zu loggen, sonst wirds relativ schnell relativ viel - wie du bereits gemerkt hast ;)
ich würd zb die netbios-geschichten rausnehmen, die können deiner linuxkiste - bei richtig konfiguriertem samba in verbindung mit nem firewall - ja nix antun..

grüsse blackbird

bei 1-2h nach der einwahl halte ich es nicht mehr für zufall :(

rpc und netbios sind ja angriffspunkte, wundert mich aber, dass kein kompletter portscan auftaucht

ich würde mich da aber auch nicht aufregen

du könntest höchstens eine rechnung für die verbrauchte rechenleistung verschicken

wenn du dir die mühe machen willst, kannst du natürlich an die entsprechenden netzbetreiber eine mail schicken, aber obs was bringt?

hallo freunde,

vielen Dank für Eure antworten.
mir ist aber immer noch nicht ganz klar, wie das den nun funktioniert: egal wer welcher dienst versucht, meinen rechner zu beharken, er kann doch nur erfolgreich sein, wenn ich einen entsprechenden service anbiete, oder? also funktioniert doch auch trinity und netbus nur, wenn ich so ein teil schon auf meinem rechner hätte?

das mit den mails stelle ich mir so schwierig gar nicht vor: der host wird ja aufgelöst, dann kann man doch per skript beim anschlagen von bekannten boshaften diensten einfach 'n mail an admin@isp senden... ich denke, die größeren isp (aol, t-online) wird das schon kümmern, selbst wenn kein schaden entstanden ist.

so mache ich den bösen buben mehr mühe, als sie mir. mag sich vielleicht kindisch anhören: aber ich finde solche scans als sehr unhöflich, deswegen war ich auch gestern einigermassen erschrocken, in welchem ausmass das abläuft.

da ich nun merke, dass ich diesbezüglich etwas nachholebedarf habe, kann mir jemand ein paar links geben, wo es um solche themen wie angriffsarten, trojaner und netzdienste geht? dankeschön!

Tosk

hi Tosk,
also ein paar links sind z.B.
http://packetstorm.securify.com http://www.linuxsecurity.com http://www.securityfocus.com http://www.computec.ch

und viele, viele mehr ;)
Ich finde man sollte solche Angriffsversuche, was sie nunmal ja darstellen, schon dem ISP anzeigen.
Man sollte sich nicht einfach alles gefallen lassen und ausserdem macht es ja keine arbeit ein script zu schreiben, der diese mails verschickt. Aber das hast du ja auch schon gesagt. Ich handhabe das auch so und ich denke das diese Script Kiddies nicht den plan haben was da überhaupt geht. Doch falls Sie mal ne nette mail bekommen von ihrem ISP fällt ihnen evtl. mal auf das das doch irgendwie bemerkt wird.

@blackbird
das sowas nichts bringt kann und werde ich nicht glauben, aber jedem das seine ;)
Die ISP müssen diesen mails nachgehen, man sollte aber den log mitschicken, wohl klar.
dann passiert da auch was. Naja Aussnahmen bestätigen die Regel ;)

Gruss
Boris

Ich sehe das anders...
Ein Portscan schaut nur nach welche Ports offen sind.
Hat mal jemand damit verglichen, das jemand auf der Straße guckt ob Autos zugeschlossen sind indem er alle Türöffner betätigt.
Allein von der Masse der Angriffe her würde ich sagen: loglevel der Firewall runterschrauben und gut.

Die Großen bezahl-mechanismen im internet sind ja mengenbasiert... es zahlt also jener der den Portscan durchführt, Du kannst die kiste konfigurieren nichts zurückzuschicken. Könnt also der jeweilige Provider/Uni oder so ein Interesse haben Scans zu verhindern.

Aber mit einer mail als antwort auf jeden Scan... das wird zu viel.

hallo boris,

danke für die links, werde gleich mal schauen...

hallo gobal C,

also den vergleich mit den nicht abgeschlossenen autos finde ich gut, nur ziehe ich einen vollkommen anderen schluss: mir würde es auch nicht gefallen, wenn jemand in mein auto geht, nur weil es offen ist!
und die mails machen doch nun keine mühe nicht ;o), die paar bytes passen doch noch durch, wenn ich online bin...

werde mal sehen, was ich tun kann...
danke erstmal allen, die geholfen haben!

Tosk

noch eine letzte frage bitte...

jedem wird, wenn er denn linux benutzt, sofort eingetrichtert: "geh' nicht als root ins internet" -- irgendwie ist das auch einleuchtend, denn wenn jemand root ist, darf er alles...

aber so richtig klar ist es mir doch nicht: wenn ich als root eingelogt bin, welchen vorteil genau hat dann ein angreifer von aussen? müsste er nicht doch erst das root-passwort herausbekommen?

und was kann er als root, was er mit meinem tosk-account und su(do) nicht auch kann? kann mir vielleicht jemand ein praktisches oder theoretisches bsp. dazu geben?

dankeschön für die mühe!
Tosk

;) der in den letzten beiden tagen eine menge dazugelernt hat ;)

hi
@boris: das mit dem benachrichtigen des isp´s kannst du zu 99% abhacken.
egal welcher isp, denen ist das doch egal, ob die kunden gehackt oder gescannt werden.

im übrigen ist für mich der portscann schon ein anfang für einen versuch in das system einzudringen. ob es gelingt ist was anderes.
aber auch der versuch ist ja schon strafbar!

aber mit den isp´s habe ich auch schon so einige erfahrungen gemacht.

man hat in den letzten jahren drei mal versucht in meinen firmenrechner einzudringen, was glücklicherweise nicht gelang.

als ich das bei durchsehen der logs feststellte habe ich auch die isp´s benachrichtigt. ABER ohne erfolg.
die haben nur gesagt "sein sie doch froh das der einbruchsversuch misslang"
und weiter haben die auch noch gemeint "das ich mich nicht so aufregen soll, schliesslich ist ja nichts passiert, und das das nur anfänger gewesen sein sollen."

das habe ich aber den logs anders entnommen.
erst ein scann und dann gezielt auf die ports gehackt.
glücklicherweise habe ich meine FW so eingestellt das alle pings, dos attacken, scanns, tracees, und ping of death gnadenlos geschluckt werden. das verursacht zwar manchmal ein megariesen log aber ich habe eine bessere übersicht.

cu

@Tosk
Also im Grunde geht ein Angreifer wohl wie folgt vor. zumindestens habe ich das aus einigen vorträgen herausgefiltert. evtl. habe ich das ja auch falsch verstanden ;)

Klar ist wohl, es kommt auf die dienste an die bei dir laufen.
Angenommen ein Apache hat in deinem System die Zelte aufgeschlagen und codest munter CGI's achtest aber nicht auf die Sicherheit.
Dann könnte ein Attacker da ansetzen, ob z.B. deine CGI Script ein Format Bug hat. also z.B. gibt es ein finger.cgi der dir die user auf dem server anzeigt, dort wurde aber ein bug gefunden d.h. man kann z.B. erste den suchbefehl eingeben und dann eine anweisung dahintergehänen z.B: tosk; id
es wurde erst "finger tosk@blabla" ausgeführt und dann id.
Nun weist du unter welchem user der apache läuft, aber schlimmer ist das du alle befehle mit dessen id ausführen kannst. Nur noch eine Frage der Zeit bis der Angreiffer local zugang beschafft und da viel einfach alles installieren was so auf den cd's rumliegt ist es nur eine frage der Zeit bis er sich ein local exploit sucht z.B. mit
find / -perm +4000 also alle suid progs.
dafür gibt es dann progs die diese suid progs exploiten und schwups ist er root.
deswegen verbieten viele Web anbieter CGI's.
Ich habe irgendwo mal gelesen, das es "Hacker" gerade auf CGI's abgesehen haben.

Und wenn du mal dir die links anschaust die ich dir gesagt habe. Da findest du ja die neusten exploits ob remote oder local.

Es gibt sehr viele angriffspunkte, man muss sie nur kenne damit man sie auch kontrollieren kann.

@Sven_R
Klar. Man kann auch rumsitzen und zugucken, aber ich denke wenn man es mal anzeigt und es dann noch häufiger vorkommt, dann passiert evtl. auch mal was. ICh habe auch schon negative erfahrungen gemacht, aber auch positive. Aber wahr ist auch das es einfach leute gibt die kein plan haben und einfach mal welche progs an anderen systemen ausprobieren wollen. Leider ist das so.

Boris

hallo Boris,

das denke ich, soweit zu verstanden zu haben. da ich generell mein system von einer minimal-distribution aus selbst und eigenhändig aufbaue, sollte ich auch nichts compromitierendes am laufen haben.

aber die frage, warum surfen als root nun gefährlicher ist, als surfen als tosk, die habe ich immer noch...

zur erinnerung: root+passwort1 = tosk+passwort2 + su(do)+passwort1, oder? nur glaube ich kaum, dass ernsthaft jemand kein su(do) auf dem rechner installiert hat, wie soll man den sonst arbeiten?

Tosk

aso...hab ich erst falsch verstanden..
hm..also wenn du als root surfst und
z.B. jemand nen bösen Trojaner oder virus für Linux gecodet hat..dann hat dieser natürlich andere ausmasse als wenn du den mit nem normalen user ausführst...weil andere rechte, aber das wird dir wohl klar sein. wenn dieses böse programm dann noch so gecodet ist das es viele sachen ausprobiert könnte sich der attacker easy ne backdoor einbauen die direkt zu root führt..da er ja auf ALLE datein zugreifen kann , da du ja als root dieses prog ausgeführt hast...naja und als tosk user ist der schaden viel viel kleiner evtl. löscht es dein home immerhin besser als kompl /
ich hoffe ich lag nicht nochmal falsch ;)

Boris

jo, schon soweit alles klar,

aber wer es schafft meinen root-account zu knacken, der schafft es doch auch, meinen tosk-account zu stürmen und dann su(do) auszuführen... und das ist doch dann das gleiche, wie wenn ich gleich root bin...

Tosk

z.b. könnte dein browser einen bug haben, und dieser bug liefe dann als root, das wäre doch blöd

das jemand dein passwort rauskriegt (wenn es einigermaßen gut ist) ist sehr unwahrscheinlich, aber er braucht es auch gar nicht
starte als root möglichst nie programme, die verbindungen mit der außenwelt aufbauen

das bedeutet nicht, dass du nicht als root randarfst nur weil du online bist

start-adsl geht aber nur als root ! was tun ?

hallo Ronny,

danke vielmals, ich denke jetzt habe ich's ;o)

Tosk

vielleicht hätte ich schreiben sollen, keine verbindung im layer >= ip, alles was drunter ist (ppp etc) ist eher wurscht, solange man der gegenseite vertraut ;))
aber um ehrlich zu sein: bei solchen niedrig angesiedelten protokollen blicke ich gar nicht mehr durch