Hallo Board,

hatte heute mal wieder so einen... nennen wir ihn Spinner, der sich an meinem schönen Debianserver versucht hat. Im Sekundentakt versuchte da jemand auf Port 34444 zuzugreifen und verewigte sich im Log meiner Firewall. :D

Habe dem Treiben eine Weile amüsiert zugeschaut. Wurde jedoch bald langweilig, keine Port oder IP-Variationen, habe dem Ganzen dann mit einem iptables -I INPUT -s Spinners_IP -j REJECT ein Ende gesetzt.

Jetzt wollte ich mal gerne wissen, wie ihr mit sowas umgeht. Lasst ihr sowas gleich automatisch rauswerfen, schießt ihr zurück oder bekommt ihr dabei nicht mal mehr 'nen Logeintrag?

Würde ja gerne eine Hallo zurücksenden, da die IP aber falsch ist (mein Spinner gibt vor ein Webserver für eine Linuxseite zu sein :ugly: ),wohl kaum sinnvoll. Außerdem, was soll ich dem Guten denn schon schreiben. ;)

Also, wie handhabt ihr sowas?

eMail an den Besitzer des Subnetzes, aus dem Spinner kam?

'cuda

Im Hinblick auf die 1E+09 Spinner, die glauben, einen Rootserver ohne jede grundlegende Kenntnis betreiben zu können und nach Einblicknahme in mein Spamverzeichnis empfehle ich die Weitergabe der IP an die StA und nach Ermittlung des Inhabers eine zivilrechtliche Inanspruchnahme/kostenpflichtige Abmahnung. Lernen durch Schmerzen...


Kreol

Mail an den Provider sofern die Whoisabfrage etwas sinnvolles ergibt und das ganze nicht aus Asien kommt.

Bei Portscans mache ich nichts. Wenn sich jemand an meinem SSH Daemon versucht und er aus Deutschland kommt, rufe ich beim Provider an. Das habe ich bisher zwei mal gemacht.

Rechtliche Schritte sind in diesem Fall problematisch, da §303b StGB sich nur auf gewerbliche Anlagen bezieht und nicht auf private.

Es stellt sich natürlich auch die Frage, ob die eigene Zeit und Nerven nicht zu kostbar sind, um sich mit sowas rumzuärgern.

Wieso passiert so etwas eigentlich so häufig? Mein Router wird mit Portscans zugemüllt. Viele "Angreifer" befinden sich sogar im selben /16er-Netz. Sind also beim selben Provider. Häufig habe ich auch IPs aus Asien in den Logs. Wieso tut niemand etwas dagegenen? Ich vermute mal, dass die Systeme in Asien meist gecrackt wurden und dann missbraucht werden. Stört das die Eigentümer nicht?

Ne, grad die Asiaten suchen nach Opfern... (imo)

Wieso tut niemand etwas dagegenen?

Die Straße entlang gehen und probieren ob eine Autotür offen ist, ist auch nicht strafbar. Erst danach wird es interessant.

Die Straße entlang gehen und probieren ob eine Autotür offen ist, ist auch nicht strafbar. Erst danach wird es interessant.

Das ist richtig, aber im Falle massiver Portscans kann ja u.U. der Rechner enorm verlangsamt werden. Als Nicht-Jurist frage ich mich, ob es in diesem Falle nicht vielleicht doch strafrechtlich interessant wird?
Sicherlich eine Grauzone, oder habt ihr da einige Erkenntnisse?

Ein Wort zu dem Mail an den/die Provider. In meinem Falle war der Nervtöter angeblich der Webserver einer Linuxseite. Falls dieser jetzt nicht seinen Rechner total falsch konfiguriert hat und deshalb für diese "Anfragen" verwantwortlich ist, so hat er ja nicht viel mit dem Scan zu tun, oder? Hättet ihr also an webmaster@die_linuxseite.de eine Mail geschickt oder wohin?
Oder wie kann man mehr Informationen über den Störenfried rausbekommen, wenn in den Logs nur die gefälschte (?) IP steht?

Normalerweise verwendet man abuse@domain.tld dafür; Um welche Seite handelt es sich denn? Ist die bekannt?

Oder wie kann man mehr Informationen über den Störenfried rausbekommen, wenn in den Logs nur die gefälschte (?) IP steht?

Wie ist im Internet sowas überhaupt möglich? In einem Layer2-Ethernet sicherlich kein Problem, jedoch im Internet mit den ganzen Routern!?

Normalerweise verwendet man abuse@domain.tld dafür; Um welche Seite handelt es sich denn? Ist die bekannt?

Scheint eine relativ neue Seite zu sein, vielleicht hatte der Admin dahinter auch "nur" eine mistige Konfiguration, sodass ich wirklich sekündlich (!!) eine Anfrage bekommen habe. Inzwischen ist von dieser Seite Ruhe, jetzt kommen bloß mehr die inzwischen ja schon als normal anzusehenden, permanenten Scans von verschiedenen IPs auf einige meiner Ports.

Das mit dem Anschreiben werde ich mir merken, danke für die Adresse. Ganz klar ist mir aber noch nicht, falls das eine gefakte IP ist, dann wird mir der Besitzer der Adresse doch auch nicht viel weiterhelfen können, oder?

Blöde Frage zwischen rein ...
Wie merkt ihr das eigentlich? Würde ich auf einem wichtigen Root evtl. eher tun, aber ich muss zugeben, dass ich bei meinem "Heimserver" (auf dem einige Dienste laufen, die ich ab u. an in der Schule oder sonst wo brauche) so gut wie nie in die Logs schaue.

Lasst ihr da einfach immer ein root-tail oder ähnliches laufen?

Ich bekomme Auszüge aus den Logs per E-Mail.

Ich habe mir ein Skript geschrieben, dass mir wichtige Dinge "grept".

Das Programm logcheck ;)

Zudem sollte man halt auch "ab und an" mal in die Logs schauen. :)

Ich muss zu meiner Schande gestehen das ich bisher keine Probleme mit Scans oder Attacken habe. Ich halte mein Paketfilterskript aber auch fuer ganz gelungen. ;)

Der Thread ist aber trotzdem sehr interessant - viele interessante Anregungen und Hinweise.

Ich habe bei mir auch logcheck mit der -p Option und um mir sonstigen lästigen Kinderkram vom Hals zu halten noch fail2ban für ssh.