hallo zusammen,

ich habe ein riesenproblem, ich werde seit tagen und nächten gespooft,
ich habe noch nicht so viel ahnung in linux,
aber mit ping un mit einem sniffer (sniffit) hatte ich ihn dann den
datenverkehr gestört, dann war ich der stärkere, er setzt etwa 4-5 protokolle ein und nur 1-2 kommen durch, und bei incoming steht nur 1/250 von der allgemeinen kommenden bytes, also habe ich ihn doch durcheinandergebracht, oder ? ich habe mit ping und ip auf ihn gesendet, wenn ich richtig annehme ?

sorry wenns nicht profimässig geschildert ist,
die IP von dem Kerl ist 225.0.1.50

aber die kann mann nicht anzapfen richtig zum verteiudigen

wer kann mir helfen ? ich hacke nicht, ich will nur surfen, aber jemand
will mir immer schaden.

vielen dank

expplosiver

merci :-) hoffe auf eine ganz ganz schnelle antwort

noch was, ich habe etwa 5 ports nur closed, macht das was ?
bei www.sysgatetech.com kann man sich scannen lassen zur info..
da zeigte es schon gut an, doch bei ein paar gewissen portscan fiel ich durch.

danke

dies ist kein scherz. ist wirklich wahr !!!
Danke!
MFG
Danny

Hi

Hier kannst du nach dem Besitzer der IP fragen. Wenn die nem grossen ISP gehört, kannst du ja Nachvorschungen anstellen welcher Kunde von denen zu welcher Uhrzeit die besagte IP hatte und schon hast du deinen Angreiffer. Was du dann machs, anklagen, etc. ist dann dir überlassen.

Link:
http://www.ripe.net/ripencc/pub-services/db/whois/whois.html

Cu

die IP von dem Kerl ist 225.0.1.50

RIPE wird da nicht helfen, denn das ist eine Multicast Adresse. Versuchs mal bei IANA: http://www.iana.org

kann mir vielleichtjemand genau erklären wie
ich meine daten verschlüssele mit ssh oder sssh ?????

wäre sehr nett wenn mir jemand helfen wpürde,
bei spoofing erreicht er so nämlich nichts.

und noch eine frage, bringt das was wenn ich ihmmit ping
datenmüll zusende und er danach immer wieder nach der reihe die gleichen
nummern ?( ports ?) absnifft ??? denn dann kommen immer wieder die gleichen meldungenbeim netzewrküberwachung, also er scannt immer wieder sie selber einzelnen stellen ab anstatt immer eins mehr nur so 8 zufällige nud das wiederholend, sooooooooo komisch, ich weiss.

ich habe mit ping und echo auf seine ip müll geleitet,
doch plkötzlich sah ich im ipmonitor dass ich reset wurde und plötzlich war unter switch w jemand eingeloggt, ich hatte dann das modem abgeschalten.

was soll ich jetzt noch tun ?
habe jetzt eine neuinstallation gemacht mit alles extrem langen pwsund komplizierten..hoffe das nützt

nützt das auch was wenn ich einen eigenen user einrichte namens internet und demm gar keine rechte gebe ausser surfen ???

schliesslich erbt der hacker meine rechte ????


wer weiss antwort auf so karge fragen ?

vielen danke für eure Hilfe..danke

gruss an alli in deutschland, oesterrich und schweiz und usa

Da war jemand eingeloggt und du weisst nicht wer? uiuiui..

Prüf mal ob du ein rootkit drauf hast, das würd ich als erstes tun. In den messages steht auch ne Menge drin.

Grüsse, Stefan

Er hat doch schon neu installiert, wird also schwer sein nach einem Rootkit ausschau zu halten.

@explosiver:

Installier Dir alle Security Updates Deiner Distribution!

Ich würde dir empfehlen: lass die Finger von solchen "Gegen-Attacken". Du solltest dabei beachten, dass du dich dabei Strafbar machst. Zudem woher weisst du denn, dass du mit deinen Angriffen auch die richtige PErson triffst?

Da du dein System bereits wieder neu aufgespielt hast, schließe ich mich der Meinung von Jorge an: Spiel alle Sicherheitsupdates ein (und deaktiviere auch gleich noch alle Dienste, dei du nicht benötigst).

redet ihr eigendlich von nem serversystem oder was ?
ich mein, wenns ne workstation is, kann mensch die doch zu machen...?!


:cool:

danke für die vielen Beiträge,

ich hab mir den HUNT sniffer für linux runtergeladen,
jetzt kann ich mich hoffentlich wehren.

http://lin.fsid.cvut.cz/~kra/index.html#HUNT

hier habe ich ihn runtergeladen...

ich hoffe ich kann damit

es steht dabei, es bietet die möglichkeit aktive sitzungen zu übernehmen,
na ja, ich hab jetzt ca 45 tools mit anti-hackern tools...

werde wohl nicht drumrum kommen am tag immer noch viel zu lernen...:-(

danke

aber meine Frage, wie ich in den verschlüsselten Modus komme..
weiss das jetzt jemand und wie das geht ?

und ja ich hab ein paar offene ports, aberwie filtere und schliesse
ich die ?

bzw. wie stelle ich die firewall richtig ein ?
ich habe die personal-firewall

danke

ehrlch, ic würde nicht solch grosse beiträge schreiben ,
aber ich hoffe ihr versteht dass ich doch nur angst habe,
na ja. mein pc hatt nichts zu verbergen,
aberich habe angst dass plötzlicvh gar nichts mehr geht, füt immer...
und geld für einen neuen pc, nur weil das bios am arsch ist, hab ich nicht, oder wer weiss einfach eienen rat ?

wie kann ich mit dem Programm Sniffit 3.0.5 ??? die daten abfangen ???

danke

danny

:ugly:

hallo

so wie ich vermute hat er meine schnittstelle in den Promiscuous modus
versetzt, so kann er doch alles was abgeht mithören.

und er benutzt das TCP und UDP protokoll, das udp ist aber nicht so zuverläössig habe ich gelesen.

kannich Ihm nicht auf seine IP adresse, bzw einfachaus meinem anschluss

einfach datenmüll senden ??

bzw eine riesendatei in c den ganzen text die ganze zeit senden
und das fortlaufend, dann kann er nichts damit anfangen,oder
liegeich da falsch ?

sorry wenn ichnicht so begabt bin wie ihr...aber daskommt noch...:-)

danke fürs lesen und die viele Hilfe

Danny

Hallo Explosiver,

1. installier dir schnellstens chkrootkit !
2. setz dir ne firewall auf! netfilter.samba.org
3. geh offline...und wenn 1. und 2. fertig ist geh wieder online.
4. Lern zum besseren Verständnis erstmal ein paar TCP/IP Grundlagen und Grundlagen über Netzwerke. ;)

Du solltest erstmal ein paar mehr Infos rausrücken. Auf welchen Ports hast du Verbindungen zu besagtem "Angreifer"?

Kind regards,
Marko

Ähm, was wirst du gespooft????
Was versteht man denn unter spoofing???
Ich mein, wenn du gespooft wirst solltest du mal wissen was das ist, oder?
Sagt man überhaupts gespooft?
Redest du eigentlich von nem Client oder nem Server (deine Maschine???)



noch was, ich habe etwa 5 ports nur closed, macht das was ?
bei www.sysgatetech.com kann man sich scannen lassen zur info..
da zeigte es schon gut an, doch bei ein paar gewissen portscan fiel ich durch.


Du hast nur 5 Ports geschlossen??? Von ca. 65 000 ???

Ähm, nochmal den Artikel durchgelesen: Du gehst mit Modem online - dann nehm ich doch mal an, das du eine Dynamische IP Adresse hast. Sie verändert sich bei jedem logon -> also wird es erstmal schwer dich zu finden. Modem, hmm wohl ein Client oder? Na denn mach doch alle Remote Dienste dicht und fertig ist die laube.
Ach ja, wenn du mit "w" auflistest wer eingelogt ist dann sieht man auch woher der eingeloggte kommt.

UDP ist nicht so gut, hab ich gelesen. Hmm, es ist ein verbindungsloses Protokoll - da könnte man natürlich unter Umständen sagen, das das nicht so gut ist, aber es hat alles seine Vor und Nachteile.


Gruß Temp

nein ich habe die meisten closed, und ein paar blocked,
aber reicht das aus ?


bis jetzt hatte es ja mal jemand geschafft. also sicher ist es nicht.,

wer will kann ein html format bild meiner portshaben um mir weiterzuhelfen, dem wäre ich sehr dankbar.

danke

Danny

next

ja kannst Du mir helfen, diese dicht zu machen?


sorry, aber ich bin eben immer noch am lernen, und einmal muss
man anfangen, und soo weit wie bei offenen Ports und so bin ich bald,
aber noch nicht.

bitte entschuldigung meine inakkuratheit.

danke

also bitte sage mir doch wie ich die remote zugriffe per telnet und andere dicht mache ? ich will nr surfen, mehr nicht.,
später wenn ich mehr gelenrt habe, kann ich immer noch weiterfahren.

vielen dank
ich habe probiert mit dem obigen befehl die ports dicht zu machen
doch die befehlssyntax stimmte nicht ganz ...?

oder ich ?

*s*

Danny

Was für eine Distribution verwendest du überhaupt ?


Greetings Zaphod-B

Hmmm, glaub mal das er SuSE benutzt, hat mal was von personal FW gelabert.

Da kannste im Inetd /etc/inetd.conf schonmal Rlogin und Telnet deaktivieren (auskommentieren mit #) dann fehlt eigentlich nur noch SSH hmm, nur wo man das deaktiviert weiß ich im Moment nicht ;) Jemand anderst grad parat?


Gruß Temp

Also wenn er SuSE verwendet (vor Version 8):
Yast1/Administration/Konfigurations Datei verändern/start sshd => auf no setzen

Bei SuSE 8.0
Runlevel-Editor aufrufen und sshd deaktivieren.

also irgendwie ist das, was du hier erzählst, ziemlich wirr....
wenn dich jemand mit einer gespooften ip angreift, dann schlag um gotteswillen nicht zurück - sonst hast DU evtl. ärger am hals. und was willst du mit einem sniffer bewerkstelligen ? ihn abschiessen ? *fg*
dein gegner kann deine netzwerkkarte nur in den promiscous mode versetzen, wenn er bei dir local einen root-zugang hat - ansonsten bist du es evtl. selber, wenn du deine "ultimativ-abwehr-sniff-tools" startest :D

nachdem, was du hier schreibst, glaube ich, du weisst nicht so recht, was du tust.

wenn an deiner story was dran ist, dann trenn die kiste vom netz und bügel sie komplett - sichere vorher deine logs und z.b. deine conf-dateien. und bevor du wieder online gehst, spiele alle security-patches bzw. updates ein, die du für deine distri findest (md5-summe checken). installiere tools wie z.b. tripwire. die erzeugten checksummen brenn dir auf ne cd. lass die cd im cdrom und tripwire von da aus checken. installier dir ein ids, z.b. snort. deaktiviere alle unnötigen dienste (siehe z.b. in /etc/inetd.conf). verwende passwörter mit allen verfügbaren zeichen, lad dir dazu ein passwortgenerator oder sowas runter. verwende keine pakete von deiner möglicherweise ge-ROOTeten kiste - lösche alles und lad es später neu.

das sollte für den anfang reichen.... wenn denn deine story stimmt :ugly:

matze

hallo temp, matze, etc

an temp : danke, habe ich soeben auskommentiert, kann ich Finger auch
auskommentieren ?????

sonst ist kein dienst mehr offen.

ja matze, hasterecht, ich weiss noch nichts so ganz wasich IMMER rede,
aber cih lerne am tag manchmal bis 16 std...

jeden tag, plus sonntag...
das seit 2 monaten und habe mir immerhin ein kleines wissen erlernt,
das ich gerne ausbauen will auf Euren Stand und noch ein wenig mehr,
aberdazu braucht es Zeit und Geduld, und lernen, und Errors,Bugs.

An matze, kannste mir sagen wie ich die MD5 veschlüsselung, was ich mit der tun soll = ich hab mal gelesen, dass suse 8.0 nicht super auskommt mit MD5, bei bestimmten programmen. wasmeint du,ihr ?

danke.

also frage 1.': kann ich finger lassen ? in inetd.config ?

also frage 2 : wie aktiviereich die MD5 verschlüsselung, soll ich oder
nicht ?????


frage _: vorteil / nachteil

mit bestem dank
Danny

ps: das spoofing hat aufgehört seit ich hier beiträge schreibe...:-.)

aber erst seit samtag, also abwarten.

danke

danny

Moin,

jupp, klar kannste Finger rausnehmen.

Finger ist dazu da um Benutzerinformationen abzufragen.
Beispiel
finger root@microsoft.com
;) werden wohl keinen Fingerdienst laufen lassen, aber trozdem ;)

dann würdest du Informationen über root erhalten. Wann der letzte login war und auch die console an der er angemeldet ist.

Naja, meiner Meinung nach nur ne spielerei.


Gruß Temp

@Explosiver

na loft jetzt alles wieder sauber?

Gruß Temp