Hi,

ich habe heute mal die LogDateien meiner Firewall für den Monat August ausgewertet.
Bei den geblockten Packeten ist mir dabei ein Host aufgefallen, der meine öffentliche IP komplett abgescannt hat. Von Port 1 - 1000 lückenlos und dadrüber nur Stichproben.

Mich würde nun interessieren, was man damit jetzt machen kann, oder sollte?
Sollte man da irgendwelche Nachforschungen anstellen, wenn ja welche?
Oder soll man solche Sache ignorieren?

Ich mein hinter einem Scann stecken nur selten freundliche Absichten. Und ich habe eher wenig Bock hier zu sitzen und zuschauen zu müssen, wie irgendwelche Honks mich abtasten und nach Lücken zum Einsteigen suchen.


Ach und dann würde mich noch interessieren welche guten Programme es gibt um aus Logfiles bessere Reports zu erstellen. ich sehe immer nur in einer Liste welchem Host wann auf welchen Port der Zugriff verweigert wurde. Ich hätte gerne was, was Einträge, die als harmlos eingestuft werden können, automatisch rausfiltert und mir nur die Einträge zeigt, wo der Host wirklich mein System ausspioniert.

thx

Hallo!

Sollte man da irgendwelche Nachforschungen anstellen, wenn ja welche?
Oder soll man solche Sache ignorieren?


Scannen ist nicht illegal - also kannst Du gar nichts machen...


Ach und dann würde mich noch interessieren welche guten Programme es gibt um aus Logfiles bessere Reports zu erstellen. ich sehe immer nur in einer Liste welchem Host wann auf welchen Port der Zugriff verweigert wurde.

Du kannst Dir ein (Dein) iptables Script so schreiben dass Portscans als Portscans geloggt werden.
Es gibt auch Programme die Logs in einem GUI anzeigen aber wie die heißen weiß ich nicht.

Wenn Du mehr sehen willst installiere Dir snort - das ist ein Intrusion Detection System dass sogar versuchte Angriffe (Exploits etc.) aufzeichnet.

mfg
cane

Original geschrieben von slaYer977
Und ich habe eher wenig Bock hier zu sitzen und zuschauen zu müssen, wie irgendwelche Honks mich abtasten und nach Lücken zum Einsteigen suchen.
Am Besten Du machst Dein System sicher, dann kannst Du beruhigt die Beine hochlegen und dich freuen wie alle verzweifeln ;) :D .

aha,

das Problem ist nur, dass kein System Sicher ist!

Und schon gar nicht, wenn ein Exchange und ein IIS am Netz hängen, egal ob in der DMZ oder nicht.

Das scannen ist ja quasi so, als wenn einer mit der Brechstange an meiner Haustür herumprobieren würde und es nicht illegal wäre, da er ja "noch" nicht eingebrochen ist.

Es ist doch immer nur eine Frage der Zeit, bis eine neue Sicherheitslücke in irgendeinem System gefunden wird und sich dann alle "Hacker" darauf stürzen um diese auszunutzen.

Beispiel dieser MSBlas Wurm: XP und co. sind schon etwas länger auf dem Markt und jetzt kommt da plötzlich einer daher, der so ne Lücke gefunden hat. Da hilft auch keine Firewall. Denn wenn ich alles sperren muss, dann brauch ich ja erst gar nicht ins Internet zu gehen. Oder sehe ich da was falsch?

Original geschrieben von slaYer977

Das scannen ist ja quasi so, als wenn einer mit der Brechstange an meiner Haustür herumprobieren würde und es nicht illegal wäre, da er ja "noch" nicht eingebrochen ist.

Es ist vielmehr so, als ob du um ein Haus schleichst und an den Fenstern rüttelst. Du wendest ja keine Gewalt (Brechstange) an...

Allerdings wird das Scannen i. a. durch die AGBs der Provider verboten. Du kannst dich also (wenn es dir den Streß wert ist) an den ISP der IP wenden.

MfG

Da Du hier im linuxforum gepostet hast gehe ich davon aus das Dein Netz so aussieht:

___________ _________
Linux Router |____|Exchange |
---------------- | |__ISS____|

Also sicher doch einfach den LinuxRouter ab dann sind Sicherheitslücken auf dem Exchange / ISS relativ uninteressant.

Absichern heißt:
Unnötige Dienste entfernen.
Security Updates einspielen.
Wenn möglich keine zu großen Programme nutzen (exim statt sendmail vz:B.)
Kernel patchen (Openwall, LIDS oder ähnliches)
Firewallscript einsetzen
Snort benutzen
per chkrootkit auf Rootkitbefall scannen
Virenscanner nutzen
Systemimage ziehen um nach einer erfolgreichen Attacke das ganze System schnell wieder online stellen zu können
REGELMÄßIGE DATENSICHERUNG

mfg
cane

Allerdings wird das Scannen i. a. durch die AGBs der Provider verboten. Du kannst dich also (wenn es dir den Streß wert ist) an den ISP der IP wenden.

a)
Ich kenne keinen Fall wo das was genützt hat

b)
es gibt genug andere Provider

c)
wenn Du Pech hast (und eine statische IP) hat Dich der Angreifer erst Recht im Visier

cane

Original geschrieben von slaYer977
Das scannen ist ja quasi so, als wenn einer mit der Brechstange an meiner Haustür herumprobieren würde und es nicht illegal wäre, da er ja "noch" nicht eingebrochen ist.

Nee, ich würde das so sehen: Wenn jemand einen Port von 1-1024 offen hat, bietet er einen Dienst an (80 für http, 21 für ftp usw usf), genauso, als wenn du deine Tür offen machst und deine Kunstbilder in deinem Wohnzimmer aufstellst. Ein Portscan checkt dann eben ob du so einen Dienst anbietest.
Dass sowas auf bösen Absichten beruht liegt nahe, muss aber nicht sein, vielleicht hätte dich der Scanner ja freundlich drauf hingewiesen, dass du den und den Port auf hast und dies eine Sicherheitslücke darstellt. Was machen zB Wardriver anders? Wenn du verhindern willst, dass jemand bei dir einbricht, musst du halt dein System so sicher wie es geht machen, oder aber deinen Rechner vom Netz nehmen ;)

Lies die mal das hier durch: http://koeln.ccc.de/c4/portscan-policy.html

gruß, zwerg

@zwerg

Ein Portscan checkt dann eben ob du so einen Dienst anbietest.

Naja den Satz kann man aber nur mit sehr viel gutem Willen so stehen lassen.
Ich behaupte dass 80 % aller Scans von Leuten (Scriptkiddies) stammen die sich Superscan runtergeladen haben und jetzt Rechner finden wollen die Sie mit ihrer tollen "Ich schieße jeden Rechner ab" Software flooden wollen ohne zu merken dass die tolle Software von "die-geilsten-supergeheimen-programme-des-cia.de" ein trojaner war und sie keinen aktuellen virensignaturen haben die das feststellen könnten weil sie ja jeden der sowas wagt abschießen würden:D :D :D

Aber der Link zum CCC Paper gefällt mir.

Thank´s
cane

Nun, aber so legal kann ein scann nur wieder auch nicht sein, denn es gibt doch Anbieter im Internet, bei denen man einen Scann seines eigenen Systems anfordern kann, damit die für einen eine Analyse stellen, wie sicher das eigene System eingestruft werden kann. Ich habe schon Anbieter gesehen, die sich vor dem Scannen absichern, indem man bei denen zunächst per Fax eine Bestätigung unterschreiben und an die zurückschicken muss, dass die das auch dürfen.

Naja und irgendwie würde ich gerne den Leuten, die mich scannen auch gerne signalisieren, dass ich es sehr wohl mitbekomme wenn ich gescannt werde. Ich denke sowas würde als Abschreckung sehr viel wirkung zeigen. Nur sind dass in den meisten Fällen wirklich nur Kidiots die mit gewissen Tools das ganze Internet abscannen aber wahrscheinlich noch nicht mal mitbekommen wenn sie selbst gescannt werden.

Wahrscheinlich scannen die sich sogar selber ohne es zu wissen. Hund beiß in Schwanz :-)

Original geschrieben von slaYer977
Nun, aber so legal kann ein scann nur wieder auch nicht sein, denn es gibt doch Anbieter im Internet, bei denen man einen Scann seines eigenen Systems anfordern kann, damit die für einen eine Analyse stellen, wie sicher das eigene System eingestruft werden kann. Ich habe schon Anbieter gesehen, die sich vor dem Scannen absichern, indem man bei denen zunächst per Fax eine Bestätigung unterschreiben und an die zurückschicken muss, dass die das auch dürfen. Ein Scan ist elgal, denn ich schaue ja nur nach, ob du einen Dienst anbietest und ich diesen Nutzen darf (eine Anfrage mit dem Browser ist ja nix anderes).

Das Anbieter dieser Test's eine gewissen Hürde zur Nutzung legen, liegt in folgenden Punkten (werder komplett noch repräsentativ):
1. sie haben ein kommerzielles Interesse (z. B. ein rechner scannen ist kostenlos, die Netzüberprüfung kostet dann etwas).
2. Sie wollen die Daten wer diesen Service nutzt und warum (evtl. wieder aus in punkt 1 genannten Gründen)
3. lassen sich solche Dienste für DoS Attacken nutzen wenn sie falsch konfiguriert sind.


das Problem ist nur, dass kein System Sicher ist!

Und schon gar nicht, wenn ein Exchange und ein IIS am Netz hängen, egal ob in der DMZ oder nicht. Aber wenn du nicht glaubst, dass dein System sicher bzw. auf dem aktuellen Stand ist dann solltest du es abschalten (alles andere ist fahrlässig).

Es ist auch an deer Realität vorbei gedacht, dasss jemand einen Portscan verwendet um einen Webserver zu identifizieren. Deinen Webserver erkenn ich mit meinem Browser.



@cane
warum. ich scanne auch hin und wieder mal computer nur um so zu schauen was da alles läuft. Die Computer die ich scanne wähle ich nach foglenden Prinzipien aus:
1. sie tauchen in meinen Logfiles auf (ist der grund für 99% meiner Scans, wenn ich denn überhaupt mal einen fahre)
2. ich bin gerade auf einer Webseite und will wissen was für Software die Einsetzen (dazu muss ich erstmal wissen, welche Dienste die anbieten)

Original geschrieben von cane
Naja den Satz kann man aber nur mit sehr viel gutem Willen so stehen lassen.
Ich behaupte dass 80 % aller Scans von Leuten (Scriptkiddies) stammen die sich Superscan runtergeladen haben und jetzt Rechner finden wollen die Sie mit ihrer tollen "Ich schieße jeden Rechner ab" Software flooden wollen ohne zu merken dass die tolle Software von "die-geilsten-supergeheimen-programme-des-cia.de" ein trojaner war und sie keinen aktuellen virensignaturen haben die das feststellen könnten weil sie ja jeden der sowas wagt abschießen würden:D :D :D
Hehe, nett gesagt..!
Das lässt sich aber wiederum IMO mit SNORT feststellen, das ist meist schlau genug, bekannte Programme anhand der Arbeitsweise zu erkennen.

gruß, zwerg

§ 202a StGB (bundesdeutsches Strafgesetzbuch):
(1) Wer unbefugt Daten, die nicht für ihn bestimmt
und gegen unberechtigten Zugang besonders gesichert sind,
sich oder einem anderen verschafft, wird mit Freiheitsstrafe
bis zu drei Jahren oder Geldstrafe bestraft..

Also ist Scannen nicht strafbar. Wohl aber das bewusste
Einbrechen unter Aushebeln von Sicherheitsmaßnahmen.
.. die nicht für ihn bestimmt sind - also haben
Hackerinnen freies Schussfeld?! :D

Nebenbei ist Scannen manchmal ganz lustig - auf dem Höhepunkt
des Trojaners BackOrifice habe ich per Scannen mal gezählt, wieviel
Infektionen auf 1000 freenet-User entfallen sind (damals 15!).

Und auch nützlich!
Scannen gehört bei mir zum Alltag: Ist Port X offen? Wieso funzt das connecten auf Port Y nicht? Wieso ist Port Z auf TCP auf und auf UDP zu?
Es ist ja nicht so, dass nmap nur ein Spielzeug ist..

mfg, zwerg

Hallo Jinto!


@cane
warum. ich scanne auch hin und wieder mal computer nur um so zu schauen was da alles läuft. Die Computer die ich scanne wähle ich nach foglenden Prinzipien aus:


Deswegen schrieb ich auch das 80 % aller Scans von Scriptkiddies kommen.
Du gehörst zu den restlichen 20 %;)

cane

Hi!

hier mal ein schöner Artikel über das iptables TARPIT Modul: Klick mich! (http://www.securityfocus.com/infocus/1723)

Damit kannste sehr schön den Scanner täuschen und die Ports auch noch offen halten, d.h. der Angreifer muss auf ein Connection TimeOut warten! :D
Einfach mal durchlesen ist sehr ausführlich,,,

Ich denke auch das viele Leute einfach mal scannen um zu sehen was man da alles machen könnte...Gerade wenn man im Bereich Sicherheit beschäftigt ist sollte man selbst wissen wie Hacker vorgehen,damit man dann die Lücken stopfen kann...