marcbecker
Goto Top

Einbruchsversuch in mein Netzwerk

Was zu tun ist - Tipps und Tricks

Servus,

ich habe zuhause ein privates Netzwerk und denke, dass es einigermaßen sicher ist. Absicherung erfolgt mittels eines IpCops und der Web- und Mailserver steht in der DMZ. Jetzt versucht seit ca. einer Woche jemand auf mein System einzudringen und es ist keiner der es darf, denn ich sehe in den Logs, dass sämtliche gängigen Usernamen eines Linuxsystems ausprobiert wurden.

Per SSH kam er nicht rein, jetzt versucht er es auf anderen Wegen. Anfangs dachte ich noch, dass er bald genug hat. Aber mittlerweile bekomme ich doch ein wenig Panik, ob er es irgendwann vielleicht nicht doch schafft, eine Lücke aufzudecken, die ich noch nicht geschlossen habe.

Wie kann ich mich wehren? Lohnt es, einen Ausdruck der Logs zu machen und Anzeige bei der Polizei zu machen? Die IP des Angreifers habe ich, wo es geht, hinzugefügt und explizit gesperrt!

Bin dankbar für Tipps und Erfahrungen, die ihr mit dem Thema gemacht habt.

Gruß

Marc Becker

Content-ID: 52707

Url: https://administrator.de/forum/einbruchsversuch-in-mein-netzwerk-52707.html

Ausgedruckt am: 23.12.2024 um 07:12 Uhr

Dani
Dani 26.02.2007 um 19:45:24 Uhr
Goto Top
G' Abend,
das wird dir ein bisschen weiterhelfen:
Auch wenn Portscan nicht unbedingt illegal sein mag, gilt es als grobe Unhöflichkeit im Netz,
fremde Rechner ohne Absprache mit deren Betreibern anzuscannen. Wer dies regelmäßig 
tut, kann auf Ärger mit seinem Leitungsanbieter rechnen – bis zur Abschaltung hin. Wer aus
Sicherheitsgründen seine eigenen Rechner anscannt, sollte vorher sicherstellen – 
insbesondere bei DynDNS – dass er auch wirklich mit seinen eigenen Rechnern redet
Auf jeden Fall die Logs sichern bzw. ausdrucken. Wenn es ein Stück zusammen gibt => Anzeige machen. Da aber die IP's nur noch 7 Tage gespeichert werden (zum Teil schon umgesetzt) wird's schwerer!! Aber ein Versuch ist es auf jeden Fall wert!!


Grüße
Dani
MarcBecker
MarcBecker 26.02.2007 um 20:08:32 Uhr
Goto Top
Danke, dann werde ich mal ausdrucken und morgen zur Polizei gehen.

Schließlich versucht er es per SSH und das ist kein "unhöflicher" Portscan!
39916
39916 26.02.2007 um 20:35:12 Uhr
Goto Top
Hi Marc,

das leidige Thema habe ich fast jeden Tag! Ich habe mein System so konfiguriert, dass es mich per Mail über den Einbruchsversuch informiert. Wenn man gerade am PC sitzt hat man wenigstens die Möglichkeit, direkt etwas dagegen zu unternehmen.

Schon mal den Gedanken mit einem Gegenangriff gehabt?

Gruß,

Martin
MarcBecker
MarcBecker 26.02.2007 um 20:42:14 Uhr
Goto Top
Ja, aber dann bewege ich mich im illegalen Bereich und das will ich nicht...

Habe mich da auch schon umgehört und auch gerüchteweise von einem Tool gehört, dass Viren und alles mögliche an den Angreifer schickt. Aber das ist hochgradig illegal, da lebe ich lieber mit den Angriffsversuchen und sehe zu, dass ich das System jeden Tag ein Stück weit sicherer mache!
13100
13100 26.02.2007 um 20:49:05 Uhr
Goto Top
wieso rennt dein webserver als dmz?
gibt es irgendeinen logischen grund dafür?
39916
39916 26.02.2007 um 20:51:04 Uhr
Goto Top
Nein, keine Viren o.ä. - das ist schlecht weil wirklich Grenze von legal.
Nachschauen, wer's ist, dann nach seinen Ports schauen, dann ne nette Mail an den Provider oder an die Typen selbst - geht fast immer.

Man muss noch dazu sagen, dass das ja meist System sind, die selbst angegriffen und übernommen wurden. Das muss man den Leuten "zu Gute" halten.

Habe ein kleines Script, das einen Angreifer nach ca. 30min in die hosts.deny verbannt, dann ist das erst mal gut.
aran67
aran67 26.02.2007 um 21:07:41 Uhr
Goto Top
Hi @ Angeldust,

wo sollte, nach deine Meinung, ein Webserver stehen? Außer DMZ sehe ich (zumindest ich) keinen alternative !!!

aran67
MarcBecker
MarcBecker 26.02.2007 um 21:39:55 Uhr
Goto Top
Also ein Webserver, bietet Dienste an die auch über das Internet erreichbar sein müssen, also gehört der in die DMZ.

@39916:
Kannst du mir das Skript mal schicken? Würde mir das gerne mal ansehen!
catachan
catachan 26.02.2007 um 22:01:25 Uhr
Goto Top
ich würde mal mit whois nachsehen ob die ip die du logst überhaut korrekt ist. oft sind sie gefälscht und du siehst dann das yahoo oder google die eigner sind
39916
39916 26.02.2007 um 22:20:49 Uhr
Goto Top
Mit der DMZ schließe ich mich an. Der einzige Ort, an den ein Webserver gehört!

@Marc:
Hab dir das Script als PN zugeschickt. Falls die Form nicht leserlich sein sollte, dann gib bitte Bescheid.
aqui
aqui 26.02.2007 um 23:09:39 Uhr
Goto Top
Hast du dann wenigsten mal ein whois <ip adresse> gemacht um zu sehen woher der potentielle Angreifer kommt.
Wenn der aus Hongkong oder Russland oder sonstwoher kommt hat die Polizei morgen was zu lachen wenn sie die Anzeige aufnimmt.....
Dani
Dani 27.02.2007 um 14:31:16 Uhr
Goto Top
Hi,
wenn die IP vergeben ist an einen ISP, einfach ne Mail mit dem Versuchen schreiben. Der ISP wird dann herausfinden, wem die IP zu diesem Zeitpunkt hattte und diesen Anschluss sperren / kündigen oder nur Abmahnen.


Grüße
Dani
MarcBecker
MarcBecker 28.02.2007 um 00:15:12 Uhr
Goto Top
Habe whois mal ausgeführt und eine der IPs war eine Hochschule in Hessen. Dem Rechenzentrum habe ich mal eine Mail geschickt, aber da kam noch nix. Bei den anderen IPs (es scheint mittlerweile ein Wettbewerb statt zu finden, wer meinen Server zuerst knackt) bin ich noch am überprüfen.

Werde den Server erst mal vom Netz nehmen, weil mir das hier zu heiß wird.
46010
46010 19.05.2007 um 02:32:04 Uhr
Goto Top
Hi,

hätt mich jetzt intressiert wie es weiter gegangen ist, verfolge in meinen Logs gleiches.... face-sad


Gruss Christian
MarcBecker
MarcBecker 19.05.2007 um 15:31:39 Uhr
Goto Top
Ich habe den Server wie oben geschrieben vom Netz genommen und nach zwei Wochen wieder angeschlossen. Die Angriffe sind weniger geworden, aber immer noch da.

Ich lebe jetzt damit und das war's....

Insgesamt habe ich zwei Hochschulen angeschrieben, deren IPs bei mir migeloggt wurden, aber hier habe ich nie eine Antwort bekommen.
Dani
Dani 19.05.2007 um 15:35:27 Uhr
Goto Top
Hallo!
Insgesamt habe ich zwei Hochschulen angeschrieben, deren IPs bei mir migeloggt wurden,
aber hier habe ich nie eine Antwort bekommen.
Das bringt nichts. Am einfachsten beim Direktor anrufen und die Sache über ihn publik machen. Somit schenkt dir die IT freiweilig ihre Aufmerksamkeit.


Gruß
Dani