Einbruchsversuch in mein Netzwerk
Was zu tun ist - Tipps und Tricks
Servus,
ich habe zuhause ein privates Netzwerk und denke, dass es einigermaßen sicher ist. Absicherung erfolgt mittels eines IpCops und der Web- und Mailserver steht in der DMZ. Jetzt versucht seit ca. einer Woche jemand auf mein System einzudringen und es ist keiner der es darf, denn ich sehe in den Logs, dass sämtliche gängigen Usernamen eines Linuxsystems ausprobiert wurden.
Per SSH kam er nicht rein, jetzt versucht er es auf anderen Wegen. Anfangs dachte ich noch, dass er bald genug hat. Aber mittlerweile bekomme ich doch ein wenig Panik, ob er es irgendwann vielleicht nicht doch schafft, eine Lücke aufzudecken, die ich noch nicht geschlossen habe.
Wie kann ich mich wehren? Lohnt es, einen Ausdruck der Logs zu machen und Anzeige bei der Polizei zu machen? Die IP des Angreifers habe ich, wo es geht, hinzugefügt und explizit gesperrt!
Bin dankbar für Tipps und Erfahrungen, die ihr mit dem Thema gemacht habt.
Gruß
Marc Becker
Servus,
ich habe zuhause ein privates Netzwerk und denke, dass es einigermaßen sicher ist. Absicherung erfolgt mittels eines IpCops und der Web- und Mailserver steht in der DMZ. Jetzt versucht seit ca. einer Woche jemand auf mein System einzudringen und es ist keiner der es darf, denn ich sehe in den Logs, dass sämtliche gängigen Usernamen eines Linuxsystems ausprobiert wurden.
Per SSH kam er nicht rein, jetzt versucht er es auf anderen Wegen. Anfangs dachte ich noch, dass er bald genug hat. Aber mittlerweile bekomme ich doch ein wenig Panik, ob er es irgendwann vielleicht nicht doch schafft, eine Lücke aufzudecken, die ich noch nicht geschlossen habe.
Wie kann ich mich wehren? Lohnt es, einen Ausdruck der Logs zu machen und Anzeige bei der Polizei zu machen? Die IP des Angreifers habe ich, wo es geht, hinzugefügt und explizit gesperrt!
Bin dankbar für Tipps und Erfahrungen, die ihr mit dem Thema gemacht habt.
Gruß
Marc Becker
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 52707
Url: https://administrator.de/forum/einbruchsversuch-in-mein-netzwerk-52707.html
Ausgedruckt am: 23.12.2024 um 07:12 Uhr
16 Kommentare
Neuester Kommentar
G' Abend,
das wird dir ein bisschen weiterhelfen:
Auf jeden Fall die Logs sichern bzw. ausdrucken. Wenn es ein Stück zusammen gibt => Anzeige machen. Da aber die IP's nur noch 7 Tage gespeichert werden (zum Teil schon umgesetzt) wird's schwerer!! Aber ein Versuch ist es auf jeden Fall wert!!
Grüße
Dani
das wird dir ein bisschen weiterhelfen:
Auch wenn Portscan nicht unbedingt illegal sein mag, gilt es als grobe Unhöflichkeit im Netz,
fremde Rechner ohne Absprache mit deren Betreibern anzuscannen. Wer dies regelmäßig
tut, kann auf Ärger mit seinem Leitungsanbieter rechnen – bis zur Abschaltung hin. Wer aus
Sicherheitsgründen seine eigenen Rechner anscannt, sollte vorher sicherstellen –
insbesondere bei DynDNS – dass er auch wirklich mit seinen eigenen Rechnern redet
Grüße
Dani
Hi Marc,
das leidige Thema habe ich fast jeden Tag! Ich habe mein System so konfiguriert, dass es mich per Mail über den Einbruchsversuch informiert. Wenn man gerade am PC sitzt hat man wenigstens die Möglichkeit, direkt etwas dagegen zu unternehmen.
Schon mal den Gedanken mit einem Gegenangriff gehabt?
Gruß,
Martin
das leidige Thema habe ich fast jeden Tag! Ich habe mein System so konfiguriert, dass es mich per Mail über den Einbruchsversuch informiert. Wenn man gerade am PC sitzt hat man wenigstens die Möglichkeit, direkt etwas dagegen zu unternehmen.
Schon mal den Gedanken mit einem Gegenangriff gehabt?
Gruß,
Martin
wieso rennt dein webserver als dmz?
gibt es irgendeinen logischen grund dafür?
gibt es irgendeinen logischen grund dafür?
Nein, keine Viren o.ä. - das ist schlecht weil wirklich Grenze von legal.
Nachschauen, wer's ist, dann nach seinen Ports schauen, dann ne nette Mail an den Provider oder an die Typen selbst - geht fast immer.
Man muss noch dazu sagen, dass das ja meist System sind, die selbst angegriffen und übernommen wurden. Das muss man den Leuten "zu Gute" halten.
Habe ein kleines Script, das einen Angreifer nach ca. 30min in die hosts.deny verbannt, dann ist das erst mal gut.
Nachschauen, wer's ist, dann nach seinen Ports schauen, dann ne nette Mail an den Provider oder an die Typen selbst - geht fast immer.
Man muss noch dazu sagen, dass das ja meist System sind, die selbst angegriffen und übernommen wurden. Das muss man den Leuten "zu Gute" halten.
Habe ein kleines Script, das einen Angreifer nach ca. 30min in die hosts.deny verbannt, dann ist das erst mal gut.
Mit der DMZ schließe ich mich an. Der einzige Ort, an den ein Webserver gehört!
@Marc:
Hab dir das Script als PN zugeschickt. Falls die Form nicht leserlich sein sollte, dann gib bitte Bescheid.
@Marc:
Hab dir das Script als PN zugeschickt. Falls die Form nicht leserlich sein sollte, dann gib bitte Bescheid.
Hi,
hätt mich jetzt intressiert wie es weiter gegangen ist, verfolge in meinen Logs gleiches....
Gruss Christian
hätt mich jetzt intressiert wie es weiter gegangen ist, verfolge in meinen Logs gleiches....
Gruss Christian