Werden wir gehackt?
Guten Abend allerseits,
ich sehe im maillog des linus Servers dauernd solche Einträge:
Sep 8 20:30:52 ds80-237-157-109 pop3d: Connection, ip=[200.155.64.132]
Sep 8 20:30:57 ds80-237-157-109 pop3d: IMAP connect from @ [200.155.64.132]checkmailpasswd: FAILED: web3p2 - short names not allowed from @ [200.155.64.132]ERR: LOGIN FAILED, ip=[200.155.64.132]
die IP ist aus Brasilien. 200.155.64.132
Ich denke, das ist das normale Hintergrundrauschen, ich dachte mir, man könnte ja via der IP dem "Angreifer" eine Meldung senden, so :
Finger weg, Du Hammel, oder sinngemäß ähnliche Nachrichten.
Kann man bewerkstelligen?
Danke und Gruß Joachim
ich sehe im maillog des linus Servers dauernd solche Einträge:
Sep 8 20:30:52 ds80-237-157-109 pop3d: Connection, ip=[200.155.64.132]
Sep 8 20:30:57 ds80-237-157-109 pop3d: IMAP connect from @ [200.155.64.132]checkmailpasswd: FAILED: web3p2 - short names not allowed from @ [200.155.64.132]ERR: LOGIN FAILED, ip=[200.155.64.132]
die IP ist aus Brasilien. 200.155.64.132
Ich denke, das ist das normale Hintergrundrauschen, ich dachte mir, man könnte ja via der IP dem "Angreifer" eine Meldung senden, so :
Finger weg, Du Hammel, oder sinngemäß ähnliche Nachrichten.
Kann man bewerkstelligen?
Danke und Gruß Joachim
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 190921
Url: https://administrator.de/forum/werden-wir-gehackt-190921.html
Ausgedruckt am: 22.12.2024 um 18:12 Uhr
32 Kommentare
Neuester Kommentar
Ja,
Sag deinem IMAP-Server, das er als optinalen Text zu der Response das hinschreiben soll. Siehe auch RFC-3501.
Nachtrag. Eine ALERT-Response wäre z.B. das passende.
lks
Sag deinem IMAP-Server, das er als optinalen Text zu der Response das hinschreiben soll. Siehe auch RFC-3501.
Nachtrag. Eine ALERT-Response wäre z.B. das passende.
lks
Würd ich persönlich jetzt nicht allzu kritisch einstufen. Wenns mehr wird, müsste man sich etwas überlegen.
Hab mir einen Root Server gemietet bei einem Hoster - leider weiß ich nicht was mein Vorgänger mit dieser IP getan hat, jedenfalls hab ich am Tag zirka 200 Anmeldeversuche von Orte aus der ganzen Welt....
Ziemlich ärgerlich, weil die Hälfte des Logs aus diesen Abort´s besteht. Somit tut man sich relativ schwer, wenn man was sucht. ;)
lg
Hab mir einen Root Server gemietet bei einem Hoster - leider weiß ich nicht was mein Vorgänger mit dieser IP getan hat, jedenfalls hab ich am Tag zirka 200 Anmeldeversuche von Orte aus der ganzen Welt....
Ziemlich ärgerlich, weil die Hälfte des Logs aus diesen Abort´s besteht. Somit tut man sich relativ schwer, wenn man was sucht. ;)
lg
Hallo,
wie mein Vorposter schon schrieb ändere bitte die Passwörter regelmäßig ab. Und wenn ich es richtig sehe, nutzt Dein Webhoster oder Du selbst Confixx zumindest zu sehen an dem Benutzernamen. Daher bitte auch die anderen Zugangsdaten etwa zum Beispiel einmal im Monat ändern.
Ansonsten ist dieses Verhalten nicht auffällig sollte aber dennoch beobachtet werden, habe ich bei meinen Postfächern auch ab und wann.
Beste Grüße
Sendmen
wie mein Vorposter schon schrieb ändere bitte die Passwörter regelmäßig ab. Und wenn ich es richtig sehe, nutzt Dein Webhoster oder Du selbst Confixx zumindest zu sehen an dem Benutzernamen. Daher bitte auch die anderen Zugangsdaten etwa zum Beispiel einmal im Monat ändern.
Ansonsten ist dieses Verhalten nicht auffällig sollte aber dennoch beobachtet werden, habe ich bei meinen Postfächern auch ab und wann.
Beste Grüße
Sendmen
Kleiner Tip : setze einfach eine Route (je nach OS) z.B. 200.155.64.132 --> 127.0.0.1 oder ein anderes "sinnloses" Ziel, dann kann diese IP (kannst auch das Subnetz adressieren) keinen "Schaden" anrichten. Professionelle Lösung wäre direkt in der Firewall einen Eintrag machen oder wie angesprochen mit Fail2Ban (das kenne ich eher von SSH-Anmeldeversuchen) oder einem kleinen iptables-Eintrag. Ich persönlich würde es direkt am Eintrittspunkt ins Netz machen (Meist die Firewall).
Grüße...
Max
Grüße...
Max
Zitat von @jedi7650:
Kleiner Tip : setze einfach eine Route (je nach OS) z.B. 200.155.64.132 --> 127.0.0.1 oder ein anderes "sinnloses"
Ziel, dann kann diese IP (kannst auch das Subnetz adressieren) keinen "Schaden" anrichten. Professionelle Lösung
wäre direkt in der Firewall einen Eintrag machen oder wie angesprochen mit Fail2Ban (das kenne ich eher von
SSH-Anmeldeversuchen) oder einem kleinen iptables-Eintrag. Ich persönlich würde es direkt am Eintrittspunkt ins Netz
machen (Meist die Firewall).
Grüße...
Max
Kleiner Tip : setze einfach eine Route (je nach OS) z.B. 200.155.64.132 --> 127.0.0.1 oder ein anderes "sinnloses"
Ziel, dann kann diese IP (kannst auch das Subnetz adressieren) keinen "Schaden" anrichten. Professionelle Lösung
wäre direkt in der Firewall einen Eintrag machen oder wie angesprochen mit Fail2Ban (das kenne ich eher von
SSH-Anmeldeversuchen) oder einem kleinen iptables-Eintrag. Ich persönlich würde es direkt am Eintrittspunkt ins Netz
machen (Meist die Firewall).
Grüße...
Max
Das mit dem Ruten setzten wird nicht viel bringen das sich die "Angreifer" IP's meist ändern. (so meine Erfahrung)
Gruß
Mike
Zitat von @mtdnet:
> Zitat von @jedi7650:
> ----
> Kleiner Tip : setze einfach eine Route (je nach OS) z.B. 200.155.64.132 --> 127.0.0.1 oder ein anderes
"sinnloses"
> Ziel, dann kann diese IP (kannst auch das Subnetz adressieren) keinen "Schaden" anrichten. Professionelle
Lösung
> wäre direkt in der Firewall einen Eintrag machen oder wie angesprochen mit Fail2Ban (das kenne ich eher von
> SSH-Anmeldeversuchen) oder einem kleinen iptables-Eintrag. Ich persönlich würde es direkt am Eintrittspunkt ins
Netz
> machen (Meist die Firewall).
>
> Grüße...
> Max
> Zitat von @jedi7650:
> ----
> Kleiner Tip : setze einfach eine Route (je nach OS) z.B. 200.155.64.132 --> 127.0.0.1 oder ein anderes
"sinnloses"
> Ziel, dann kann diese IP (kannst auch das Subnetz adressieren) keinen "Schaden" anrichten. Professionelle
Lösung
> wäre direkt in der Firewall einen Eintrag machen oder wie angesprochen mit Fail2Ban (das kenne ich eher von
> SSH-Anmeldeversuchen) oder einem kleinen iptables-Eintrag. Ich persönlich würde es direkt am Eintrittspunkt ins
Netz
> machen (Meist die Firewall).
>
> Grüße...
> Max
Da hast du komplett Recht - ich würde das auch niemandem empfehlen außer er beobachten den Zugriff von ständig der gleichen IP. Dann empfehle ich wohl eher, mal das Subnetz des lokalen Providers herauszufinden (Ripe.net zeigt dir das Netz inklusive Subnetz-Maske) und dieses zu sperren. Sowas haben wir mal mit chinesischen Netzen gemacht und Schwupps, weg war die aktuelle Spam-Welle
Das mit dem Ruten setzten wird nicht viel bringen das sich die "Angreifer" IP's meist ändern. (so meine
Erfahrung)
Gruß
Mike
Erfahrung)
Gruß
Mike
Zitat von @sky5000i:
Das sind einträge von Bots die deine Seiten Spidern....
wenn du das nicht möchtest dann solltest du deine .htaccess umschreiben!
Bis dann Sky
Das sind einträge von Bots die deine Seiten Spidern....
wenn du das nicht möchtest dann solltest du deine .htaccess umschreiben!
Bis dann Sky
Und jetzt erkläre mir mal welcher BOT auf einem IMAP "spidert" - und vor allem welcher POP3/IMAP-Server mit ner .htaccess was anfangen kann?!?
Stell dir mal die Frage, ob dein Mailserver überhaupt via POP oder IMAP oder generell aus Brasilien erreicht werden muss.
Ich habe für unseren Server diese Frage mit "nein" beantwortet und eine pfsense Firewall mit der pfBlocker-Extension vorgeschaltet. Damit lassen sich sämtliche IP-Netze jedes einzelnen Landes sperren. Oder man sperrt einfach eine Auswahl aus den "Top Spammers", denen auch Brasilien angehört.
Ähnliche Funktionen bieten wohl auch andere FW-Lösungen. Andernfalls kannst du immer noch einzelne Netze sperren, doch da ist o.g. Lösung mit Fail2Ban komfortabler.
Grüße
Ich habe für unseren Server diese Frage mit "nein" beantwortet und eine pfsense Firewall mit der pfBlocker-Extension vorgeschaltet. Damit lassen sich sämtliche IP-Netze jedes einzelnen Landes sperren. Oder man sperrt einfach eine Auswahl aus den "Top Spammers", denen auch Brasilien angehört.
Ähnliche Funktionen bieten wohl auch andere FW-Lösungen. Andernfalls kannst du immer noch einzelne Netze sperren, doch da ist o.g. Lösung mit Fail2Ban komfortabler.
Grüße
@maretz: ich denke die botschaft ist angekommen^^
Zitat von @schattenhacker:
Das Thema mit den sicheren Passwörtern ist ja alt, aber ich habe keinen Zugriff auf die PW´s der Kunden und deren
intellektuellen Fähigkeiten, sich mal ein 8-stelliges zu merken.
Das Thema mit den sicheren Passwörtern ist ja alt, aber ich habe keinen Zugriff auf die PW´s der Kunden und deren
intellektuellen Fähigkeiten, sich mal ein 8-stelliges zu merken.
Dafür gibt es tools. Und sei es, daß man einfach eine paßwort-Tester drauf losläßt und sobald der Erfolg hat, man dem User sagt, er muß es ändern.
lsk
Es gibt genügend Tools, die paßwörter wiederherstellen/erraten. Eine google-Suche führt da sehr schnell zum Ziel. Da diese tools Dual-Use-Güter sind, so ähnlich wie Uranstäbe, gibt es Forenregeln, die dieses Thema einschränken. Andere Foren sind da nicht ganz so restiktiv, die haben aber vielleicht mehr Geld um sich Anwälte zu leisten oder sind außerhalb der Jurisdiktion von DE. Daher kann ich Dich nur auf google verweisen.
lks
du schreibst ---> Es ist ja kein Firmenserver, sondern einer mit Kunden.
was ist es dann.
ich habe mir mal die mühe gemacht und habe die ip meinem firefox anvertraut. siehe da. ein recht ungesicherter apache webserver. ist sogar über ssh zu erreichen.
betreibst du zufälliger weise webmail auf diesem so unbekannten server?
was ist es dann.
ich habe mir mal die mühe gemacht und habe die ip meinem firefox anvertraut. siehe da. ein recht ungesicherter apache webserver. ist sogar über ssh zu erreichen.
betreibst du zufälliger weise webmail auf diesem so unbekannten server?
respekt - der tipp ist gut... Und jetzt überlege bitte mal was du machst wenn der Admin dich anruft und dir erklärt das er grade dein PW gehackt hat...
a) du bist froh und änderst das
b) du sche***t den erstmal völlig zusammen was der sich einbildet und gehst ggf. sogar vor Gericht damit
Nun - ich würde vermutlich zu b tendieren -> denn weisst DU ob die Person X nicht dasselbe PW für EBay, Online-Banking, Amazon usw. verwendet? D.h. der Admin hätte jetzt den Vollzugriff auf alle diese Konten - klasse!
Von daher: Respektabler Tipp um seinen Job schnell loszuwerden und derart viel Ärger mit dem Gesetz zu bekommen das man die nächsten Jahre auch gar nicht mehr überlegen muss wie man den Server schützt -> man hat nicht mehr die Option an einen Server zu kommen!
a) du bist froh und änderst das
b) du sche***t den erstmal völlig zusammen was der sich einbildet und gehst ggf. sogar vor Gericht damit
Nun - ich würde vermutlich zu b tendieren -> denn weisst DU ob die Person X nicht dasselbe PW für EBay, Online-Banking, Amazon usw. verwendet? D.h. der Admin hätte jetzt den Vollzugriff auf alle diese Konten - klasse!
Von daher: Respektabler Tipp um seinen Job schnell loszuwerden und derart viel Ärger mit dem Gesetz zu bekommen das man die nächsten Jahre auch gar nicht mehr überlegen muss wie man den Server schützt -> man hat nicht mehr die Option an einen Server zu kommen!
Zitat von @maretz:
respekt - der tipp ist gut... Und jetzt überlege bitte mal was du machst wenn der Admin dich anruft und dir erklärt das
er grade dein PW gehackt hat...
respekt - der tipp ist gut... Und jetzt überlege bitte mal was du machst wenn der Admin dich anruft und dir erklärt das
er grade dein PW gehackt hat...
Das ist falsch. Man macht das anders: Man hat eeine Betriebsvereinbarung und sagt den leuten, daß ein paßwortchecker läuft, und wenn die Ihre Paßwörter zu einfach wählen, der diese finden wird (schriftlich!) udn läßt die das auch abzeichenen. Und dann kan man anrufen udn sagen, daß der Paßwort-checker das Paßwort gefunden hat. Man kann das sogar so machen, daß keiner außer dem User das Paßwort erfährt.
a) du bist froh und änderst das
Ist dann die regel.
b) du sche***t den erstmal völlig zusammen was der sich einbildet und gehst ggf. sogar vor Gericht damit
Und fällt damit auf die Schnauze, wenn der Admin es richtig gemacht hat.
Nun - ich würde vermutlich zu b tendieren -> denn weisst DU ob die Person X nicht dasselbe PW für EBay,
Online-Banking, Amazon usw. verwendet? D.h. der Admin hätte jetzt den Vollzugriff auf alle diese Konten - klasse!
Dann ist der selber doof. Und wenn es eien Betriebsvereinbarung gibt (sollte es imerm geben), kann der sich aufregen soviel er will.
Von daher: Respektabler Tipp um seinen Job schnell loszuwerden und derart viel Ärger mit dem Gesetz zu bekommen das man die
nächsten Jahre auch gar nicht mehr überlegen muss wie man den Server schützt -> man hat nicht mehr die Option an
einen Server zu kommen!
nächsten Jahre auch gar nicht mehr überlegen muss wie man den Server schützt -> man hat nicht mehr die Option an
einen Server zu kommen!
Das passiert nur dann, wenn man seinen Job nicht richtig macht und die User nicht mit einbezieht.
lks
PS: Ich arbeite schon seit 18 Jahre in der IT-Security. Da habe ich schon manche Sachen erlebt.
Noch'n Nachtrag: OK, ich hätte das mit der Betriebsvereinbarung mit in den Tipp schreiben sollen. Aber ansonsten ist das eine Möglichkeit die User zu erziehen.
das ist nichts anderesa, als wenn der Admin die leute darauf hinweist, keine Paßwörter unter die Tastatur zu kleben und auch sagt, daß er regelmäßig nachschauen wird, ob da was ist. Und derjenige, der ein paßwort drunterklebt, bekomtm halt einen Anschiß.
Und geuanso bekommen die Leute gesagt, was daß sie ein vernuünfties Paßwort zu wählen habenm, daß nciht so leicht zu erraten ist. Du kannst zwar die Systeme anweisen, daß sie mindestkriterien prüfen, aber die Idioten sind erfinderisch und generieren trotzdem leicht zu erratende Paßworte. Und wenn man eine Prüfalgehrythmus laufen läßt, der diese "einfachen" Paßwörter duchrcheckt, ist das durchaus legitim.
Man mu vorhder die leute natüclich schulen, wie sie sichere paßwörter generieren udn natürlich die Paßwörter im Betrieb nicht auch für andere Accounts verwendet werden sollten. Udn wenn die Leute so dämlch sind, für facebook die gleichen Paßwörter zu verwenden wie für Ihren VPN-zugang in die Frma, wird es höchste Zeit diesen Leuten auf die Finger zu hauen.
lks
PS: Bei vernünftig gewählten Paßwörtern wird i.d.R. gar nichts passieren. Die meisten Fälle die mir untergekommen sind, sind wirklich zu einfach gewählte Paßwörter, die Trotz komlexitätsanfoderungen" zu leicht durch Wörterbuchattacken zu finden waren. Und die sind dann wirklich eine Gefahr für die unetrnehmenssicherheit.
Und geuanso bekommen die Leute gesagt, was daß sie ein vernuünfties Paßwort zu wählen habenm, daß nciht so leicht zu erraten ist. Du kannst zwar die Systeme anweisen, daß sie mindestkriterien prüfen, aber die Idioten sind erfinderisch und generieren trotzdem leicht zu erratende Paßworte. Und wenn man eine Prüfalgehrythmus laufen läßt, der diese "einfachen" Paßwörter duchrcheckt, ist das durchaus legitim.
Man mu vorhder die leute natüclich schulen, wie sie sichere paßwörter generieren udn natürlich die Paßwörter im Betrieb nicht auch für andere Accounts verwendet werden sollten. Udn wenn die Leute so dämlch sind, für facebook die gleichen Paßwörter zu verwenden wie für Ihren VPN-zugang in die Frma, wird es höchste Zeit diesen Leuten auf die Finger zu hauen.
lks
PS: Bei vernünftig gewählten Paßwörtern wird i.d.R. gar nichts passieren. Die meisten Fälle die mir untergekommen sind, sind wirklich zu einfach gewählte Paßwörter, die Trotz komlexitätsanfoderungen" zu leicht durch Wörterbuchattacken zu finden waren. Und die sind dann wirklich eine Gefahr für die unetrnehmenssicherheit.
hallo ,
wenn nicht, muessen Sie sich eine andere Firma suchen.
Solange klar ist was die Passwortrichtlinien angeht und die Benutzer
sich daran halten wird der Passwortchecker oder aehnliches
nichts knacken koennen.
Es geht ja darum die Mitarbeiter zu sensebelisieren..
Wenn die fuer Ihren Mailaccount nur Ihren Nachnamen als Passwort
benutzen und jede Welt darauf zugreifen kann, dann kann das fuer
das Unternehmen boese enden.
Gruss
Hallo,
icmp zu sperren bringt hier nichts.
Die Scan Tools fragen diverse Netzbereiche nach bestimmten Kriterien ab. Also z.B smpt... pop3 .. ssh ..
what ever.
Da der Mailserver auf smpt(oder pop3) Anfragen antwortet weiss der Angreifer das da ein Maildienst luebbt.
Jetzt muss er nur noch Userlisten und Passwortlisten auf den Server loslassen und irgendwann hat er einen Treffer.
Und schon gibt es eine Spambuechse mehr....
Was hilft:
Die Ip auf der Firewall sperren... fail2ban... den Provider anschreiben meisst irgend ein abuse@provider.ru
Dem Angreifer eine Nachricht via Ping zukommen lassen?? Da hilft wohl nur nen Botnetz und nen ping -f <attackerrechner>
Gruss
icmp zu sperren bringt hier nichts.
Die Scan Tools fragen diverse Netzbereiche nach bestimmten Kriterien ab. Also z.B smpt... pop3 .. ssh ..
what ever.
Da der Mailserver auf smpt(oder pop3) Anfragen antwortet weiss der Angreifer das da ein Maildienst luebbt.
Jetzt muss er nur noch Userlisten und Passwortlisten auf den Server loslassen und irgendwann hat er einen Treffer.
Und schon gibt es eine Spambuechse mehr....
Was hilft:
Die Ip auf der Firewall sperren... fail2ban... den Provider anschreiben meisst irgend ein abuse@provider.ru
Dem Angreifer eine Nachricht via Ping zukommen lassen?? Da hilft wohl nur nen Botnetz und nen ping -f <attackerrechner>
Gruss
Zitat von @Alchimedes:
Hallo,
icmp zu sperren bringt hier nichts.
Die Scan Tools fragen diverse Netzbereiche nach bestimmten Kriterien ab. Also z.B smpt... pop3 .. ssh ..
what ever.
Da der Mailserver auf smpt(oder pop3) Anfragen antwortet weiss der Angreifer das da ein Maildienst luebbt.
Jetzt muss er nur noch Userlisten und Passwortlisten auf den Server loslassen und irgendwann hat er einen Treffer.
Und schon gibt es eine Spambuechse mehr....
Was hilft:
Die Ip auf der Firewall sperren... fail2ban... den Provider anschreiben meisst irgend ein abuse@provider.ru
Dem Angreifer eine Nachricht via Ping zukommen lassen?? Da hilft wohl nur nen Botnetz und nen ping -f <attackerrechner>
Gruss
Hallo,
icmp zu sperren bringt hier nichts.
Die Scan Tools fragen diverse Netzbereiche nach bestimmten Kriterien ab. Also z.B smpt... pop3 .. ssh ..
what ever.
Da der Mailserver auf smpt(oder pop3) Anfragen antwortet weiss der Angreifer das da ein Maildienst luebbt.
Jetzt muss er nur noch Userlisten und Passwortlisten auf den Server loslassen und irgendwann hat er einen Treffer.
Und schon gibt es eine Spambuechse mehr....
Was hilft:
Die Ip auf der Firewall sperren... fail2ban... den Provider anschreiben meisst irgend ein abuse@provider.ru
Dem Angreifer eine Nachricht via Ping zukommen lassen?? Da hilft wohl nur nen Botnetz und nen ping -f <attackerrechner>
Gruss
Generell stimmt das, in seinem Fall ist es eh zu spät, da wird nur noch eine IP-Sperre helfen...
nein ich wollte auch keinem einen Liebesbrief schreiben, mein Vokabular könnte auch anders lauten, der hört dann schon
auf.......
auf.......
wieso nicht? ist vielleicht ne Superbraut aus Brasilien...
mit mega Ti.. ok ich hoer schon auf...
Wie Du am Anfang geschrieben hast ist es das typische Grundrauschen, leider fuehrt das immer wieder zum Erfolg.
Denn sonst wuerden die sowas nicht machen.
/OT {
@maretz "Und jetzt erkläre mir mal welcher BOT auf einem IMAP "spidert" - und vor allem welcher POP3/IMAP-Server mit ner .htaccess was anfangen kann?!? "
es gibt Bots(sripte) die genau das machen. Machst nur ein Script mit nmap das die Maildienste abfragst verpackst das in ein Script was dann loginversuche startet. Kein Hexenwerk selbst fuer Mausschubser gibt es Anleitungen.. ? } /OT
Wieder zurueck...
Loesung:
Du musst den (Mail)server abhaerten.
Wenn das ne z.B. eine Debian Buechse ist schaust Du hier:
http://www.debian.org/doc/manuals/securing-debian-howto/index.de.html#c ...
Und so eine Diskussion ist noetig damit einige mal auf den Prompt gebracht werden.
Gruss
Ergaenzung: Auf dem server von dem die Loginversuche gestartet wurden laueft nen Debian squeeze mit telnet !!
Starting Nmap 5.21 ( http://nmap.org ) at 2012-09-17 22:12 CEST
Nmap scan report for static.datacenter1.com.br (200.155.64.132)
Host is up (0.23s latency).
Not shown: 994 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.5p1 Debian 6+squeeze2 (protocol 2.0)
| ssh-hostkey: 1024 02:05:03:b3:01:60:93:b9:46:6a:5a:af:e6:96:a4:3a (DSA)
|_2048 21:4b:eb:8e:31:80:be:0f:d8:3f:69:8f:07:d8:3a:4f (RSA)
23/tcp filtered telnet
80/tcp open http Apache httpd 2.2.16 ((Debian))
|_html-title: Site doesn't have a title (text/html).
111/tcp open rpcbind
| rpcinfo:
| 100000 2 111/udp rpcbind
| 100003 2,3,4 2049/udp nfs
| 100005 1,2,3 35100/udp mountd
| 100021 1,3,4 43512/udp nlockmgr
| 100024 1 50308/udp status
| 100000 2 111/tcp rpcbind
| 100003 2,3,4 2049/tcp nfs
| 100005 1,2,3 42186/tcp mountd
| 100024 1 49290/tcp status
|_100021 1,3,4 60507/tcp nlockmgr
646/tcp filtered ldp
2049/tcp open rpcbind
Service Info: OS: Linux
und whois schmeisst uns folgendes raus:
% Copyright (c) Nic.br
% The use of the data below is only permitted as described in
% full by the terms of use (http://registro.br/termo/en.html),
% being prohibited its distribution, comercialization or
% reproduction, in particular, to use it for advertising or
% any similar purpose.
% 2012-09-17 17:41:27 (BRT -03:00)
inetnum: 200.155.64/20
aut-num: AS16397
abuse-c: ABC204
owner: Alog-02 Soluções de Tecnologia em Informática S.A.
ownerid: 003.672.254/0001-44
responsible: Area de Engenharia - Alog
country: BR
owner-c: AEC81
tech-c: GRC66
inetrev: 200.155.64/20
nserver: ns1.datacenter1.com.br
nsstat: 20120917 AA
nslastaa: 20120917
nserver: ns3.datacenter1.com.br
nsstat: 20120917 AA
nslastaa: 20120917
created: 20011018
changed: 20040917
nic-hdl-br: ABC204
person: Abuse @ comDominio
e-mail: abuse@comdominio.com.br
created: 20030625
changed: 20100715
nic-hdl-br: AEC81
person: Area de Engenharia - comDominio
e-mail: registro@alog.com.br
created: 20020909
changed: 20120626
nic-hdl-br: GRC66
person: Gerencia de Redes - comDominio
e-mail: suportesp@alog.com.br
created: 20020909
changed: 20071226
% Security and mail abuse issues should also be addressed to
% cert.br, http://www.cert.br/, respectivelly to cert@cert.br
% and mail-abuse@cert.br
%
% whois.registro.br accepts only direct match queries. Types
% of queries are: domain (.br), ticket, provider, ID, CIDR
% block, IP and ASN.
Hier hat nen Student/User aus Alog-02 Soluções de Tecnologia em Informática S.A. einen scan durchgefuehrt.
Also kannst Du Dich hier beschweren...
Gruss
P.S Telnet filtered ... das wollen wir doch mal sehen weil da koenntest Du Dich dann beschweren..
Gruss
Zitat von @Alchimedes:
/OT {
@maretz "Und jetzt erkläre mir mal welcher BOT auf einem IMAP "spidert" - und vor allem welcher
POP3/IMAP-Server mit ner .htaccess was anfangen kann?!? "
es gibt Bots(sripte) die genau das machen. Machst nur ein Script mit nmap das die Maildienste abfragst verpackst das in ein Script
was dann loginversuche startet. Kein Hexenwerk selbst fuer Mausschubser gibt es Anleitungen.. ? } /OT
Wieder zurueck...
/OT {
@maretz "Und jetzt erkläre mir mal welcher BOT auf einem IMAP "spidert" - und vor allem welcher
POP3/IMAP-Server mit ner .htaccess was anfangen kann?!? "
es gibt Bots(sripte) die genau das machen. Machst nur ein Script mit nmap das die Maildienste abfragst verpackst das in ein Script
was dann loginversuche startet. Kein Hexenwerk selbst fuer Mausschubser gibt es Anleitungen.. ? } /OT
Wieder zurueck...
Die pöhsen Puben sind schon lange dabei, alle möglichen Ports zu "spidern" und Dabei sich in einer Datenbank zu merken, welche Software da hintendran lauscht, ggf sogar mit Version und Revision.
Sobald dann ein 0-day-exploit bekannt wird, sind die Gewehr bei Fuß und können innerhalb von Minuten tausende Maschinen kompromittieren.
lks