Script-Kiddie anzeigen oder nix tun ?

[elvis]

Servus,

habe öfters mal scans in den logs gesehen, aber meistens Brasilien oder Korea.

Aber heute,... Bingo! ... was soll ich sagen? :P Eine dt. IP und auch noch hier um die Ecke. Provider "NetCologne". Er hat warscheinlich mit einem "Hackertool" :roll: alle möglichen Verzeichnisse durchsucht, also nach vorhandenen Verzeichnissen.

Und ich frage mich : "Was soll ich machen???" Was macht Ihr? Sch**Ã? egal und weiter, oder Mail an abuse@netcologne.de oder Anzeige?

Was macht Sinn? Schaden ist keiner entstanden, .. aber ist mit Einbruchsversuchen? Die Polente (Streife) nimmt ja auch jeden mit, der versucht irgendwo einzubrechen.

Heute ist es das, morgen was anderes. Oder einfach ignorieren? Und wenn man was unternimmt, kommt er mir seinen kleinen Freunden :lol:

Mal im Ernst,... was macht Ihr?

Elvis

[dodolin]

Was sollst du machen? -> Nichts.
Was mache ich bei sowas? -> Nichts.

[elvis]

Es hält schon 2 Tage an ... ist zwar eine andere IP, kann also nicht sagen ob es die selbe person ist, aber es ist noch immer NetCologne.

Dann lass ich ihn mal weiter kloppen, aber irgendwann platzt mir der Kragen.

Elvis

[timeless2]

Spare dir die Zeit fürs Ã?rgern und sichere deine Kiste ordentlich ab, da hast du mehr von. Wenn da einer aus Deutschland mit fester IP am Werke ist, kann man mit abuse-Mails vielleicht was erreichen, alles andere kann man vergessen.

[elvis]

Hast' ja Recht,... trotzdem verstehe ich den Sinn dieser Leute nicht. Langeweile? Frust?

Wie auch immer

Danke für die Antworten,
Elvis

[lord_pinhead]

Warum gegen das Kindervolk was machen, abuse Mails nerven nur die ISP´s und bringen meist sowisso nix, da kannste dich totschicken. Lass Kind Kind sein und konzentrier dich lieber auf was anderes, is sinnvoller als die Kids zu ärgern, sinds einfach net wert finde ich.

[flo]

Ich schreibe auch höchstens eine Mail, wenn es sich um irgendetwas interessantes handelt oder man evtl. einem Kollegen damit Arbeit ersparen kann - das letzte Mal war es ein wohl gehackter Hostingserver. Bei Angriffen aus China o.ä. lohnt sich noch nicht mal, sich darüber aufzuregen.

flo.

[lord_pinhead]

Bei einer festen IP ist es was anderes, da würde ich mich bei dem ISP beschweren und fragen was dort los ist. Aber Dialin Kübel sind mir ehrlichgesagt recht egal, und die Chinesen würde ich echt gerne einfach mit IPTables Regeln aussperren, sind sowisso keine interessanten Sachen wo die Jungs interessieren würden.

[fhilgers]

Die Mühe kannst du dir sparen mit der Anzeige denn in Deutschland kannst du nach unseren Gesetzten nur dann verdonnert werden wenn re auch den Zugriff erlangt hat und daten verändert oder ausgespäht hat, wobei das mit dem auspähen auch schon wieder so ne auslegungssache ist, also von daher spare dir den ärger

@Lord_Pinehead: Dann sperr dir Chinese doch einfach aus, die ensprechenden Ranges kannst du ja abfragen

[lord_pinhead]

Dann macht das lesen der audit_log aber kein Spass mehr *G* Ne ernsthaft, sowas würde ich nur machen wenn ich eine entsprechende Kiste im Rechenzentrum hätte mit vorgeschalteter Bridge, auf dem Server selbst will ich net zuviele IPT Regeln haben.

[BlackEye]

nur so zum Thema... ich hab bei mir auch verstärkt Scans bemerkt. Per FTP die User ausspähen, per ssh versucht einzuloggen, den Apache versucht zu veralbern...
Ich war eben auch kurz davor ne Mail zu schicken - man fühlt sich ja doch irgendwie dazu verpflichtet mal etwas zu unternehmen. Zumal gerade in dieser Zeit von Spam und Telefonterror meine Tolleranz-Schwelle logarithmisch sinkt!
's nervt einfach...

aber ich lass es dann wohl doch und guck, dass alles sicher ist - auch wenn's mich mal in den Finger juckt. Immer nur einstecken und nie etwas unternehmen ist auch irgendwie bescheiden.

[ma4]

gibts denn tools, welche automatisch eine email mit nem auszug aus dem log an den entsprechenden provider schicken?
am besten nur an provider aus deutschland, bzw nachbarländer. china & co bringt ja nix.
bei mir läuft fail2ban im hintergrund. nur müsste man mit nem weiteren script den provider rausfinden usw.
ideen?

[niemand]

gibts denn tools, welche automatisch eine email mit nem auszug aus dem log an den entsprechenden provider schicken?

Ich glaube, nach den ersten paar Mails wird der betreffende Provider alles von dir als Spam klassifizieren ;)

Wie schon mehrfach hier erwähnt: Solange es nicht zum Einbruch kommt, ist es nicht verboten und solange es nicht verboten ist, wird es den ISP wenig interessieren.

Und wenn es zum Einbruch gekommen ist, haben die Tools eh keinen Zweck mehr.

cu

[tcs]

gibts denn tools, welche automatisch eine email mit nem auszug aus dem log an den entsprechenden provider schicken?
am besten nur an provider aus deutschland, bzw nachbarländer. china & co bringt ja nix.

Möglicherweise wäre fwanalog dazu in der Lage.
Ob's sinnvoll ist sei dahingestellt, wurde ausführlich erörtert.

Cheers

tcs

[lord_pinhead]

Kannst ja ein Vserver anmieten der als Syslogserver arbeitet und sonst keine Dienste hat. Richtig Konfiguriert ist der eine Bastion und du hast wenigstens noch Beweise um Leute anzuzeigen. So nutzt dir das recht wenig, glaub nicht das auch nur einer wegen ein Portscan oder ein Verbindungsversuch eine Anzeige bekommt, dazu müsste er schon erfolgreich sein und das bekommst du erst mit wenn keine Logs mehr vorhanden sind ;)

[thomas r]

Hallo,

das

Wie schon mehrfach hier erwähnt: Solange es nicht zum Einbruch kommt, ist es nicht verboten und solange es nicht verboten ist, wird es den ISP wenig interessieren.

ist schlicht und ergreifend falsch.

§ 303a
Datenveränderung
(1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

(2) Der Versuch ist strafbar.

§ 303b
Computersabotage
(1) Wer eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, dadurch stört, daß er

1. eine Tat nach § 303a Abs. 1 begeht oder
2. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert,


wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

(2) Der Versuch ist strafbar.

Der ISP wird sehr wohl etwas unternehmen (wenn er gewissenhaft und schlau ist), schon im eigenen Interesse. Unterlässt es nämlich und kommt es zum Schadenfall, kann es zum Regress gegen ihn kommen.

Es soll ja niemand verhaftet oder angezeigt werden; die bloße Anfrage des Providers bei seinem Kunden: "Sehr geehrte(r) Herr/Frau [...] unser System hat mehrere gegen unsere Nutzungsbedingungen verstoßende Vorgänge aufgezeichnet, die sich unter Verwendung des Ihnen zur Verfügung gestellten Internetzuganges ereignet haben [...]", dürfte schon Wirkung genug zeigen. Man stelle sich vor, Script-Kid's Mami oder Papi bekommen so einen netten Brief ... :P

Es ist allerdings sehr wahrscheinlich - und darüber wurde hier noch gar nicht nachgesinnt - dass der Rechner durch einen Trojaner oder allg. Schadsoftware schon zum "Zombie" umfunktioniert wurde und gar nicht mehr alles das tut, was der rechtmäßige Eigentümer des PC und des entspr. Internetzuganges will. Wer würde denn tagelang versuchen, ein und densenselber Server immer wieder zu attackieren?!

Beste Grüße

Thomas

[Outlaw]

Nunja, Skriptkiddies sind "normal" und wenn ne dt. IP im Log steht, reicht normalerweise eine Mail an Abuse@Provider, die schicken dann ihren "Schützlingen" ne entsprechende Mitteilung.

Zudem kann es auch sein, die "Kiddies" haben sich was eingefangen und wissen gar nix davon, daß ihr PC böse Sachen tut ....

Wie gesagt, einfach ne Mail an den Provider und abhaken.

Gar nix tun würde ich auch nicht, nur größere Geschütze auffahren nützt wenig und wenn es dumm läuft, provoziert das evtl. größere Sachen ....

Gruß Outi

[lord_pinhead]

Meine letzte Erfahrung mit abuse@t-online war eher ernüchternd. Ein Kiddie hat Tagelang meine Kiste gescannt und Webexploits versucht, ich hab die Logs zusammengeschrieben und an die Abuse geschickt. Antwort war das sie kein Handlungsbedarf sehen weil er nicht gefährlich ist.

[niemand]

st schlicht und ergreifend falsch.

Ja, richtig: Der Versuch ist strafbar. Habe ich nicht in Abrede gestellt. Das Problem wird sein: Weise mir nach, dass ich die Absicht hatte, deine Daten zu verändern, wenn ich deine Kiste gescannt habe.

Genau deswegen ist ein simpler Scan nicht verboten, und nicht einmal der Versuch, einen Exploit loszulassen. Aus diesem Grund wird ein ISP rein nichts machen, wenn ich dem maile, dass einer seiner Kunden meinen Server gescannt hat.

cu