Meldungen im Log

Lesenswerte Artikel, Anleitungen und Diskussionen
chris76
Moderator
Moderator
Posts: 2015
Joined: 2003-06-27 14:37
Location: Germering

Meldungen im Log

Post by chris76 » 2003-08-08 09:33

Guten Morgen, hatte heute mal wieder meldungen im log

warn

Code: Select all

Aug  7 14:06:38 p15****** smtpd[14794]: warning: p5087E183.dip0.t-ipconnect.de[80.135.225.131]: SASL LOGIN authentication failed
Aug  7 14:06:39 p15****** smtpd[14795]: warning: p5087E183.dip0.t-ipconnect.de[80.135.225.131]: SASL LOGIN authentication failed
Aug  7 14:06:48 p15****** smtpd[14791]: warning: p5087E183.dip0.t-ipconnect.de[80.135.225.131]: SASL LOGIN authentication failed
Aug  7 14:06:48 p15****** smtpd[14792]: warning: p5087E183.dip0.t-ipconnect.de[80.135.225.131]: SASL LOGIN authentication failed
Aug  7 14:06:48 p15****** smtpd[14793]: warning: p5087E183.dip0.t-ipconnect.de[80.135.225.131]: SASL LOGIN authentication failed
Aug  7 14:06:49 p15****** smtpd[14795]: warning: p5087E183.dip0.t-ipconnect.de[80.135.225.131]: SASL LOGIN authentication failed
Aug  7 14:06:49 p15****** smtpd[14794]: warning: p5087E183.dip0.t-ipconnect.de[80.135.225.131]: SASL LOGIN authentication failed
Aug  7 14:07:05 p15****** smtpd[14791]: warning: p5087E183.dip0.t-ipconnect.de[80.135.225.131]: SASL LOGIN authentication failed

messages

Code: Select all

Aug  7 14:06:38 p15****** PAM-warn[14794]: function=[pam_sm_authenticate] service=[smtp] terminal=[<unknown>] user=[admin] ruser=[<unknown>] rhost=[<unknown>] 
Aug  7 14:06:39 p15****** PAM-warn[14795]: function=[pam_sm_authenticate] service=[smtp] terminal=[<unknown>] user=[admin] ruser=[<unknown>] rhost=[<unknown>] 
Aug  7 14:06:48 p15****** PAM-warn[14791]: function=[pam_sm_authenticate] service=[smtp] terminal=[<unknown>] user=[admin] ruser=[<unknown>] rhost=[<unknown>] 
Aug  7 14:06:48 p15****** PAM-warn[14792]: function=[pam_sm_authenticate] service=[smtp] terminal=[<unknown>] user=[admin] ruser=[<unknown>] rhost=[<unknown>] 
Aug  7 14:06:48 p15****** PAM-warn[14793]: function=[pam_sm_authenticate] service=[smtp] terminal=[<unknown>] user=[admin] ruser=[<unknown>] rhost=[<unknown>] 
Aug  7 14:06:49 p15****** PAM-warn[14795]: function=[pam_sm_authenticate] service=[smtp] terminal=[<unknown>] user=[admin] ruser=[<unknown>] rhost=[<unknown>] 
Aug  7 14:06:49 p15****** PAM-warn[14794]: function=[pam_sm_authenticate] service=[smtp] terminal=[<unknown>] user=[admin] ruser=[<unknown>] rhost=[<unknown>] 
Aug  7 14:07:05 p15****** PAM-warn[14791]: function=[pam_sm_authenticate] service=[smtp] terminal=[<unknown>] user=[admin] ruser=[<unknown>] rhost=[<unknown>] 
Der dort angegebene User wechselt im laufe der zeit, admin, oracle, sybase, backup, web, test, master, server.

Das klingt mir ganz nach einem Versuch reinzukommen?

Noch eine Frage was ist mit dem SASL LOGIN gemeint?

das ganze die in der Frequenz ganze 45 Minuten weiter, was hatte derjeneige vor? Es ist definitiv nicht die ip die ich hatte bei der DSL einwahl.
Meint ihr das das beabsichtigt war oder meint ihr das da etwas gesponnen hat?

Ciao Christian

r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: Meldungen im Log

Post by r00ty » 2003-08-08 09:47

da hat halt jemand sich versucht einzuloggen.... (SMTP)
im log: smtpd -> dein Postausgangsserver
SASL ist für SMTP-AUTH

solange deine Passwörter nicht in der TOP100 der PW's-Wortlisten vorkommt sollte das nix machen
Last edited by r00ty on 2003-08-08 09:56, edited 2 times in total.

chris76
Moderator
Moderator
Posts: 2015
Joined: 2003-06-27 14:37
Location: Germering

Re: Meldungen im Log

Post by chris76 » 2003-08-08 09:49

Ok, dachte ich mir schon das dem so ist.
Ich bin aber aber auch sicher das meine passwörter nicht in den top 1000 stehen.

Soll man eigentlich dagegen was unternehme?
Ip und Zeit ist ja bekannt?

Ciao Christian

r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: Meldungen im Log

Post by r00ty » 2003-08-08 09:55

hmm naja, ich weiss nicht...
also wenn das 1x vokommt ist das okay...
war halt irgend so ne Nase

aber schau regelmäßig in die Logs, ob wieder sowas auftaucht und dann kannste gegebenenfalls mal weitersehen

chris76
Moderator
Moderator
Posts: 2015
Joined: 2003-06-27 14:37
Location: Germering

Re: Meldungen im Log

Post by chris76 » 2003-08-08 10:51

jepp dann werde ich das ganze mal etwas beobachten.

Ciao Christian

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: Meldungen im Log

Post by dea » 2003-08-08 12:52

Rein theoretisch (!) ließe sich durchaus dagegen vorgehen, fast alle ISPs, Carrier, usw. haben entsprechende Klauseln in ihren Nutzungsbedingungen resp. AGB. Die Frage ist nur, welche Politik man mit seinem Server betreibt ("No Tolerance" oder halt doch tolerant), entsprechend sehen dann auch die Reaktionen aus.

Ich würde mir zumindest die IP zusammen mit Datum und Zeit notieren, nimm am besten eine nette Tabellenkalkulation dafür - es werden im Laufe der Zeit eher mehr ... :/ Wenn sich die Angriffe häufen sollten würde ich Strafanzeige erstatten bzw. mit den Behörden sprechen.

chris76
Moderator
Moderator
Posts: 2015
Joined: 2003-06-27 14:37
Location: Germering

Re: Meldungen im Log

Post by chris76 » 2003-08-08 13:00

Ja ich habe das schon mal alles weggeschrieben und werde es beobachten.

Ciao Christian

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Meldungen im Log

Post by dodolin » 2003-08-08 13:40

Wenn sich die Angriffe häufen sollten würde ich Strafanzeige erstatten bzw. mit den Behörden sprechen.
Es ist doch nix passiert?! Gilt hier etwa auch "der Versuch ist strafbar"?

Ansonsten gibt es da noch http://www.iks-jena.de/mitarb/lutz/usen ... ml#Angriff

Ich würde mich wegen sowas erstmal zurücklehnen, wenn es jetzt nicht so häufig ist, dass es einem DoS gleicht. Für mich fällt das in die selbe Kategorie wie ein Portscan.

chris76
Moderator
Moderator
Posts: 2015
Joined: 2003-06-27 14:37
Location: Germering

Re: Meldungen im Log

Post by chris76 » 2003-08-08 13:45

Ich schreib ja nur mit ob so was öfters passiert und beobachte es erst mal

Aber im auge halten sollt man es schon.

Ciao Christian

alrad
Posts: 90
Joined: 2003-04-27 10:15

Re: Meldungen im Log

Post by alrad » 2003-08-08 14:50

Hallo dodolin,

demnächst komme ich bei dir vorbei mit einem Satz von 100 Haustürschlüsseln und probiere alle der Reihe nach aus. Wenn du was dagegen hast, sage ich nur: Der Versuch ist nicht strafbar.

Ist er aber doch, denn ich habe in krimineller Absicht Hausfriedensbruch begangen. So ist es bei den Servern auch. Das Strafmaß ist sicherlich nicht so hoch, aber es ist auch nicht Null.

Gruß
Albert

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Meldungen im Log

Post by captaincrunch » 2003-08-08 14:52

Ist er aber doch, denn ich habe in krimineller Absicht Hausfriedensbruch begangen. So ist es bei den Servern auch.
Nein, der Verglich hinkt nur ... ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Meldungen im Log

Post by dodolin » 2003-08-08 16:07

demnächst komme ich bei dir vorbei mit einem Satz von 100 Haustürschlüsseln und probiere alle der Reihe nach aus. Wenn du was dagegen hast, sage ich nur: Der Versuch ist nicht strafbar.
Du wirst lachen, ich habe absolut nichts dagegen, denn ich weiß, dass deine Schlüssel nicht passen werden.
Ist er aber doch, denn ich habe in krimineller Absicht Hausfriedensbruch begangen.
Ich bin zwar jetzt kein Jura-Experte, aber irgendwas sagt mir, dass es ziemlich schwierig sein muss, "Hausfriedensbruch" zu begehen, ohne jemals in besagtem Haus gewesen zu sein.
Nein, der Verglich hinkt nur ...
Er hinkt nicht nur, er ist sogar komplett falsch.

_flo_
Posts: 23
Joined: 2002-07-15 20:47

Re: Meldungen im Log

Post by _flo_ » 2003-08-08 22:01

ich glaub dem wars gestern so langweilig das er ein und das selbe bei meinem server auch ne halbe stunde lang versucht hat...

selbe IP selbes vorgehen 8)

User avatar
Joe User
Project Manager
Project Manager
Posts: 11578
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Meldungen im Log

Post by Joe User » 2003-08-08 22:22

wenn er es nochmal versucht, dann macht zu dem Zeitpunkt mal bitte einen traceroute auf die IP, danke.

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: Meldungen im Log

Post by dea » 2003-08-08 23:13

Hoi Ihr Vergleichbehinker ;)

Ich denke (aber IANAL wie üblich - obwohl ich ja eher hetero bin ...) dass bei _wiederholten_ Einbruchsversuchen durchaus eine strafbare Absicht dokumentiert ist. Es geht mir in keinster Weise um ein eventuelles Strafmaß sondern vielmehr um

1. Die Sensibilisierung der zuständigen staatlichen Gewalten (Polizei, Staatsanwaltschaften, etc.) und
2. Das selbstbewusste Auftreten gegenüber Skriptkiddies und solchen die es weden wollen

Wenn wir es permanent zulassen, dass Angreifer (welcher Provenienz auch immer) ihre Werkzeuge an unseren Maschinen ausprobieren (und ggf. sogar erfolgreich sind!) fördern wir derlei Entwicklung nur. Erst wenn die Konsequenzen spür- und unmittelbar ausfallen lassen sich zumindest die "Neugierigen" u.U. noch von ihren Vorhaben abhalten.

In den Staaten wird unterhalb einer Schadenshöhe von 5000 $ garnicht erst ermittelt, darüber dauert es auch noch sehr lang. Das alles nicht, weil die Amis so dumm wären sondern aufgrund der radikalen Ã?berlastung der entsprechenden Abteilungen. Soweit darf es in Europa nicht kommen - schlimm genug, dass Ländergrenzen immer noch wie undurchdringliche Mauern wirken wenn es um Strafvervolgung geht :(

So, jetzt dürft Ihr gerne weitere Vergleiche behinken ;)

User avatar
Joe User
Project Manager
Project Manager
Posts: 11578
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Meldungen im Log

Post by Joe User » 2003-08-08 23:25

Moin,

das Problem in diesem Fall ist leider die dynamisch vergebene IP. Mit mehreren unabhängigen traceroutes auf die IP während eines 'Einbruchversuchs' liesse sich zumindest der Einwahlrouter des 'Eindringlings' und somit der ungefähre Wohnort ermitteln. Erst wenn sich herrausstellt, dass der 'Einbruchsversuch' immer vom selbem Einwahlknoten aus erfolgt, sollte man aktiv werden, alles Andere ist IMHO nur eine unnötige Belastung aller Beteiligten...

Gruss,
Mar'IANAL'kus

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Meldungen im Log

Post by captaincrunch » 2003-08-09 08:32

Ach dea ... so leid es mir tut, aber in diesem Fall kann ich deine Meinung (einmal mehr) nicht teilen :
1. Die Sensibilisierung der zuständigen staatlichen Gewalten (Polizei, Staatsanwaltschaften, etc.) und
Die genannten Institutionen haben ohnehin schon mehr als genug zu tun, um sich jetzt noch um jeden kleinen Sch..._portscan zu kümmern. Schau dich doch bitte einfach mal um, in welche Panik die meisten geraten, wenn sie selbst einen solchen bei sich entdecken.
Stell dir weiter vor, dass jetzt jeder kleine Betreiber eines Servers bei jedem Kleinsch... die Exekutive einschaltet. Wenn du mich fragst, führt das nicht zur Sensibilisierung, sondern eher zum Gegenteil, weil ohnehin nichts dabei rumkommt. Das Beispiel in den Staaten in punkto "überlasteter Staatsapparat" hast du schließlich selbst schon genannt.
2. Das selbstbewusste Auftreten gegenüber Skriptkiddies und solchen die es weden wollen
Dann sichere deinen Server vernünftig ab, und lach dich über die Kiddies kaputt. Mein Gott, wenn ihr also so eine Panik vor Scriptkiddies habt, solltet ihr vielleicht mal überlegen, ob ein öffentlicher Server das richtige für euch ist, zu viel Aufregung ist nämlich ungesund ... ;)
Wenn wir es permanent zulassen, dass Angreifer (welcher Provenienz auch immer) ihre Werkzeuge an unseren Maschinen ausprobieren (und ggf. sogar erfolgreich sind!) fördern wir derlei Entwicklung nur.
Dann versuch mal, dieses "Problem" von der anderen Seite zu sehen : die Tools / Exploits / Codefragmente existieren, und dagegen wirst weder du, noch sonst igrned jemand etwas tun können. Logische Schlussfolgerung ist dann doch wohl, dass die Tools auch genutzt werden, was dir aber auf der anderen Seite wieder entgegen kommt, dass Leute, die Software entwickeln nicht nur auf neue Features, sondern eben auch verstärkt auf die Sicherheit ihrer Produkte achten müssen.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Meldungen im Log

Post by dodolin » 2003-08-09 14:25

Ach dea ... so leid es mir tut, aber in diesem Fall kann ich deine Meinung (einmal mehr) nicht teilen :
Danke Christian, du sprichst mir aus der Seele, so kann ich mir meinen Beitrag hier ja sparen. :)

Ich bin auch dagegen unsere eh schon überlastete Polizei und Staatsanwaltschaft wegen solcher Nichtigkeiten zu belasten. Denn die damit unnötig verbrachte Zeit könnten sie wirklich besser für sinnvollere Aufgaben verwenden. :-(

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: Meldungen im Log

Post by dea » 2003-08-09 14:54

Was ist denn Eurer Meinung nach "sinnvoller" ?

Ihr seid echt die geborenen Opfer - werdet Euch nicht wehren, geschweige denn etwas gegen Angriffe Unternehmen. Der Eine weil er der festen Ã?berzeugung ist, unverwundbar zu sein und der Andere weil es "sinnvolleres" gibt als sich augenscheinlich krimineller Machenschaften zu erwehren.

Sry - aber das kann ich weder verstehen noch gutheißen :(
Last edited by dea on 2003-08-09 14:57, edited 1 time in total.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Meldungen im Log

Post by captaincrunch » 2003-08-09 14:55

Hatte ich doch schon geschrieben : die Kiste vernünftig absichern ... ;)
Ihr seid echt die geborenen Opfer - werdet Euch nicht wehren, geschweige denn etwas gegen Angriffe Unternehmen. Der Eine weil er der festen Ã?berzeugung ist, unverwundbar zu sein und der Andere weil es "sinnvolleres" gibt als sich augenscheinlich krimineller Machenschaften zu erwehren.
Wozu jetzt bitte diese Polemik ? Ich hab nie auch nur annähernd behauptet, "unverwundbar" zu sein. Ich rufe nur nicht gleich die Polizei, wenn mit jemand über den gartenzaun schaut, und genau das scheinst du nämlich zu tun.
Warum mich das zum "Opfer" machen sollte, sehe ich noch um einiges weniger, vor allem deshalb nicht, weil ich meine Kiste regelmäßigen Tests unterziehe und unterziehen lasse. Ich vermute eher, dass dir nicht wirklich klar ist, was ich unter einer "sicheren" Konfiguration verstehe, denn genau diese Tests gehören für mich dazu, auch wenn sie natürlich keine 100%ige Sicherheit bieten ...
Last edited by captaincrunch on 2003-08-09 15:03, edited 2 times in total.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

Outlaw
Posts: 1500
Joined: 2002-12-04 10:22
Location: 4. Server von rechts, 2. Reihe von oben

Re: Meldungen im Log

Post by Outlaw » 2003-08-09 14:57

2 Sachen:

1. Sind Portscans nicht erlaubt ??
2. Aus eigener Erfahrung möchte ich nur folgendes Mitteilen:

Die Staatsanwaltschafen werden solche "Anzeigen" wegen mangelndem öffentlichen Interesse sehr schnell einstellen und müde belächeln, erst recht, wenn kein Schaden entstanden ist. Ich finde auch, zu Recht.

Ich habe jetzt keine solche Anzeige gestellt, weswegen ich das jetzt einfach in den Raum gestellt habe. Ich hatte mal wegen nem INetbetrüger Anzeige erstattet und hatte mit der Abteilung der Kripo Ludwigsburg / Abteilung Wirtschaftskriminalität zu tun, die sich auch sehr intensiv mit Internetkriminalität auseinandersetzt (und über eBay ein Lied singen kann).
Ich kann nur sagen, die Jungs habn es drauf und wer sagt, die Behörden hätten keinen Plan, dem muss ich gehörig widersprechen. Mir viel die Kinnlade runter, welche Mittel und Wege denen zur Verfügung stehen.

2 Punkte relativieren das genze natürlich auch wieder etwas:

1. Auch die "Kriminellen" haben die selben Mittel und machmal acu wieder die besseren (man denke an das Viren/Antivieren Szenario)
2. Spielt manchmal die Zeit eine Rolle, da nicht die Ermittler die "Bremsen" sind, sondern die Gerichtsbarkeit, wobei das aber nicht pauschalisierbar ist. Zumindest habe ich von einer Staatsanwaltschaft nach 6 Monaten (!!) eine Nachricht bekommen, man hätte mich nicht schneller informieren können, da meine Anfrage in diesem Zeitraum "diverse Wege" gegangen wäre, die nicht nachvollziehbar gewesen wäre (also verschwunden).

Das war zumindest für mich kein Problem, da ich über die Kripo LB sehr zuverlässig und schnell und aktuell immer auf dem Laufenden gehalten wurde.

Mein Schaden betrug übrigens ca. 2600â?¬ und war nur ein Teil von einem Gesamtvolumen von über 100000â?¬. Die Sache wurde aber vorerst eingestellt, weil

1. Der "Flüchtige" sich verm. in Spanien abgesetzt hat
2. Er noch eine frühere größere Sache am Hals hat
3. In DE keine Sammelklagen möglich sind
4. Keine Aussicht auf Erfolg besteht

Ich hatte aber trotzdem Glück und kam mit einem blauen Auge davon, da ich Gott sei Dank per Kreditkarte bezahlt hatte und ich das Geld wieder zurückholen konnte (PayPAL musste klein bei geben).

Ok, wie Ihr schon bemerkt habt, ging es nicht um einen Angriffsversuch, sondern um die "Kinkerlitzchen", mit denen Ihr die eh schon überlasteten Behörden zusätzlich belasten wollt.

Die haben kaum noch Zeit, die "großen" Dinge zu bearbeiten. Zudem machen sich viele "Selbstjustitzler" und "Den prangere ich an" Leute selbst strafbar oder mindern die Chance auf Ermittlungserfolg, wenn sie unbedacht vorgehen oder nicht die "Schnauze" halten können.

Mein Fazit (und das mehrerer Bekannten, die ebenfalls Pech hatten):

Wenn der Schaden nicht all zu groß war, abschreiben, Gründe suchen und Ursachen beseitigen, besser aufpassen oder wenn das nicht möglich ist, die ganze Sache ganz sein lassen.

Wenn der Schaden weh tut, dann Anzeige erstatten und den Behörden Ihre Arbeit machen lassen, alle Hinweise zukommen lassen und hoffen (ber nicht zu viel hoffen), zumindes aber nicht gar nix machen, da sehr selten doch Erfolge möcglich sind und meist sind Provider und Co. Kulant, wenn man Aktenzeichen vorweisen kann. Dann noch zusätzlich die Vorgenannten Maßnahmen deru Ursachenbekämpfung betriben oder ganz aufgeben.

Wenn man gar keinen Schaden hat, die Behörden ganz raus lassen, es sei denn, es besteht der Verdacht auf Schädigung anderer Leute oder der Betrug ist eindeutig und 100%ig nachweisbar. Sachen wie: "Die IP xxx.xxx.xxx.xxx hat versucht, meinen Mailserver zu missbrauchen" ahben von vorneherein keine Chance. Das ist wie "Ein mit Hut bekleideter Mann hat versucht, meine Bankkartenpin auszuspähen", es gibt Mittel und Wege, dies zu verhindern, das ist nicht die Aufgabe der Behörden, den Leuten zu sagen "Dududu, das darfst Du nicht", denn das ist allgemein bekannt und die Behörden dürfen nur bei "richtigen" Schäden aktiv werden (hier fehlt mir leider das Wissen, wann die aktiv werden).

Mist, jetzt ist es wieder ein langer Vortrag geworden:

Ganz kurz an die "Ich zeige alle Anpinger an" Leute:

Kommt von Euren hohen Rössern runter .... :D:D

Gruß Outi
:D Gruß Outi :D

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: Meldungen im Log

Post by dea » 2003-08-09 15:01

Outi, Captain: Es ging hier nicht um die üblichen Portscans sondern um Einbruchsversuche. Lest auch die ersten Posts und nicht nur die Letzten ... :roll:

btw: ich kann nicht reiten ;)

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Meldungen im Log

Post by captaincrunch » 2003-08-09 15:05

Unter einem Einruchsversuch verstehe ich etwas ziemlich anderes als solche Scriptkiddiesch...

Schon mal Logs eines "richtigen" IDS und / oder Honeypots gesehen ? Wär vielleicht nicht verkehrt, sich sowas mal anzuschauen, danach schießt man vielleicht nicht mehr mit Kanonen auf Spatzen ...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Meldungen im Log

Post by dodolin » 2003-08-09 16:09

Was ist denn Eurer Meinung nach "sinnvoller" ?
Siehe Chris. Kiste vernünftig absichern. BTW: Ich lasse mir solche Logs erst gar nicht zu Gesicht kommen. Nur das, was wirklich interessant sein könnte, wird mir von logcheck gemailt (wird regelmäßig angepasst, wenn doch mal zuviel gemailt wird, damit ich es in Zukunft dann nicht mehr zu Gesicht bekomme).
Ihr seid echt die geborenen Opfer - werdet Euch nicht wehren, geschweige denn etwas gegen Angriffe Unternehmen.
Nein, das habe ich nie gesagt. Wenn mir ein wirklicher Schaden entstanden wäre, dann würde ich auch Anzeige erstatten. Aber ein Haus anzuschauen oder zu gucken, ob ein Schlüssel in die Haustür passt ist kein "wirklicher Schaden". Wirklich nicht.
Der Eine weil er der festen Ã?berzeugung ist, unverwundbar zu sein
Das hatte IIRC niemand behauptet. Trotzdem sehe ich die Chance sehr gering, dass jemand meinen Rootserver rootet.
und der Andere weil es "sinnvolleres" gibt als sich augenscheinlich krimineller Machenschaften zu erwehren.
Du solltest vielleicht deine Definition von "augenscheinlich krimineller Machenschaften" nochmals überprüfen. ;)

Ein Portscan z.B. ist keineswegs eine "kriminelle Machenschaft". Wenn mir ein Rechner seltsam in meinen Logs auffällt, scanne ich den durchaus auch mal, um zu gucken, ob dort was nicht in Ordnung sein könne.

Und auch ein Open Relay Test ist keine "kriminelle Machenschaft". Wenn ich einen Rechner dieser Tat verdächtige, schicke ich durchaus eine Testmail durch den hindurch, um das zu verifizieren oder zu falsifizieren.

Wenn ich einen offenen Proxy sehe, teste ich ihn auch, wenn ich Lust dazu habe.

Usw. usf.

Das sind alles völlig legitime Benutzungen, schließlich stellt der Betreiber des jeweiligen Rechners diese Dienste ja öffentlich bereit, insofern ist davon auszugehen, dass sie auch benutzt werden dürfen/sollen. Es werden ja schließlich zur Benutzung keine offensichtlich sichtbaren Schutzmaßnahmen umgangen oder sonstwas.

Und, BTW: Wenn sich jemand z.B. in seiner Browserzeile vertippt und ausversehen auf deiner Kiste landet, ist das dann ein "Portscan" und damit eine "offensichtlich kriminelle Machenschaft"? Und wie genau willst du einen Portscan von einem solchen Vertipper unterscheiden? Darüber solltest du mal nachdenken, IMHO.

mikespi
Posts: 95
Joined: 2002-12-28 17:47
Location: Muenchen

Re: Meldungen im Log

Post by mikespi » 2003-08-10 12:27

Outlaw wrote:Mir viel die Kinnlade runter, welche Mittel und Wege denen zur Verfügung stehen.
Na dann wird Sie dir heute erst recht runterfallen, nachdem das neue Netz der Polizei und die neuen Suchmaschinen online sind. :wink:


Muss ich nicht immer lesen es gibt keine 100% Sicherheit, und doch lässt ihr hier ein Gefühl von absoluter Sicherheit auftauchen. :wink:

Wer sich nicht wehrt verliert das war schon immer so.
Bleibt offen sich zu überlegen ab wann ein Angriff besteht. Ein Portscann ist das mit Sicherheit nicht. Ich weiss zwar nicht genau wie das jetzt heisst aber wer z.B. auf heise.de sich begibt da werden auch einige Ports abgefragt und gescannt.

Warum soll man nicht bei einem Angriff ( ich meine damit allerdings auch Angriff und nicht schauen ob da ne Lücke ist ) auf einem Rootserver Anzeige erstatten. Sicherlich wird das wie "Outlaw" schon sagte früher oder später im Sand verlaufen aber ganz am Ende werden die Dienststellen mit mehr Personal versorgt werden um den Bedarf abzudecken. Das ist jedenfalls hier bei uns so.
Und wenn es mehr Personal für Verbrechen im Internet gibt sehe ich optimistisch in die Zukunft das auch andere grausame Verbrechen im Netz schneller aufgeklärt werden können.

Ein Angriff auf einen Rootserver wird eine Anzeige nach sich ziehen und der Angreifer ( egal ob Scriptkid oder nicht ) zur vollen Rechenschaft gezogen.

Grüsse
Mike

P.s. Nicht alle sind so fit das sie die Rechner so gut absichern und wissen auch nicht wie die Server am besten auf Sicherheitslücken gecheckt werden sollen. Auch das nur bestimmt Logfiles von Interesse sind wissen auch nicht alle.
P.s.s. Irgendwie habe ich den Eindruck das hier Cracker die wahrscheinlich Schäden an anderen Rechnern verursachen wollen als "ach das gehört zu nem Rootserver halt dazu" verharmlost werden. Und genau das ist nicht der Fall.
p.p.s.s. Ã?hem ich gehöre nun mal auch zur Sorte der Rootanfängern :wink: und mache mir mehr Sorgen um Sicherheit als die Profis hier.