versuchter Hack ? anzeigen

[homeless1]

Ich schau mir grad seit tagen die log an und finde das jeden tag.

Aug 12 13:24:03 server sshd[17619]: Illegal user from *.*.*.*
Aug 12 13:24:03 server sshd[17619]: Failed none for illegal user from *.*.*.* port 27724 ssh2
Aug 12 13:24:03 server sshd[17622]: (pam_unix) bad username []
Aug 12 13:24:03 server sshd[17619]: error: PAM: User not known to the underlying authentication module for illegal user from ******.dip.t-dialin.net
Aug 12 13:24:03 server sshd[17619]: Failed none for illegal user from *.*.*.* port 27724 ssh2
Aug 12 13:24:04 server sshd[17619]: Failed password for illegal user from *.*.*.* port 27724 ssh2
Aug 12 13:24:05 server sshd[17623]: (pam_unix) bad username []
Aug 12 13:24:05 server sshd[17619]: error: PAM: User not known to the underlying authentication module for illegal user from *****.dip.t-dialin.net
Aug 12 13:24:05 server sshd[17619]: Failed password for illegal user from *.*.*.* port 27724 ssh2
Aug 12 13:24:05 server sshd[17619]: Failed password for illegal user from *.*.*.* port 27724 ssh2
Aug 12 13:24:05 server sshd[17624]: (pam_unix) bad username []
Aug 12 13:24:05 server sshd[17619]: error: PAM: User not known to the underlying authentication module for illegal user from ******.dip.t-dialin.net
Aug 12 13:24:05 server sshd[17619]: Failed password for illegal user from *.*.*.* port 27724 ssh2

Seine IP-Adresse habe ich ja und gefakt ist sie ja auch nicht. soll ich das gleich t-online melden oder an wenn wende ich mich da.

[Joe User]

Du hast weder seine IP (man dialin/man proxy), noch würde es keinen ISP der Welt jucken, ob jemand versucht, sich auf Deiner Kiste einzuloggen.
Du bist root und Du bietest SSH öffentlich an...

[homeless1]

was soll ich in so einem fall machen ?
ssh port ändern ?

[kenzo]

Du hast weder seine IP (man dialin/man proxy)

Naja - *****.dip.t-dialin.net ist wohl von T-Online nachvollziehbar und wie ein Proxy sieht das auch nicht aus, oder übersehe ich da was?

noch würde es keinen ISP der Welt jucken, ob jemand versucht, sich auf Deiner Kiste einzuloggen.

Sollte es aber eigentlich, sofern es irgendwann zum Ã?rgernis wird. Bei T-Online wäre ich mir aber auch nicht so sicher, ob eine Abusemeldung auf fruchbaren Boden fällt...

was soll ich in so einem fall machen ?
ssh port ändern ?

Nein, das ändert gar nichts, wenn es jemand auf dich abgesehen haben sollte. Abusemeldung und/oder ignorieren.

[Joe User]

noch würde es keinen ISP der Welt jucken, ob jemand versucht, sich auf Deiner Kiste einzuloggen.

Sollte es aber eigentlich

Ich wüsste nicht, weshalb ein ISP auf legale Handlungen reagieren sollte!?

sofern es irgendwann zum Ã?rgernis wird.

Auch "Ã?rgernisse" sind kein Grund zur Reaktion, da legal.

Bei T-Online wäre ich mir aber auch nicht so sicher, ob eine Abusemeldung auf fruchbaren Boden fällt...

Wenn sie berechtigt ist, wird der T-Online-Abusedesk auch aktiv...

[mirko]

noch würde es keinen ISP der Welt jucken, ob jemand versucht, sich auf Deiner Kiste einzuloggen.

Sollte es aber eigentlich

Ich wüsste nicht, weshalb ein ISP auf legale Handlungen reagieren sollte!?

das ist keine legale handlung.
mal zwei beispiele: deine wohnungstür hat ein schloß? ist es also legal, wenn ich alle schlüssel, die ich besitze, ausprobiere, um hereinzukommen? du würdest nicht die polizei rufen? und wenn einer passt: darf ich dann in deine wohnung und alles mitnehmen? ;-)

oder: ich lasse mein cabrio mit offenem verdeck auf der strasse stehen. vergesse den schlüssel abzuziehen. es ist trotzdem nicht legal, dass du dich reinsetzt und losfährst.
allerdings bekomme ich einen bußgeldbescheid von der polizei, wenn die das bemerken.

[mc5000]

an das beispiel hab ich auch schon gedacht, doch der versuch mit einem schlüssel die tür zu öffnen ist nich illegal - das motiv ist in der situation das hauptkriterium (wenn du ein brecheisen in der hand hast sieht es auch wieder anders aus ....)

öffnen darfst du die tür aber auf keinen fall

es wird so ausgelegt, dass je der loginversuch noch gar nix über das motiv aussagt ....

vielleicht stehen zwei identische autos auf dem hof und du merkst gar nicht, das du die ganze zeit am falschen rum hantierst

ich halt das zwar auch für schwachsinn, doch so ist das nu mal.

und wenn du ein gutes passwort hast, der root login abgeschaltet ist, oder du nen key nutzt - was solls ??

wenn du aber angst hast, das er über den ssh-login reinkommt, uiiiiiiii :)

[dodolin]

Also wäre ich der beschuldigte T-Online User und T-Online würde mich fragen, was das soll, würde ich sagen, dass ich mich da vermutlich einfach in der IP/dem Hostnamen vertippt hätte und mich eigentlich auf meinem eigenen Server einloggen wollte. ;) Was ist daran jetzt illegal?

[kenzo]

Ich wüsste nicht, weshalb ein ISP auf legale Handlungen reagieren sollte!?

Bitte klär mich auf: Ich dachte immer, explizite Anstrengungen, besonders geschützte Zugänge zu sonstwelchen Diensten zu überwinden (also bspw. SSH User/Passwort z.B. zu "bruteforcen"), seien nicht legal - das hat für mich auch nichts mit dem Benutzen eines öffentlich angebotenen Dienstes zu tun, da das Ziel ist, den Schutz (User/Pass) zu überwinden.

[sascha]

Waren das nur 3 Logins wie oben? Dann vergiss es einfach wieder. Waren es 100-1000 oder noch mehr, würde ich schonmal an abuse schreiben. Hatte ich damals auch gemacht als ein Kasper meinte, sich bei mir einloggen zu müssen ;). Angeblich wurde der Kunde dann auch angeschrieben.

[oxygen]

Also wäre ich der beschuldigte T-Online User und T-Online würde mich fragen, was das soll, würde ich sagen, dass ich mich da vermutlich einfach in der IP/dem Hostnamen vertippt hätte und mich eigentlich auf meinem eigenen Server einloggen wollte. ;) Was ist daran jetzt illegal?

Genau daran hab ich auch gedacht. Passiert nun mal. Eine Böse Absicht kann man bei 3-5 Versuchen nicht unterstellen, er versucht es ja nicht mal als root, sondern als ein nicht vorhandenern User...

Mal davon abgesehen, ist zur Zeit wohl ein Wurm unterwegs der versucht sich per ssh einzuloggen. Ich würde fast davon ausgehen, dass das so ein Fall ist.

[kenzo]

Mal davon abgesehen, ist zur Zeit wohl ein Wurm unterwegs der versucht sich per ssh einzuloggen. Ich würde fast davon ausgehen, dass das so ein Fall ist.

Noch ein Grund mehr für eine Abusemeldung: Die verseuchte Kiste vom Netz nehmen zu lassen.

[Joe User]

noch würde es keinen ISP der Welt jucken, ob jemand versucht, sich auf Deiner Kiste einzuloggen.

Sollte es aber eigentlich

Ich wüsste nicht, weshalb ein ISP auf legale Handlungen reagieren sollte!?

das ist keine legale handlung.

Ist es, da lediglich der erfolgreiche Login in ein besonders gesichertes System strafbar ist, jedoch nicht der Loginversuch an sich.

mal zwei beispiele:

Beide Vergleiche hinken der Realität hinterher...

[Joe User]

Ich wüsste nicht, weshalb ein ISP auf legale Handlungen reagieren sollte!?

Bitte klär mich auf: Ich dachte immer, explizite Anstrengungen, besonders geschützte Zugänge zu sonstwelchen Diensten zu überwinden (also bspw. SSH User/Passwort z.B. zu "bruteforcen"), seien nicht legal

Wie bereits geschrieben, ist der Versuch nicht strafbar, sondern nur der erfolgreiche unerlaubte Login in ein besonders gesichertes System.

[kenzo]

Wie bereits geschrieben, ist der Versuch nicht strafbar, sondern nur der erfolgreiche unerlaubte Login in ein besonders gesichertes System.

Wie ich soeben las, außer, wenn der Passwort-Rater vor hat, bspw. Daten zu verändern o.ä. (§ 303a StGB) - aber "Recht an sich" ist anscheinend ein recht schwieriges Thema.

[oxygen]

Ja das ist eine komplizierte Materie.
Jedoch ist rechtlich gesehen, der Versuch strafbar, wenn §303 zutrifft.

§ 303a. Datenveränderung. (1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) Der Versuch ist strafbar.

§ 303b. Computersabotage. (1) Wer eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, dadurch stört, daß er

eine Tat nach § 303a Abs. 1 begeht oder

eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert,
wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
(2) Der Versuch ist strafbar.

Es kann je nach Fall aber auch §202 angewendet werden, hier ist der Versuch nicht strafbar.

§ 202a. Ausspähen von Daten. (1) Wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

Für weitere Fragen besser einen Rechtsverdreher konsultieren...

[homeless1]

ich wollte halt nur sichergehen wie ich bei so einem problem vorgehe. Weil irgend jemand versucht es täglich sich per ssh bei mir einzuloggen. Als root hat er auch schon versucht. ich halte mein system täglich up-to-date. einen port-scanblocker hab ich auch schon installiert port-sentry.
eine firewall hab ich noch nicht auf dem root-server wäre super wenn da jemand auf debianhowto ein howto erstellen könnte, der wo sich damit auskennt.

[captaincrunch]

einen port-scanblocker hab ich auch schon installiert port-sentry.
eine firewall hab ich noch nicht auf dem root-server wäre super wenn da jemand auf debianhowto ein howto erstellen könnte, der wo sich damit auskennt.

Das ist jetzt bitteschön doch wohl nicht dein Ernst, oder?

[Joe User]

Ja das ist eine komplizierte Materie.
Jedoch ist rechtlich gesehen, der Versuch strafbar, wenn §303 zutrifft.

Nö, denn es geht hier um Loginversuche und nicht um Manipulationsversuche. Ein kleiner, aber wichtiger Unterschied ;)

[nyxus]

Das ist jetzt bitteschön doch wohl nicht dein Ernst, oder?

wäre zumindest ein kurzes HowTo ... ;-)

[sascha]

Dieses Howto gibts doch schon:

http://www.debianhowto.de/howtos/de/firewall/c_firewall.html

[dodolin]

@Sascha: ROTFL!

Auch ganz lesenswert zum Thema "Personal Firewall" bzw. "hostbasierte Paketfilter": http://www.linkblock.de/

[darkman]

Hi,

nochmal ein Zusatz zu den Gesetzen:
je nach Anwalt und Richter kann man folgendes anwenden:
303a - Datenveraenderung

(1) Wer rechtswidrig Daten (§202a Abs. 2) loescht, unterdrueckt, unbrauchbar
macht oder veraendert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe
bestraft.
(2) Der Versuch ist strafbar

Grund: wenn ein Login "erfolgreich" ist, werden auf jeden Fall Daten
veraendert. Damit ist ein Versuch vorhanden der Strafbar ist.
Mit entsprechendem Glueck reicht schon das "erzeugen" von Logs
als Datenveraenderung (Du kannst mit viel Logins ja z.B. die Platte
vollkritzeln, dann werden andere Logs u.U. nicht mehr geschrieben
und es greift §303b - Computersabotage). Nicht zu vergessen:
in solchen Faellen kann das ganze auch einfach nach hinten losgehen:
Wenn man sich mit root/12345 einloggen kann, ist das (grob) Fahrlaessig.
Da der ganze "virtuelle kram" fuer viele ein Buch mit sieben Siegeln ist,
ist es vor Gericht schwer einzuschaetzen wie weit man kommt. Mit den
entsprechenden Anwaelten etc. allerdings schon sehr weit ;)

Aber fuer den normalen Rootserverbesitzer gilt:
Server selber sicher halten, dann kann man ruhig schlafen und solche
Versuche erstmal ignorieren. Solang dadurch nichts beeintraechtigt
wird, sollte das egal sein. Nimmt es ueberhand kann man sich ueberlegen
ob man die Abuseabteilung des Providers bemueht. Wenn man nicht
der einzigste ist der sich beschwert, wird der Provider meist auch was
unternehmen. Ist es ein gezielter Angriff gegen eine Person hilft nur
der Weg zur Polizei und Anzeige erstatten.

So long,
Darkman

[Anonymous]

1. Der Vergleich zwischen Wohnungstür und dem Rootserver hinkt ein wenig. Weil: In der Natur einer Wohnungstür liegt es, das dahinter Privateigentum steckt. In der Natur der freigeschalteten Services eines Servers liegt es aber, diese zur Verfügung zu stellen. Deshalb ist der einfache "Versuch oder Irrtum" sich an einem Server anzumelden keine Straftat. Auch nicht wenn dies geloggt und damit Daten verändert werden, weil für dieses loggen ist ja nicht direkt der "Angreifer" zuständig, sondern derjenige der den Server betreibt. Dann wäre ggf. auch schon ein ping strafrechtlich beachtenswert, gel oder der Abruf einer HTML-Seite von deinem Server. Also der anzunehmende Vorsatz beim Versuch eine Wohnungstür zu öffnen bzw. in den Server einzudringen ist unterschiedlich. Ã?brigens schadet es auch nicht wirklich, wenn ich mich besoffen mal in der Haustür irre. Oder ist dafür schon mal jemand belangt worden ?
2. Vorsatz besteht allerdings dann, wenn (und das sieht man ja auch häufig genug in den Log's) jemand offentsichtlich automatisiert innerhalb von Sekunden mehrere (viele) USER und PWD Kombination als Login probiert.
Dann wiederum besteht die Frage nach dem "erreichten" Schaden. Wenn Dein System abgesichert ist und Du normal keinen Schaden erleidest werden Dir irgendwelche rechtlichen Maßnahmen teurer kommen als die Strafe, die den potentiellen "Hacker" erwartet.

...

[perlitz]

Bei dem netten Wohnungstürvergleich gibt es auch noch was zu beachten: das Motiv!

Wenn ich so besoffen bin, und die Tür verwechsel ... ist es was anderes, als wenn ick absichtlich eine Fremde Tür versuche zu öffnen.

Blöde nur, das jeder behaupten kann, er hätte sich halt bei der IP vertippt, und wollte ansich nur am eigenen Server einloggen (oder dessen "Sicherheit" testen) 8) Und es dürfte schwer fallen, hier das Gegenteil zu beweisen. :roll: