Hallo allerseits erstmal....
lese seit ein paar monaten die mailling list....aber fands bisher eher
langweilig..(so von den themen her)...scheint ja jetzt mal interessant zu
werden...
zu dem einbruchsversuch...melden bei der telekom bringt da wohl garnix..weil
die telekom mit eigenen wort schonmal gesagt hat...
"uns ist es nicht m�glich die ip addressen aus unserem pool einem user im
nachhinein zuzuordnen" ;-)
da wohl eher pech
ich w�rds an deiner stelle eher beobachten...ob �hnliches nochmal
passiert...
gibts immer irgendwelche el33t script kiddies die so nen scheiss probieren
,-)
hmm, achja, wenn ich mich richtig entsinne isses hier die regel sich
vorzustellen....
also kurz zu mir..
Name: Christian Roos
Wohnort: Frankfurt am Main
Beruf: 1 & 2nd level support f�r cisco router / switche
so far
greetz
Chris
-----Urspr�ngliche Nachricht-----
Von: Mukunda Peter Pasedach <[EMAIL PROTECTED]>
An: [EMAIL PROTECTED] <[EMAIL PROTECTED]>
Datum: Donnerstag, 12. Oktober 2000 21:49
Betreff: [PUG] Angriffsversuch?
>Moin
>
>Ich hab mir mal /var/log/messages von unserer
>Firewallmaschine angeguckt, und mu�te feststellen, da� uns
>in der Nacht von Montag auf Dienstag wohl jemand gescannt hat.
>
>Oct 10 01:46:09 vectra kernel: Packet log: input REJECT ppp0 PROTO=6
193.159.9.78:62780 212.185.232.25:1 L=48 S=0x00 I=39346
>F=0x400
>0 T=122 SYN (#51)
>Oct 10 01:46:09 vectra kernel: Packet log: input REJECT ppp0 PROTO=6
193.159.9.78:62782 212.185.232.25:2 L=48 S=0x00 I=39348
>F=0x400
>0 T=122 SYN (#51)
>Oct 10 01:46:09 vectra kernel: Packet log: input REJECT ppp0 PROTO=6
193.159.9.78:62783 212.185.232.25:3 L=48 S=0x00 I=39349
>F=0x400
>0 T=122 SYN (#51)
>
>So geht das drei Sekunden lang weiter, wobei der Reihenfolge
>nach alle Ports von 1 bis 59 gescannt wurden und dann nochmal
>die meisten anderen Ports unter 40 ein zweites Mal gescannt
>wurden. Hinzu kommt noch folgendes aus /var/log/auth.log:
>
>Oct 10 01:35:34 vectra sshd[14831]: Did not receive ident string from
193.159.9.78.
>Oct 10 01:37:37 vectra sshd[14837]: Did not receive ident string from
193.159.9.78.
>Oct 10 01:39:18 vectra sshd[14841]: Faking authloop for illegal user demo
from 193.159.9.78 port 62048
>Oct 10 01:39:22 vectra sshd[14841]: Received disconnect:
>Oct 10 01:46:09 vectra sshd[14847]: Did not receive ident string from
193.159.9.78.
>
>Er (oder sie) versucht sich per ssh einzuloggen. Ein paar
>Minuten vor dem Portscan.
>
>Was mache ich jetzt mit diesen Informationen? Der Mensch
>scheint ja nicht reingekommen zu sein, sonst h�tte er wohl
>diese Spuren beseitigt.
>
>mukunda@vectra:~$ host 193.159.9.78
>Name: pC19F094E.dip.t-dialin.net
>Address: 193.159.9.78
>
>Sollte ich das irgendwo bei t-online melden? Wo?
>
>Mukunda
>---------------------------------------------------------------------------
>PUG - Penguin User Group Wiesbaden - http://www.pug.org
>
---------------------------------------------------------------------------
PUG - Penguin User Group Wiesbaden - http://www.pug.org
