Re: [PUG] Angriffsversuch?

Thu, 12 Oct 2000 15:49:01 -0700 

Moin

On Thu, Oct 12, 2000 at 11:59:01PM +0200, Martin Schmitt wrote:
> * Mukunda Peter Pasedach ([EMAIL PROTECTED]) wrote/schrieb:
> 
> > Sollte ich das irgendwo bei t-online melden? Wo?
> 
> [EMAIL PROTECTED] w�re ein guter Anfang. Das ist i.d.R. ein Alias, wo
> jemand die Mails liest.

Ich hab jetzt eine Mail an [EMAIL PROTECTED] geschrieben. 

mukunda@vectra:~$ whois  193.159.9.78

....

remarks:     *****************************************************************
remarks:     * ABUSE CONTACT: [EMAIL PROTECTED] IN CASE OF HACK ATTACKS,      *
remarks:     * ILLEGAL ACTIVITY, VIOLATION, SCANS, PROBES, SPAM, ETC.        *
remarks:     *****************************************************************

...

Ansonsten habe ich logcheck installiert, das guckt sich jede Stunde 
meine logfiles an und schreibt mir alle paar Stunden eine Mail, wenn
irgendwas passiert ist. 

Ich bin dieser Zeit dabei etwas mehr Bewu�tsein bez�glich
Sicherheit zu entwickeln, nicht nur eine Firewall installiert zu
haben, sondern auch zu die logfiles zu verfolgen. Ich wollte
zwar nicht paranoid werden, aber ein wenig Aufmerksamkeit wollte
ich der Sicherheit auf alle F�lle schenken. 

Als Ausgangspunkt f�r mein Firewallscript habe ich dieses
http://www.ecst.csuchico.edu/~dranch/LINUX/TrinityOS/cHTML/TrinityOS-071400c-10.html#ss10.6
Script genommen, was mir ziemlich gut aussieht. 

In den letzten paar Tagen habe ich noch ein paar andere Sachen 
entdeckt. Wie kann z.B. ein Paket von einem Host mit 192.168.x.x 
Adresse auf ppp0 reinkommen?

Oct 12 00:47:35 vectra kernel: Packet log: input REJECT ppp0 PROTO=6 192.168.2.1:80 
212.185.232.63:36135 L=1500 S=0x00 I=33149
F=0x0
000 T=243 (#19)

und

Oct 12 01:41:35 vectra kernel: Packet log: input REJECT ppp0 PROTO=6 192.168.1.1:80 
212.185.232.63:47268 L=1500 S=0x00 I=65155
F=0x0
000 T=243 (#6)

Das waren ca. 30 Pakete im Zeitraum von etwas einer Stunde.

Sowas kommt h�ufiger.

Oct 11 13:01:56 vectra kernel: Packet log: input REJECT ppp0 PROTO=17 
192.168.128.16:9642 212.185.232.108:6970 L=399 S=0x00
I=32099 
F=0x4000 T=240 (#19)

ca. 50 Pakete in 4 Sekunden. Port 6970 hat was mit real audio zu tun, oder? 
Seit ich die t-dsl-flatrate habe, h�re ich viel Radio, und an sich funktioniert
das sehr sch�n. Aber von 192.168.128.16 ?

Mukunda
---------------------------------------------------------------------------
PUG - Penguin User Group Wiesbaden - http://www.pug.org

Antwort per Email an