Re: AW: [PUG] Spannende Logs

Thu, 02 Sep 2004 08:19:56 -0700 

Moritz Bellach schrieb:

also falls jemand grad nix zu tun hat kann er/sie/es ja mal die mail
erklÃrend kommentieren




Users logging in through sshd:
   ********:
      p508179FB.dip.t-dialin.net (80.129.121.251): 2 times


Das sind meine Logins und sind OK

**Unmatched Entries**
Illegal user test from ::ffff:221.166.169.102
User guest not allowed because shell /dev/null is not executable
Illegal user user from ::ffff:221.166.169.102
Illegal user test from ::ffff:221.166.169.102

> Illegal user postgres from ::ffff:61.100.191.232

hier versucht jemand von der IP 221.166.169.102 und 61.100.191.232, sich Ãber diverse Standard Namen sich einen Login zu verschaffen.

Also dachte ich mir mal, kucken mir mal, wer hinter der IP steckt. Erst
vermutete ich einen Dial UP PC, aber:

Normalerweise werden dial Up Rechner (Zombies) fÃr sowas missbraucht, da sie i.d.R Ãber keine Logging Mechanismen verfÃgen.

whois 61.100.191.232 

ich kucke nach, wem gehÃrt die Adresse.

inetnum:      61.96.0.0 - 61.111.255.255
netname:      KRNIC-KR
descr:        KRNIC
descr:        Korea Network Information Center
country:      KR
admin-c:      HM127-AP
tech-c:       HM127-AP


Sie gehÃrt also zum KRNIC und geht von 61.96.0.0 bis 61.111.255.255.255

Der hat sie vermietet an:

[ ISP Organization Information ]
Org Name      : Enterprise Networks
Service Name  : ENTERPRISENET
Org Address   : 646-1 12ì Yeoksam-dong , Gangnam-gu
[...]

da sagt mir schon, ah, also eine Firma, kein Dial UP PC. Dialup IP's haben in fast 100% der FÃlle einen reverse Lookup, der darauf schlieÃen lÃsst. Deine lautete: p50810CD3.dip0.t-ipconnect.de

nmap -sS -O -v 61.100.191.232

Ich bin neugierig, und schaue nach, ob es immer noch der selbe PC ist und scanne ihn nach offenen Ports:

Starting nmap 3.55 ( http://www.insecure.org/nmap/ ) at 2004-08-31 22:50
CEST
Host 61.100.191.232 appears to be up ... good.
Initiating SYN Stealth Scan against 61.100.191.232 at 22:50


Er ist also noch/wieder da

Adding open port 25/tcp
Adding open port 22/tcp
Adding open port 143/tcp


Das sind die spannenstens Ports. Schnell ein:

telnet 61.100.191.232 25

sagt mir:

glorysky.net ESMTP Sendmail 8.11.6/8.11.6

Es es erscheint reflexartig ein Grinsen in meinem Gesicht, denn es ist bekannt das Sendmail offener ist, als "Gina Wild" es jemals sein kÃnnte :-D

Damit wÃre dann alles klar. Eine Mail mit der Log ging an den Admin.

cu
----------------------------------------------------------------------------
PUG - Penguin User Group Wiesbaden - http://www.pug.org

Antwort per Email an