Hallo Lug!
Diese Frage stelle ich hier, weil sich hier einige mit dem Uninetz auskennen. Ich hatte einen Cracker, der meinen Server sabotierte. Der erste Kontakt war anscheinend mit seiner echten IP:
# nmap 141.30.213.64
Starting nmap 3.30 ( http://www.insecure.org/nmap/ ) at 2004-04-21 19:58 CEST Interesting ports on 141.30.213.64: (The 1630 ports scanned but not shown below are in state: closed) Port State Service 22/tcp open ssh 25/tcp filtered smtp 53/tcp open domain 111/tcp filtered sunrpc 137/tcp filtered netbios-ns 138/tcp filtered netbios-dgm 139/tcp filtered netbios-ssn 161/tcp filtered snmp 162/tcp filtered snmptrap 515/tcp filtered printer 1993/tcp filtered snmp-tcp-port 6000/tcp open X11 6346/tcp filtered gnutella 32770/tcp open sometimes-rpc3
Meine Frage: Ist das wirklich ein Studentenarbeitsplatz und wie kriege ich den? Es wäre schon hilfreich, ggf. das Wohnheim zu wissen.
Thomas
Thomas Schmidt:
Hallo Lug!
Diese Frage stelle ich hier, weil sich hier einige mit dem Uninetz auskennen. Ich hatte einen Cracker, der meinen Server sabotierte. Der erste Kontakt war anscheinend mit seiner echten IP:
# nmap 141.30.213.64
Ein $ whois 141.30.213.64 liefert dir die Daten der Leute, an die du dich nach einer Anzeige bei der Polizei wenden solltest.
Freundlich grüßend,
Erik
On Wednesday 21 April 2004 20:08, Thomas Schmidt wrote:
Hallo Lug!
Diese Frage stelle ich hier, weil sich hier einige mit dem Uninetz auskennen. Ich hatte einen Cracker, der meinen Server sabotierte. Der erste Kontakt war anscheinend mit seiner echten IP:
# nmap 141.30.213.64
Starting nmap 3.30 ( http://www.insecure.org/nmap/ ) at 2004-04-21 19:58 CEST Interesting ports on 141.30.213.64: (The 1630 ports scanned but not shown below are in state: closed) Port State Service 22/tcp open ssh 25/tcp filtered smtp 53/tcp open domain 111/tcp filtered sunrpc 137/tcp filtered netbios-ns 138/tcp filtered netbios-dgm 139/tcp filtered netbios-ssn 161/tcp filtered snmp 162/tcp filtered snmptrap 515/tcp filtered printer 1993/tcp filtered snmp-tcp-port 6000/tcp open X11 6346/tcp filtered gnutella 32770/tcp open sometimes-rpc3
Meine Frage: Ist das wirklich ein Studentenarbeitsplatz und wie kriege ich den? Es wäre schon hilfreich, ggf. das Wohnheim zu wissen.
Aus eigener Erfahrung weiss ich, dass die Uni (zumindest die Betreuer fuer die Wohnheime) einen PortScan als Feindlichen Akt betrachtet. Ich hoffe fuer Dich, dass der (evtl. unschuldig) Betroffene sich nicht an diesen wendet.
Gruesse, Jan.
On Wed, 21 Apr 2004 21:43:41 +0200 Jan Wagner waja@gmx.de wrote:
Aus eigener Erfahrung weiss ich, dass die Uni (zumindest die Betreuer fuer die Wohnheime) einen PortScan als Feindlichen Akt betrachtet. Ich hoffe fuer Dich, dass der (evtl. unschuldig) Betroffene sich nicht an diesen wendet.
...wobei ich mich außerdem frage, was ER denn mit dem Portscan bezwecken will. Machtdemonstration? Vergeltung von gleichem mit gleichem? Oder nur ein bisschen Kindergarten spielen?
Gruß Matthias
On Wed, Apr 21, 2004 at 09:43:41PM +0200, Jan Wagner wrote:
On Wednesday 21 April 2004 20:08, Thomas Schmidt wrote:
Hi Jan,
Aus eigener Erfahrung weiss ich, dass die Uni (zumindest die Betreuer fuer die Wohnheime) einen PortScan als Feindlichen Akt betrachtet. Ich hoffe fuer Dich, dass der (evtl. unschuldig) Betroffene sich nicht an diesen wendet.
Was sollen die machen, eine Anzeige bei der Polizei stellen?!? Die Sysadmins sperren nur die Leute die einen Portscan im internen Netz machen und auch das halte ich für extrem übertrieben... werden in Zukunft alle Leute verhaftet die eine Mail an cia.gov schreiben?
Portscans gehören zum Internet wie IP und TCP, sie zu verbieten weißt nur auf mangelnde Kompetenz der Admins hin...
Ciao, Tobias
On Wed, 21 Apr 2004 23:10:50 +0200 Tobias Koenig tokoe@kde.org wrote:
Portscans gehören zum Internet wie IP und TCP, sie zu verbieten weißt nur auf mangelnde Kompetenz der Admins hin...
Trotz dessen kann es als Vorbereitung eines Angriffes gewertet werden. Und in Thomas' Fall sieht es ja ganz danach aus...
Gruß Matthias
Hi Tobias!
On Wednesday 21 April 2004 23:10, Tobias Koenig wrote:
On Wed, Apr 21, 2004 at 09:43:41PM +0200, Jan Wagner wrote:
Aus eigener Erfahrung weiss ich, dass die Uni (zumindest die Betreuer fuer die Wohnheime) einen PortScan als Feindlichen Akt betrachtet. Ich hoffe fuer Dich, dass der (evtl. unschuldig) Betroffene sich nicht an diesen wendet.
Was sollen die machen, eine Anzeige bei der Polizei stellen?!? Die Sysadmins sperren nur die Leute die einen Portscan im internen Netz machen und auch das halte ich für extrem übertrieben... werden in Zukunft alle Leute verhaftet die eine Mail an cia.gov schreiben?
Meine Aussage war wertungsfrei. Aber ich halte Reaktionen auf Portscans fuer sinnlos (ausser Gegenmassnahmen am betroffenen Rechner). Es ist nichts anderes als das allseitsbekannte "Klingelputzen".
Portscans gehören zum Internet wie IP und TCP, sie zu verbieten weißt nur auf mangelnde Kompetenz der Admins hin...
Naja .. wenn man permanent mit massiven Portscans belegt wird, dann kann man schon die Nerven verlieren. :-)
Gruesse, Jan.
On Wed, Apr 21, 2004 at 08:08:00PM +0200, Thomas Schmidt wrote:
Meine Frage: Ist das wirklich ein Studentenarbeitsplatz und wie kriege ich den? Es wäre schon hilfreich, ggf. das Wohnheim zu wissen.
Im Willersbau, Fluegel A, befindet sich das Unirechenzentrum. Ich weiss nicht mehr genau, wen man fragen musste, aber dort kann dir auch geholfen werden. Alternativ mal eine Mail an die AG DSN schicken.
Zum ersten Teil deiner Frage: Ja, die IP riecht sehr nach Wohnheim, die Institute haben meist kleiner IP's, und die 141.30.217.0 ist z.B. auch ein Wohnheim.
Ulf
Thomas Schmidt [2004-04-21, 20:06 +0200]:
Hi,
Diese Frage stelle ich hier, weil sich hier einige mit dem Uninetz auskennen. Ich hatte einen Cracker, der meinen Server sabotierte.
Was hat er gemacht?
Der erste Kontakt war anscheinend mit seiner echten IP:
# nmap 141.30.XX.XX
Woher weisst Du die? War das nmap von Dir? Das Ding sieht etwas nach Firewall aus, d. h. dahinter _könnten_ sich mehrere Hosts befinden.
BTW, wer Portscans verbieten will, der verbiete bitte auch all diese wild um sich "broadcastenden" Systeme!
Portscanning is not a crime.
Gruß,
Frank
Hallo Lug!
Danke für Eure Antworten. Den Portscan habe ich zu folgendem Zweck gemacht: Um zu sehen, ob das wirklich sein persönlicher Rechner ist oder ein Proxy. Und da ich aus dem Scan nicht schlau wurde, fragte ich hier. Außerdem hätte ich mir evtl. die Webseite angeguckt oder per VPN geschaut, wie der Rechner heißt. Mehr mit Sicherheit nicht, auch wenn Ihr meint, ich hätte das nötig.
Der Schaden bestand darin, daß er durch einen Programmierfehler meines Forums (der Code ist offen) Benutzer löschte. Das hat mich viel Zeit, Nerven und Ärger gekostet. Mithilfe der log konnte ich aber alles wiederherstellen.
Ich bin mir absolut sicher, daß er zumindest kurz mit der genannten IP arbeitete.
Thomas
Thomas Schmidt lug-dd@netaction-server.de wrote:
Ich bin mir absolut sicher, daß er zumindest kurz mit der genannten IP arbeitete.
Mmhhh.... normalerweise haben die Wohnheime alle Macfilter. Der Angreifer kann wenn er im Wohnheim ist, nicht seine IP fälschen, da das mit der Mac und umgekehrt nicht mehr passt. Die IPs sind Zimmern zugewiesen, akzeptiert wird nur eine Mac pro Zimmer. Möglichkeit 2 wäre das WLAN der Uni. Da werden die IPs aber per DHCP zugwiesen und es wird ebenfalls ein Macfilter benutzt. Ergo: Der Angreifer müsste sich imho direkt im betreffenden Zimmer befunden haben.
Wie hast du denn geloggt? Bzw. _was_ hat geloggt. iptables + syslog(-ng)? snort? ....
Mfg, Martin
On Fri, 23 Apr 2004 13:50:59 +0200 Martin Weissbach martin.weissbach@gmx.de wrote:
Thomas Schmidt lug-dd@netaction-server.de wrote:
Ich bin mir absolut sicher, daß er zumindest kurz mit der genannten IP arbeitete.
Mmhhh.... normalerweise haben die Wohnheime alle Macfilter. Der Angreifer kann wenn er im Wohnheim ist, nicht seine IP fälschen, da das mit der Mac und umgekehrt nicht mehr passt. Die IPs sind Zimmern zugewiesen, akzeptiert wird nur eine Mac pro Zimmer. Möglichkeit 2 wäre das WLAN der Uni. Da werden die IPs aber per DHCP zugwiesen und es wird ebenfalls ein Macfilter benutzt. Ergo: Der Angreifer müsste sich imho direkt im betreffenden Zimmer befunden haben.
whisper ~ # ifconfig eth0 eth0 Link encap:Ethernet HWaddr 00:06:1B:D9:A7:2F inet addr:192.168.0.254 Bcast:192.168.0.255 [...]
whisper ~ # ifconfig eth0 hw ether 00:11:22:33:44:55 whisper ~ # ifconfig eth0 eth0 Link encap:Ethernet HWaddr 00:11:22:33:44:55 inet addr:192.168.0.254 Bcast:192.168.0.255 [...]
whisper ~ # ifconfig eth0 hw ether 00:06:1B:D9:A7:2F whisper ~ # ifconfig eth0 eth0 Link encap:Ethernet HWaddr 00:06:1B:D9:A7:2F inet addr:192.168.0.254 Bcast:192.168.0.255 [...]
Frank Benkstein lists@benkstein.net wrote:
whisper ~ # ifconfig eth0 eth0 Link encap:Ethernet HWaddr 00:06:1B:D9:A7:2F inet addr:192.168.0.254 Bcast:192.168.0.255 [...]
whisper ~ # ifconfig eth0 hw ether 00:11:22:33:44:55 whisper ~ # ifconfig eth0 eth0 Link encap:Ethernet HWaddr 00:11:22:33:44:55 inet addr:192.168.0.254 Bcast:192.168.0.255 [...]
whisper ~ # ifconfig eth0 hw ether 00:06:1B:D9:A7:2F whisper ~ # ifconfig eth0 eth0 Link encap:Ethernet HWaddr 00:06:1B:D9:A7:2F inet addr:192.168.0.254 Bcast:192.168.0.255 [...]
Ich wollte mit meinem Beitrag oben ausdrücken das Mac Spoofing im Wohnheim nichts bringt. Du kannst die Mac so oft ändern bis du schwarz wirst. Du musst dich im entsprechenden Zimmer im WH befinden. Ich kann zwar die Mac meiner Nachbarn verwenden, durch den Switch kommt dann von mir aber kein einziges Packet, da ich mich im falschen Zimmer befinde, geregelt wird das imho über die Ports der Switches.
Beim WLAN wäre es natürlich möglich zuvor durch Snffing eine Mac eines Benutzers zu finden und diese dann zu benutzen.
On Wed, 21 Apr 2004 20:08:00 +0200, Thomas Schmidt wrote:
Diese Frage stelle ich hier, weil sich hier einige mit dem Uninetz auskennen. Ich hatte einen Cracker, der meinen Server sabotierte. Der erste Kontakt war anscheinend mit seiner echten IP:
# nmap 141.30.213.64
...
Meine Frage: Ist das wirklich ein Studentenarbeitsplatz und wie kriege ich den? Es wäre schon hilfreich, ggf. das Wohnheim zu wissen.
Die TU pflegt an manchen Stellen ihr DNS ganz ordenlich. Mit traceroute bekommt man durch die Benamsung der Router ganz gut mi, wo so ein Rechner steht:
rf11@max:~> trt 141.30.213.64 ... 11 cat6k-web.campus.urz.tu-dresden.de (141.30.1.54) 68.386 ms 69.160 ms 68.8 55 ms 12 PH-LOEF.urz.tu-dresden.de (141.30.1.126) 69.407 ms 71.626 ms 68.863 ms 13 * * * 14 tdot4.inf.tu-dresden.de (141.30.211.4) 3064.848 ms !H 3062.837 ms
PH-LOEF steht für Powerhub-Loefflerstrasse.
Reinhard
Hallo Reinhard!
rf11@max:~> trt 141.30.213.64 ... 68.8 55 ms 12 PH-LOEF.urz.tu-dresden.de (141.30.1.126) 69.407 ms 71.626 PH-LOEF steht für Powerhub-Loefflerstrasse.
Danke für den Tip!
Durch - wie heißt das - social engeneering konnte ich recht schnell den Verursacher ausfindig machen. Er gehört zu meinem weiteren Bekanntenkreis und war mir bisher durch bemerkenswerte Kameradschaftlichkeit aufgefallen.
Wahrscheinlich läßt er seine Agressionen immer an unschuldugen Webservern aus.
Thomas
lug-dd@mailman.schlittermann.de
-
Erik Schanze -
Frank Becker -
Frank Benkstein -
Jan Wagner -
Martin Weissbach -
Matthias Petermann -
Reinhard Foerster -
Thomas Schmidt -
Tobias Koenig -
Ulf Lorenz