Serverattack from Anonymous

7

7th

kennt sich schon aus
Wünsche einen guten...

Follgendes würde ich gerne Wissen. Ich habe des öfteren Anfragen an meine FTP Sever. Es versucht jemand (bin mir recht sicher) per anonymous auf meien Sever zu zu greifen...jedoch scheitert er oder sie immer am PW. In dem Severlog kann ich ja die IP sehen die versucht hat mein Sys zu Hacken und meine Frage ist...was mache ich nun mit dieser IP ?? Kann ich auf irgendeinem Weg (legal natürlich) heraus finden wer bzw. was da versucht auf meinem Sever rauf zu kommen ???

Thx im vorraus...alles gute

7th
 
Das einzige was du machen kannst, ist schauen, zu welchem Provider die IP-Range gehört. Aber das ist auch schon alles.
Für alles weitere müsstest du Anzeige erstatten. Aber was du da beschreibst sind simple Scans, bei denen geprüft wird, ob der Server der zufällig auf dieser IP erreichbar ist, einen anonymen Zugang erlaubt.
 
An sich kein Problem, da alle Provider einen festen IP-Bereich haben. So hat z.B. die T-Com 80.x.x.x bzw. 217.x.x.x - diese bereiche sind öffentlich und per Google zu finden.
Oder Du sprichst die Dir bekannte IP mal direkt an.
Unter XP: Start, Ausführen -> CMD (DOS-Fenster geht auf)
eingeben: tracert IP-Adresse (z.B. tracert 80.110.10.50)

tracert = TraceRoute. Es wird der Weg über die einzelnen Server bis zur eingegebenen IP verfolgt und angezeigt. Jetzt hast Du den Provider. Dieser kann anhand der IP und der Zeit des "Einbruchversuches" genau zuordnen, wer das war. Ob die allerdings die Daten rausgeben, das ist fraglich. Aber sie können ihren User "verwarnen" - sofern das nicht von nem Server kommt, der in Antigua o.ä. steht :D Da sind Deine Chancen kleiner als Null :D
 
Wie Stoney schon sagte, das sind keine gezielten Hacker-Attacken, sondern Scans, mit denen einfach ein paar tausend Adressen auf mögliche offene Zugriffe geprüft werden - so als ob jemand über einen Parkplatz schlendert und an jedem Auto die Türen "kontrolliert".
Man kann anhand der Adresse den Provider ermitteln und dann Meldung an deren Abuse-Abteilung machen. Ich habe das bisher (in einem anderen Zusammenhang) einmal getan, gehört habe ich aber nie mehr was davon.
Mein Log ist auch voll davon, man gewöhnt sich dran ;).
Es kann ja auch nichts passieren. Weitaus unangenehmer wäre da schon eine Bruteforce-Attacke, wo unzählige Kombinationen aus Benutzer und Passwort getestet werden.
 
OK habt vielen Dank für eure Infos....Ich glaube ich werde mir doch ein etwas komplizierteres PW verfassen ^^.

byby

7th
 
7th schrieb:
OK habt vielen Dank für eure Infos....Ich glaube ich werde mir doch ein etwas komplizierteres PW verfassen ^^.

byby

7th
Zum Vergrößern anklicken....

für diesen fall der "etwas" sicheren passes würde ich , ist zwar für anderen bereich geeignet bzw. vorgesehen , das tool "RK-WLAN.Keygen" von Robert Knapp raten . das teil haut passes raus ... da kommt kein "dau" drauf .
 
hmmm ok hab mal aus juxx tracert benutzt...da wurden auch reichlich ip angezeigt, inklusive ein paar namen.......ähmmm....jo fein....(kopfkratz).
Wie sehe ich den jetzt was "was" ist ???? Gibts da ne Faustregel oder so ZB. die erste IP is dein Router....die zweite is immer der "sonstwas" oder so und die letzte is die vom router von dem, der dich hacken wollte ???

HELP !!!

byby 7th
 
Die Quell-IP hast Du ja von Anfang an, sonst könntest Du ja kein Traceroute starten. Wenn die Anfrage nicht bis zum Ziel durchkommt, dann blockiert da was, z.B. eine Firewall.
 
Hallo,

ich hatte Gestern auch unerwünschten Besuch. Ich frage mich wie er meinen Server gefunden hat, ich habe nur einer Person meine Daten gegeben. Und diese Person würde sie nie weiter geben. Ich weiß auch nicht wo der jenige sich herum getrieben hat und was so einer alles anstellen kann.
Gibt es bei Gene6 FTP eine ausführliche LOG Datei ? Kann ich solche Besuche verhindern und auch protokolieren. Dann wüßte ich wenigstens was derjenige gesucht bzw. heruntergeladen hat.
Dummerweise war ich erst einmal so geschockt, das ich den Server sofort eingestellt habe, so daß ich nicht bei Übertragungen reingeschaut habe.
 
War denn ganz sicher jemand drin? Oder hat derjenige vielleicht nur "an der Tür gerüttelt".
Um Deinen Server zu finden, muss man die Adresse nicht kennen. Man scannt einfach einen Bereich von X-Tausend IP-Adressen, und irgendwo ist auch Deine dazwischen. Die Logfiles von Gene6 findest Du im Unterverzeichnis "Log" im Installationsordner, da werden alle Aktionen protokolliert - sofern Du in den Optionen nichts anderes eingestellt hast.
 
Hi,

danke für den Hinweis! Aus der Log Datei geht hervor, das Jemand bzw. ein Robot Programm ca. 25 Minuten probiert hat sich einzuloggen.

Der Host lautet: charlie161.server4you.de

Login Namen: Temp, Test, Toor, Irc, mysql, news und guest.

Im ganzen wurden etwa 250 Fehlversuche registriert.
 
Geh mal in die Domaineinstellungen, Rubrik Authentifizierung.
Dort kannst Du ein Konto angeben, auf das bei fehlerhaftem Login umgeleitet wird.
Erstelle einen Benutzer und weise ihm ein leeres Verzeichnis als Homedirectory zu, das nimmst Du dann als Ziel. Damit er auch was zu lesen hat, kannst Du noch eine Textdatei mit wüsten Beleidigungen in unterschiedlichen Sprachen dort ablegen :).
 
Ob das eine gute Idee ist? Auf diese weise hat jeder freien Eintritt. Wenn man aber für das neue Konto ein Passwort eintragen könnte und ab einer bestimmten Anzahl von Fehlversuchen, den Zugang zum "leeren" Ordner gewähren würde. Dann hätte er sein Erfolgserlebnis und zieht vielleicht weiter.
 
Genau das meine ich ja damit - er wird direkt in den leeren Ordner geleitet, versucht vielleicht noch, ob man etwas hochladen kann, was natürlich nicht funktionieren darf - und stellt fest: Unbrauchbar.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben