[HaBo]

13.06.06, 15:57

Moin, mein FTP wird in 3 Sekunden takt angepingt

Protokoll: Auszug ist noch viel viel mehr, immer von den gleichen Rechner, IP ist schon gespeert, versuch läuft trotzdem weiter.....

Code:

 2006-06-13 15:48:38 - (not logged in) (195.70.128.174) ! New connection from 195.70.128.174 ignored... IP is banned, disconnecting... 2006-06-13 15:48:42 - (not logged in) (195.70.128.174) ! New connection from 195.70.128.174 ignored... IP is banned, disconnecting... 2006-06-13 15:48:45 - (not logged in) (195.70.128.174) ! New connection from 195.70.128.174 ignored... IP is banned, disconnecting... 2006-06-13 15:48:48 - (not logged in) (195.70.128.174) ! New connection from 195.70.128.174 ignored... IP is banned, disconnecting... 2006-06-13 15:48:51 - (not logged in) (195.70.128.174) ! New connection from 195.70.128.174 ignored... IP is banned, disconnecting... 2006-06-13 15:48:54 - (not logged in) (195.70.128.174) ! New connection from 195.70.128.174 ignored... IP is banned, disconnecting... 2006-06-13 15:48:57 - (not logged in) (195.70.128.174) ! New connection from 195.70.128.174 ignored... IP is banned, disconnecting... 2006-06-13 15:49:00 - (not logged in) (195.70.128.174) ! New connection from 195.70.128.174 ignored... IP is banned, disconnecting... 2006-06-13 15:49:03 - (not logged in) (195.70.128.174) ! New connection from 195.70.128.174 ignored... IP is banned, disconnecting... 2006-06-13 15:49:06 - (not logged in) (195.70.128.174) ! New connection from 195.70.128.174 ignored... IP is banned, disconnecting... 2006-06-13 15:49:09 - (not logged in) (195.70.128.174) ! New connection from 195.70.128.174 ignored... IP is banned, disconnecting... 2006-06-13 15:49:12 - (not logged in) (195.70.128.174) ! New connection from 195.70.128.174 ignored... IP is banned, disconnecting... 2006-06-13 15:49:15 - (not logged in) (195.70.128.174) ! New connection from 195.70.128.174 ignored... IP is banned, disconnecting... 2006-06-13 15:49:19 - (not logged in) (195.70.128.174) ! New connection from 195.70.128.174 ignored... IP is banned, disconnecting... 2006-06-13 15:49:22 - (not logged in) (195.70.128.174) ! New connection from 195.70.128.174 ignored... IP is banned, disconnecting... 2006-06-13 15:49:25 - (not logged in) (195.70.128.174) ! New connection from 195.70.128.174 ignored... IP is banned, disconnecting... 2006-06-13 15:49:31 - (not logged in) (195.70.128.174) ! New connection from 195.70.128.174 ignored... IP is banned, disconnecting... 2006-06-13 15:49:34 - (not logged in) (195.70.128.174) ! New connection from 195.70.128.174 ignored... IP is banned, disconnecting... 2006-06-13 15:49:37 - (not logged in) (195.70.128.174) ! New connection from 195.70.128.174 ignored... IP is banned, disconnecting...

Ist das nen Hackversuch?, ich meine das ist doch nicht normal.....

mfg ba2

Voodoo · 13.06.06, 16:03

Außer einer Sperrung gibt es wohl nichts, was du dagegen machen kannst. Einen Hackversuch würde ich das jetzt nicht gerade nennen, selbst wenn einige Zeitgenossen soweit gehen das als Flooding zu bezeichnen.

Unter welchem System läuft denn der Server? Gerade für linuxbasierte Systeme wäre es sehr einfach, da mittels Packetfilter Abhilfe zu schaffen.

Anzeige

- Anzeige -

13.06.06, 16:12

Windows2003 Server

kann ich alle aktivitäten von den auf meinen server beobachten?

Sone art sniffer nur auf einer IP bezogen?

nicht das da noch was läuft, was ich nicht merke...

Könnte es ja auch mit den SYN-Cookies Mechanismus blocken

Voodoo · 13.06.06, 16:14

Sorry, da muss ich passen. Habe noch keine einzige Minute an einer Win-2003-Server-Maschine gesessen

naked_chef · 13.06.06, 16:28

Zitat:

Sone art sniffer nur auf einer IP bezogen?

warum nicht ein sniffer mit IP Filter ?

Wireshark (ex- ethereal) kann so etwas ...

**xeno** · 13.06.06, 16:51

kannst du nicht sehen mit welchen login's er's versucht? sieht nämlich nach ner bruteforce attacke aus. wenn deine passwörter lang genug und sicher gewählt sind sollte da nix passieren.

Heinzelotto · 13.06.06, 21:29

wenn jemand deinen server im 3 sekunden takt anpingt, würde ich das nicht als flooding bezeichnen. Ein "hackversuch" ist es sicher auch nicht, ich wüsste jedenfalls nicht, was der "Angreifer" damit bezwecken will. Die einzige möglichkeit ist AFAIK ip sperren, aber ich hatte auch noch nice einen win server und werde auch nie einen haben (wollen)

TUX$ · 13.06.06, 23:01

Hallo,

bei der genannten IP Adresse 195.70.128.174 würde ich mir keine Gedanken über eine ernsthafte Gefärdung machen. ;o)

Dies ist ein "verkonfigurierter" tschechischer Server, der offen ist, wie ein Scheunentor und auch noch als Mailrelay konfiguriert ist.
Ein gefundenes Fressen für die Spammerfraktion ;o)

Gruß
TUX$

Ancient · 14.06.06, 08:41

@TUX

Anscheinend haben sie das mitlerweile gefixt weil als ich versucht hab ne fake mail an mich selbst zu schreiben kam. "WE DO NOT RELAY"

Lector · 16.06.06, 04:17

Also auf einen Angriff würde ich aus 2 gründen nicht tippen (nur ne vermutung)
Also die IP ist meiner meinung nach eine LAN IP, und deshalb, kann dieser "Angriff" ja nur aus dem lokalen netzwerk kommen....wer könnte das sein?

3. Bruteforce machen normalerweise nicht im 3 sekunden - takt sondern eher 20 mal pro sekunde

also würd ich das auch ausschließen, ich denke eher dass es ein fehler im netzwerk ist, fehlerhafte konfiguration...aber das sind alles nur Idees, ich selber saß nie vor nem windows server2003, sry
aber so würd ich mir das erlären.

Hoffe ich konnte helfen

Lector

**soox** · 16.06.06, 19:32

Zitat:

Original von Lector
..Also die IP ist meiner meinung nach eine LAN IP, und deshalb, kann dieser "Angriff" ja nur aus

...3. Bruteforce machen normalerweise nicht im 3 sekunden - takt sondern eher 20 mal pro sekunde ...

nein, ist keine private ip das sind nur
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
169.254.0.0/16

und zum zweiten punkt...eine langsame brute-force attacke hat den vorteil, dass sie viel schneller vom admin uebersehen wird....oder ein ids welches nicht sehr schlau konfiguriert wurde und man so ueberteupeln kann

Anzeige

- Anzeige -

13.06.06, 16:51	#6 (permalink)
xeno Moderator Registriert seit: 09.09.04 Likes: 76	kannst du nicht sehen mit welchen login's er's versucht? sieht nämlich nach ner bruteforce attacke aus. wenn deine passwörter lang genug und sicher gewählt sind sollte da nix passieren. __________________ http://www.thehappy.de/~xeno/ http://www.blogthon.de/

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Ihr habt doch nichts dagegen	Test User	Fun Section	21	16.02.06 15:50
Mein Computer startet immer langsamer auf was kann ich dagegen tun???	schweiz	Die Problemzone	32	25.03.05 22:54
(Erfolgreicher) Hackversuch über verschiedene Server(?) oder Clients(?)?	Imrahil	(In)security allgemein	2	03.03.05 21:53
ICQ: Sicherheitslücken bekannt, jedoch wird nichts dagegen getan	Tec	News & Ankündigungen	1	11.05.03 13:49

13.06.06, 16:03	#2 (permalink)
Voodoo Senior Member Registriert seit: 21.01.04 Likes: 0	Außer einer Sperrung gibt es wohl nichts, was du dagegen machen kannst. Einen Hackversuch würde ich das jetzt nicht gerade nennen, selbst wenn einige Zeitgenossen soweit gehen das als Flooding zu bezeichnen. Unter welchem System läuft denn der Server? Gerade für linuxbasierte Systeme wäre es sehr einfach, da mittels Packetfilter Abhilfe zu schaffen.

13.06.06, 16:12	#3 (permalink)
ba2 Guest Likes:	Windows2003 Server kann ich alle aktivitäten von den auf meinen server beobachten? Sone art sniffer nur auf einer IP bezogen? nicht das da noch was läuft, was ich nicht merke... Könnte es ja auch mit den SYN-Cookies Mechanismus blocken

13.06.06, 16:14	#4 (permalink)
Voodoo Senior Member Registriert seit: 21.01.04 Likes: 0	Sorry, da muss ich passen. Habe noch keine einzige Minute an einer Win-2003-Server-Maschine gesessen

13.06.06, 21:29	#7 (permalink)
Heinzelotto Senior Member Registriert seit: 29.07.05 Likes: 0	wenn jemand deinen server im 3 sekunden takt anpingt, würde ich das nicht als flooding bezeichnen. Ein "hackversuch" ist es sicher auch nicht, ich wüsste jedenfalls nicht, was der "Angreifer" damit bezwecken will. Die einzige möglichkeit ist AFAIK ip sperren, aber ich hatte auch noch nice einen win server und werde auch nie einen haben (wollen)

13.06.06, 23:01	#8 (permalink)
TUX$ Registriert seit: 04.06.06 Likes: 0	Hallo, bei der genannten IP Adresse 195.70.128.174 würde ich mir keine Gedanken über eine ernsthafte Gefärdung machen. ;o) Dies ist ein "verkonfigurierter" tschechischer Server, der offen ist, wie ein Scheunentor und auch noch als Mailrelay konfiguriert ist. Ein gefundenes Fressen für die Spammerfraktion ;o) Gruß TUX$

14.06.06, 08:41	#9 (permalink)
Ancient Registriert seit: 15.08.05 Likes: 0	@TUX Anscheinend haben sie das mitlerweile gefixt weil als ich versucht hab ne fake mail an mich selbst zu schreiben kam. "WE DO NOT RELAY"

16.06.06, 04:17	#10 (permalink)
Lector gesperrt Registriert seit: 03.09.05 Likes: 0	Also auf einen Angriff würde ich aus 2 gründen nicht tippen (nur ne vermutung) Also die IP ist meiner meinung nach eine LAN IP, und deshalb, kann dieser "Angriff" ja nur aus dem lokalen netzwerk kommen....wer könnte das sein? 3. Bruteforce machen normalerweise nicht im 3 sekunden - takt sondern eher 20 mal pro sekunde also würd ich das auch ausschließen, ich denke eher dass es ein fehler im netzwerk ist, fehlerhafte konfiguration...aber das sind alles nur Idees, ich selber saß nie vor nem windows server2003, sry aber so würd ich mir das erlären. Hoffe ich konnte helfen Lector

[HaBo]

Hackversuch, was dagegen tun?