Thema: (Gelöst) Wie finde ich heraus, wer in mein System einbrechen wollte?

Also ich verwende bei solchen "Angriffen" Baldrian und Kamillentee, das beruhigt.

Das sieht nach einer ganz normalen, gedroppten Anfrage auf Port 22 aus, was zugegebenermassen theoretisch ein Angriff sein *könnte*.

Läuft bei Dir überhaupt ein SSH-Server? Wenn Nein, dann "Wo nichts läuft ist auch nichts zu holen". Die Firewall hat die Anfrage gedroppt, wenn ich das richtig sehe. Es gibt einige Scriptkiddies, die nach verwundbaren Servern suchen und wild durch die Gegend scannen und da diese meist keine Ahnung haben, was sie tun, ist ein sauber konfigurierter Rechner kein lohnendes Ziel und fertig.

Wenn Du unbedingt dem "bösen Hacker" auf die Spur kommen willst, dann solltest Du zuerst nachsehen, ob dieser Eintrag z.B. zig male nacheinander innerhalb kürzester Zeit auftaucht, ansonsten würde ich hier nicht in Paranoia ausbrechen, denn ein "Angreifer", der nur einmal nachfragt und nach einem "NEIN" vom Server einfach verschwindet stellt wohl keine ernsthafte Gefahr dar.

Ansonsten gilt, immer zeitnahe Sicherheits-Patches einspielen, sichere Passwörter verwenden, das Übliche eben.


Greetz,


RM

Zitat von DerGrosseBaer

Danke für die bisherigen Antworten. Panik bricht keine aus, denn

1. ist sshd so konfiguriert, daß nur Public Key Authentifizierung möglich ist
2. ist sshd so konfiguriert, daß es nur im internen Netz lauscht
3. läßt die Firewall keinen Verbindungsaufbau von außen zu

Thumbs up, gute Konfiguration.

Ich hab auch nicht vor, gegen irgendwelche Script Kiddies vorzugehen.

Jupp, die sind die Mühe auch meist nicht wert, weil die null Ahnung haben und bei guter Konfiguration (siehe oben) sich eher "lohnendere" Ziele, wie den nächsten ungepatchten *Ich_schreib_jetzt_kein_OS_hin_ihr_könnts_euch_ja_ denken*-PC suchen und den dann "hacken".

Mich interessiert prinzipiell die Vorgangsweise, wie man einem Angreifer nachspürt. Wie verfolgt man jemand im Internet? In den diversen Büchern zu diesem Thema ist das ja immer toll beschrieben, wie sie den Angreifer von System zu System verfolgt haben, aber wie genau das gemacht wurde, steht nie drinnen.

Nun ja, da gibt es wohl 2 Möglichkeiten.

Entweder man verwendet die Standard-Tools wie Traceroute&Co oder die Experten haben irgendwelche Experten-Tools, die sie nicht so einfach verraten wollen, sonst würden sie diese in die Berichte reinschreiben, oder?

Eine nette Site, die ein paar Standard-Tools zum Ausprobieren enthält ist:

www.dnsstuff.com

Greetz,

RM

Zitat von Rain_Maker

Nun ja, da gibt es wohl 2 Möglichkeiten.
Entweder man verwendet die Standard-Tools wie Traceroute&Co oder die Experten haben irgendwelche Experten-Tools, die sie nicht so einfach verraten wollen, sonst würden sie diese in die Berichte reinschreiben, oder?
Eine nette Site, die ein paar Standard-Tools zum Ausprobieren enthält ist:
www.dnsstuff.com

Danke für den Link.

Ich hab auch einen Hinweis auf whois bekommen. Das hab ich mir installiert, und konnte damit auch schon die Infos der Systeme abrufen, von denen der Einbruchsversuch kam.

Ist doch nett zu wissen, daß man sich an einen ISP-Admin wenden kann, wenn mal jemand zu aufdringlich wird.

Zitat von DerGrosseBaer

Ist doch nett zu wissen, daß man sich an einen ISP-Admin wenden kann, wenn mal jemand zu aufdringlich wird.

Jupp, das ist auch der Sinn der Sache .

Damit ist die Sache wohl erstmal erledigt.

-----> closed.

Greetz,

RM

(Im Zweifelsfalle, PN an mich, denke aber das Thema ist erledigt).