1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Talk Hackversuch oder Portscan?

Dieses Thema im Forum "OScam Archiv" wurde erstellt von speckthehut, 26. April 2012.

  1. speckthehut
    Offline

    speckthehut Hacker

    Registriert:
    2. April 2012
    Beiträge:
    363
    Zustimmungen:
    113
    Punkte für Erfolge:
    43
    Beruf:
    Rebbe
    Ort:
    Beim Metzger
    Moin!

    Jetzt läuft mein Oscam Server einwandfrei! Stabil und die Zeiten der Karten sind super :emoticon-0105-wink:

    Doch beim durchstöbern der Oscam.log ist mir etwas aufgefallen, und zwar

    2012/04/26 18:13:27 xxx c xxx (1831&001103/2F47/4A:9FFF): found (153 ms) by um01 (of 1 avail 1)
    2012/04/26 18:13:34 xxx c xxx (1831&001103/2F4A/4A:6E13): found (157 ms) by um01 (of 1 avail 1)
    2012/04/26 18:13:37 xxx r xxx emmtype=shared, len=108, idx=30, cnt=1: written (362 ms) by um01
    2012/04/26 18:13:37 xxx c xxx (1831&001103/2F47/4A:137D): found (158 ms) by um01 (of 1 avail 1)
    2012/04/26 18:13:41 xxx c anonymous disconnected from 69.163.149.200
    2012/04/26 18:13:41 xxx c thread xxx ended!
    2012/04/26 18:13:44 xxx c xxx (1831&001103/2F4A/4A:DD62): found (150 ms) by um01 (of 1 avail 1)
    2012/04/26 18:13:47 xxx c xxx (1831&001103/2F47/4A:B693): found (154 ms) by um01 (of 1 avail 1)
    2012/04/26 18:13:54 xxx c xxx (1831&001103/2F4A/4A:37BA): found (150 ms) by um01 (of 1 avail 1)
    2012/04/26 18:13:57 xxx c xxx (1831&001103/2F47/4A:6BD7): found (154 ms) by um01 (of 1 avail 1)
    2012/04/26 18:14:04 xxx c xxx (1831&001103/2F4A/4A:E53A): found (154 ms) by um01 (of 1 avail 1)
    2012/04/26 18:14:07 xxx c xxx (1831&001103/2F47/4A:69B7): found (153 ms) by um01 (of 1 avail 1)
    2012/04/26 18:14:14 xxx c xxx (1831&001103/2F4A/4A:675A): found (158 ms) by um01 (of 1 avail 1)

    Die IP vom anonymous ist aus den USA und hat scheinbar laut Google mit einem MinecraftServer zu tun. Was genau ist da passiert? Hatte der User hinter der IP nur einen Portscan gemacht oder sowas? ODer hatte er sogar Zugriff auf meinen Heimserver? Die IP taucht wirklich nur in dem Bereich des Log´s auf, nirgends anders...
    Der Fail2ban ist auch nicht angesprungen o.ä.

    Als hintergrund: Ich habe meinen Heimserver im Internet mit einem hohen Port im Router freigegeben, weil mein Bruder ein paar Häuser weiter wohnt. Und das ist devinitiv nicht seine IP Adresse.
     
    #1
  2. phantom

    Nervigen User Advertisement

  3. aragorn
    Offline

    aragorn Guest

    wenn das nur ein mal aufgetaucht ist wird es kein hack versuch gewesen sein. dazu müsste er mehr mals auftauchen. aber was verstehst du unter einem "hohen port"? wenn das ein cs-typischer port ist darf man sich nicht wundern
    dreamhost.com ist ein server hoster also könnte gut sein das sich dort ein script kiddy austobt und herrum scant
    Code:
    > nmap -sS -P0 69.163.149.200
    
    Starting Nmap 5.00 ( http://nmap.org ) at 2012-04-26 19:07 CEST
    Interesting ports on ps12861.dreamhost.com (69.163.149.200):
    Not shown: 989 filtered ports
    PORT     STATE SERVICE
    21/tcp   open  ftp
    22/tcp   open  ssh
    25/tcp   open  smtp
    80/tcp   open  http
    110/tcp  open  pop3
    143/tcp  open  imap
    443/tcp  open  https
    587/tcp  open  submission
    993/tcp  open  imaps
    995/tcp  open  pop3s
    3306/tcp open  mysql
    sieht aber komisch aus
     
    #2
  4. speckthehut
    Offline

    speckthehut Hacker

    Registriert:
    2. April 2012
    Beiträge:
    363
    Zustimmungen:
    113
    Punkte für Erfolge:
    43
    Beruf:
    Rebbe
    Ort:
    Beim Metzger
    Also mit dem hohen Port meint ich das mein Listen Port 64567 ist. (Leicht abgeändert) Dann geh ich auch mal davon aus das dies eine Ausnahme war, doch werd ich das in den nächsten Stunden besonders genau im Auge behalten. Notfalls muss Fail2ban da eingreifen.
     
    #3
  5. aragorn
    Offline

    aragorn Guest

    failban oder fail2ban? die greifen ja nur bei einer bestimmten anzahl an "fehlversuchen" beziehungsweise wenn du fail2ban meinst würden mich deine filter interessieren :)
    hast du denn einen receiver oder einen linux-server? bei letzterem könntest du die auch über "iptables -A INPUT -p tcp --source <ip> -j DROP" oder der datei "/etc/hosts.deny" sperren. aber bei manchen receiver gibt es sowas glaub ich nicht?
     
    #4

Diese Seite empfehlen