Dies ist eine mobil optimierte Seite, die schnell lädt. Wenn Sie die Seite ohne Optimierung laden möchten, dann klicken Sie auf diesen Text.

Hackversuch oder Portscan?

speckthehut

Hacker
Registriert
2. April 2012
Beiträge
362
Reaktionspunkte
93
Punkte
330
Ort
Beim Metzger
Moin!

Jetzt läuft mein Oscam Server einwandfrei! Stabil und die Zeiten der Karten sind super :emoticon-0105-wink:

Doch beim durchstöbern der Oscam.log ist mir etwas aufgefallen, und zwar

2012/04/26 18:13:27 xxx c xxx (1831&001103/2F47/4A:9FFF): found (153 ms) by um01 (of 1 avail 1)
2012/04/26 18:13:34 xxx c xxx (1831&001103/2F4A/4A:6E13): found (157 ms) by um01 (of 1 avail 1)
2012/04/26 18:13:37 xxx r xxx emmtype=shared, len=108, idx=30, cnt=1: written (362 ms) by um01
2012/04/26 18:13:37 xxx c xxx (1831&001103/2F47/4A:137D): found (158 ms) by um01 (of 1 avail 1)
2012/04/26 18:13:41 xxx c anonymous disconnected from 69.163.149.200
2012/04/26 18:13:41 xxx c thread xxx ended!
2012/04/26 18:13:44 xxx c xxx (1831&001103/2F4A/4AD62): found (150 ms) by um01 (of 1 avail 1)
2012/04/26 18:13:47 xxx c xxx (1831&001103/2F47/4A:B693): found (154 ms) by um01 (of 1 avail 1)
2012/04/26 18:13:54 xxx c xxx (1831&001103/2F4A/4A:37BA): found (150 ms) by um01 (of 1 avail 1)
2012/04/26 18:13:57 xxx c xxx (1831&001103/2F47/4A:6BD7): found (154 ms) by um01 (of 1 avail 1)
2012/04/26 18:14:04 xxx c xxx (1831&001103/2F4A/4A:E53A): found (154 ms) by um01 (of 1 avail 1)
2012/04/26 18:14:07 xxx c xxx (1831&001103/2F47/4A:69B7): found (153 ms) by um01 (of 1 avail 1)
2012/04/26 18:14:14 xxx c xxx (1831&001103/2F4A/4A:675A): found (158 ms) by um01 (of 1 avail 1)

Die IP vom anonymous ist aus den USA und hat scheinbar laut Google mit einem MinecraftServer zu tun. Was genau ist da passiert? Hatte der User hinter der IP nur einen Portscan gemacht oder sowas? ODer hatte er sogar Zugriff auf meinen Heimserver? Die IP taucht wirklich nur in dem Bereich des Log´s auf, nirgends anders...
Der Fail2ban ist auch nicht angesprungen o.ä.

Als hintergrund: Ich habe meinen Heimserver im Internet mit einem hohen Port im Router freigegeben, weil mein Bruder ein paar Häuser weiter wohnt. Und das ist devinitiv nicht seine IP Adresse.
 
wenn das nur ein mal aufgetaucht ist wird es kein hack versuch gewesen sein. dazu müsste er mehr mals auftauchen. aber was verstehst du unter einem "hohen port"? wenn das ein cs-typischer port ist darf man sich nicht wundern
dreamhost.com ist ein server hoster also könnte gut sein das sich dort ein script kiddy austobt und herrum scant
Code: 
> nmap -sS -P0 69.163.149.200

Starting Nmap 5.00 ( http://nmap.org ) at 2012-04-26 19:07 CEST
Interesting ports on ps12861.dreamhost.com (69.163.149.200):
Not shown: 989 filtered ports
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
25/tcp   open  smtp
80/tcp   open  http
110/tcp  open  pop3
143/tcp  open  imap
443/tcp  open  https
587/tcp  open  submission
993/tcp  open  imaps
995/tcp  open  pop3s
3306/tcp open  mysql
sieht aber komisch aus
 
Also mit dem hohen Port meint ich das mein Listen Port 64567 ist. (Leicht abgeändert) Dann geh ich auch mal davon aus das dies eine Ausnahme war, doch werd ich das in den nächsten Stunden besonders genau im Auge behalten. Notfalls muss Fail2ban da eingreifen.
 
failban oder fail2ban? die greifen ja nur bei einer bestimmten anzahl an "fehlversuchen" beziehungsweise wenn du fail2ban meinst würden mich deine filter interessieren
hast du denn einen receiver oder einen linux-server? bei letzterem könntest du die auch über "iptables -A INPUT -p tcp --source <ip> -j DROP" oder der datei "/etc/hosts.deny" sperren. aber bei manchen receiver gibt es sowas glaub ich nicht?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Menü
Anmelden
Registrieren
Für die Nutzung dieser Website sind Cookies erforderlich. Du musst diese akzeptieren, um die Website weiter nutzen zu können. Erfahre mehr…