Tschello Portscans

Tschello Portscans (90 Beiträge, 244 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Tschello scannt derzeit von den bisher bekannten IP adressen 62.178.20.199 und 212.17.67.136 nach servern auf den ports 21, 22, 23, 25, 42, 43, 79, 80, 88, 110, 119, 135, 143, 194, 443, 529, 1080, 1214, 1243, 1688, 1745, 2301, 3128, 5000, 5190, 5191, 5192, 5193, 5631, 5632, 5800, 5900, 6000, 6588, 8000, 8010, 8080, 9100, 12345, 25867, 27374, 31789, 54320. Werden server gefunden erhält der account inhaber ein anschreiben von abuse@chello.at.

mfg
Tom (privat)
Resistance is futile!

danke, gut zu wissen

Danke! Is' aber nett von Chello, dass sie Dir bei der Suche nach Trojanern helfen. Sowas aber auch. Dankedankedanke, Chello! Und jetzt büddde, mir armen kleinen ComputerDAU, könnt's ma sagen wie ich's abstell?

Wetten, dann is' Ruhe?

Shadows can be made real
if you kill in their name.

das machen sie eh liebend gerne...

nennt sich "disconnect"

dann is sicher ruhe =)

live long and prosper!

-quattro-

Ffffrpppttt.

Shadows can be made real
if you kill in their name.

danke

Keep on Googlin',
airboy
Meine richtige Signatur ist Teil eines Zeugenschutzprogrammes und wird deshalb vorerst geheimgehalten. Bitte haben Sie Verständnis!

man nehme eine Firewall, gebe für die beiden IPs 62.178.20.199 und 212.17.67.136 "block all" ein und fertig is die Gschicht

Sollte eigentlich mit jeder halbwegs vernünftigen Firewall funktionieren

Eliot.

[ ] Geizhals
[X] Privatmeinung

Grüßdisch, hier werden sie geholfen: eliot@geizhals.at

Ausserdem fertige man ein log von diesen Zugriffen an und sende es an abuse@chello.at

For love will convert the veriest coward into an inspired hero. -- Plato / Symposium More quotes on this site J.

Ich werd's in meine Sammlung von "Mutig - Übermütig - Frech" aufnehmen.

Shadows can be made real
if you kill in their name.

meister..
du kannst mir sicherlich sagen wie ich mit iptables das logging einschalt oder?

Keep on Googlin',
airboy

Bin zwar absolut nicht der Meister, aber get das nicht mit dem Target LOG?
For love will convert the veriest coward into an inspired hero. -- Plato / Symposium More quotes on this site J.

Der erste der jetzt 'n Gildo-Horn Witz bringt stirbt mit meinem Ping im Bauch!

Auf http://www.linuxguruz.org/iptables/howto/iptables-HOWTO.html findest die gesamte Erklärung vom Autor des Filters.

In Kurz, logging funktioniert, indem Du einfach eine Zeile in den Table einfügst, die Bedingungen festlegst und als Ziel den Table LOG angibst.

Ein sehr einfaches Beispiel wär:

iptables -A INPUT -j LOG
iptables -A INPUT -j ACCEPT

Damit logst und akzeptierst jedes ankommende Paket.

Geht hoffentlich ohne Erklärung, dass weder das eine noch das andere sonderlich g'scheit ist, dürft' aber illustrieren wie's läuft.

In der Praxis wirst Dir so oder so ähnlich ein paar Tables zusammenzimmern und dann den Traffic je nach Bedingungen auf den einen oder anderen Table umleiten. Ein paar Scripten gibt's zum anschauen und abkupfern unter

http://www.linuxguruz.org/iptables/

Viel Spass.

Oh. Und mit knetfilter gibt's ein recht komfortables GUI, das Dir die Probleme auch recht simpel abnehmen kann.

Shadows can be made real
if you kill in their name.

erstmal danke.
das mitn witz hab i ned kapiert ..

aber ich hab ja eh schon ur viele rules eingestellt.
i will nur, dass er mind. alle DROPs mitloggt

iptables -A INPUT -j LOG
genügt dann diese zeile?

Keep on Googlin',
airboy

Damit loggt er ALLE ankommenden Pakete. Was Du haben willst wäre die Log Regel in dem Table, der für's droppen zuständig ist.

Irgendwo hast 'nen table, der angewendet wird, wenn ein Paket gedropt werden soll. Und in diesen table solltest Du die LOG rule aufnehmen. Wobei's dann noch sinnvoll wäre, das Loglevel festzulegen, 'nen logpräfix, damit Du auch weisst warum das Paket gelogt wurde und 'n limit damit's Dir wenn jemand so'n Mist alle paar Millisekunden anstellt, nicht irgendwann das Logfile übergeht. Details findest in den Beispielen, is' dort recht gut erklärt.

Shadows can be made real
if you kill in their name.

i verstehs irgendwie ned.
kannst ma a kurzes bsp geben bitte

ich hab z.b die rule
/sbin/iptables -A INPUT -s 195.34.133.0/255.255.255.0 -j DROP

wie aktivier ich fuer dieses rule das loggen..

Keep on Googlin',
airboy

/sbin/iptables -A INPUT -s 195.34.133.0/255.255.255.0 -j LOG
?
For love will convert the veriest coward into an inspired hero. -- Plato / Symposium More quotes on this site J.

aso.
das heisst ich muss das als eigenes rule anlegen und das jetztige lassen?

Keep on Googlin',
airboy

Offensichtlich
Allerdings scheint es auf die Reihenfolge anzukommen...? Also er LOG, dann DROP..?
For love will convert the veriest coward into an inspired hero. -- Plato / Symposium More quotes on this site J.

danke dir

Keep on Googlin',
airboy

Wie gesagt - der Meister bin ich nicht

=> keine Erfolgsgarantie!

Um ehrlich zu sein, hab ich weder mit ipchains noch mit iptables jemals was gemacht

..nur theoretisch.. HOWTOs gelesen und so..
For love will convert the veriest coward into an inspired hero. -- Plato / Symposium More quotes on this site J.

naja i tests mal
sollte was passieren, wird dir mein anwalt weiterhelfen

Keep on Googlin',
airboy

Indem Du die Zeile

/sbin/iptables -A INPUT -s 195.34.133.0/255.255.255.0 -j LOG

anfügst.

Wobei's bei umfangreicheren Rules sinnvoll wäre, hier einen eigenen Table anzulegen und auf dem das logging/dropping zu veranstalten, sonst geht irgendwann der Überblick verloren.

Ausserdem wär's interessant, einen präfix und ein loglevel anzugeben, damit die Zeilen im Log dann auch noch Sinn machen und Du nicht wenn der zu "hämmern" anfängt plötzlich ein logfile von 20 gig Grösse hast. Also sowas wie...

/sbin/iptables -A INPUT -s 195.34.133.0/255.255.255.0 -j LOG --log_level 5 --log_prefix "CHELLO_PORTSCAN: "

statt der obigen Zeile.

"Sauberer" schaut's so aus:

IPT=/sbin/iptables
$IPT -N CHELLOSCAN
$IPT -A CHELLOSCAN -j LOG --log_level 5 --log_prefix "CHELLO_PORTSCAN: "
$IPT -A CHELLOSCAN -j DROP

$IPT -A INPUT -s 195.34.133.0/255.255.255.0 -j CHELLOSCAN

Is' zugegebenermassen bei so "kleinen" Rules eher viel Overhead, wennst allerdings mehr Regeln hast sorgt's für 'ne Menge Übersichtlichkeit, vor allem wennst Regeln in den Regeln hast (also z.B. wennst alles ankommende auf Port 4711 droppen willst, ausser wenn's von der IP-Adresse 08.15.47.11 kommt, usw). Du kannst nämlich dann hergehen, und die INPUT Chain auf die verschiedenen Subchains "aufteilen", je nachdem welche es angeht, und in den Subchains mit "kleineren" Problemen weitermachen. Is' sehr angenehm, wenn die Regeln mal 'ne gewisse Grösse erreichen.

Shadows can be made real
if you kill in their name.

wow super.
wie wärs wenn ich dir meine FW schick, du die umschreibst und ich dir beim nächsten UT 3 Getränke zahle :o)

Keep on Googlin',
airboy

iptables v1.2.3: Unknown arg `--log_level'

hmmmm

Keep on Googlin',
airboy

Fehlt wahrscheinlich im Kernel das Modul dazu. Ist beim Kernel Konfigurieren CONFIG_IP_NF_TARGET_LOG auf yes? Findest im menuconfig unter Networking options - IP:Netfilter Configuration - LOG target support. Modul reicht.

Shadows can be made real
if you kill in their name.

psycho hatte recht

jetzt bekomm ich nur noch
15:53:40 Sat Apr 13 root@home ~
# /etc/newfire
iptables: Chain already exists
iptables: Chain already exists
Firewall rules engaged [yiiiiiihaaaaaaaaaaaa]

is das schlecht oder ghört das so?

Keep on Googlin',
airboy

Dürftest den Flush vorher vergessen haben. Beim 'runterfahren des Netfilters ned vergessen, die eigenen Tables zu flushen und zu entfernen!

Shadows can be made real
if you kill in their name.

wie isn da der befehl dafuer?
-F hab ich ganz am beginn in der FW

achja.. gibts es auch einen antilog befehl?
der loggt mir immer die router connections auf 10.34.15.11
den würd ich gern im logfile ignoren..

2. frage: bei mir geht man syslog.conf ned
da sollten angeblich die log-level drinnstehn.

hast du die manpage und kannst es mir pasten?

danke

Keep on Googlin',
airboy

Nur g'schwind weil ich weg muss, genaueres dann um Mitternacht.

Table killen geht mit -X (also iptables -X TABLENAME). Geht glaub ich mit den built-in Tables ned, macht aber auch wenig Sinn.

Logging kannst verhindern, indem Du einfach ein ! vor die Regel stellst. Also z.B.

iptables -A INPUT -s !192.168.0.1 -p TCP -j TCP_MAINTABLE

lenkt alle ankommenden Pakete über TCP ausser Pakete, die von 192.168.0.1 kommen, auf den table TCP_MAINTABLE.

Die Syslog-levels hab ich leider auch ned im kleinen Finger (da bin ich selbst immer am Nachschauen wenn ich's mal brauch), is' aber meines Wissens ist's im Howto (Link in meinem ersten Posting) erklärt.

Manpage ... jo, nur is' die LANG, da wird mich der mjy schimpfen wenn ich die hier paste.

Geht "man iptables" bei Dir ned? Wenn nicht, lies das howto durch, da isses eh besser erklärt als auf den manpages.

Shadows can be made real
if you kill in their name.

genauer gesagt, wennst nur's logging verhindern willst, isses g'scheiter wennst in der Subchain statt

iptables SUBCHAINNAME -j LOG.....

halt schreibst

iptables SUBCHAINNAME -s !192.168.0.1 -j LOG...

Also erst in der eigentlichen Logrule diese IP-Adresse (oder welches andere Kriterium auch immer) aus der Regel ausnimmst. Dann hast z.B. alle matchenden Pakete in der subchain, logst aber nur alle ausser die von 192....

Shadows can be made real
if you kill in their name.

danke.. hab das zwar jetz bissi anders gmacht, weil ich das TCP_MAINTABLE ned glesn hab *schassaugert*
aber funkt

aber frage zu maintable.. muss ich das erstellen oder gibts das schon?

Keep on Googlin',
airboy

Nö, der war Teil von meinem Beispiel, den musst selbst erstellen.

Shadows can be made real
if you kill in their name.

ok, hab mich von an freund scannen lassen und ich krieg:
Apr 13 15:58:25 home kernel: CHRIS_PORTSCAN: IN=eth0 OUT= MAC=00:e0:7d:01:52:24:00:05:5f:57:98:3c:08:00 SRC=212.17.xx.xx DST=212.186.xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=14049 PROTO=TCP SPT=55893 DPT=2040 WINDOW=3072 RES=0x00 SYN URGP=0

also funktioniert es.
danke dir, fly

Keep on Googlin',
airboy

--log-level
For love will convert the veriest coward into an inspired hero. -- Plato / Symposium More quotes on this site J.

*lol*

----~=::[Bansheeit]::=~----

-=2Takte für ein Halleluja=-

-=get ur kix mit 2Takt-Mix=-

----~=:::::::::::::::::::=~----

aba chello ist ja sooooooo super

Da hab ich endlich einen Vorteil von Jet2Web entdeckt. Denen ist es ziemlich egal ob du einen Server betreibst oder hinter deinem ADSL-Modem ein ganzes Netzt anhängst. Das wurde mir mittlerweile von zwei Jet2Web-Bautrupps bestätigt.

In den AGBs steht zwar was anderes drinnen, aber Papier ist halt geduldig

lg
Gott

Wahrscheinlich weilst mit 'n Server in knapp 10 Stunden das Monatslimit durch hast...

Shadows can be made real
if you kill in their name.

Soweit ich weiss wird Upload da nicht gezaehlt, oder?
For love will convert the veriest coward into an inspired hero. -- Plato / Symposium More quotes on this site J.

Soweit ich weiss, schon. Bzw. werden's halt zumindest den Traffic nehmen, der mehr ausmacht, das ist halt idR der Download.

Shadows can be made real
if you kill in their name.

Upload wird nicht gezählt.

Quelle?

Ich habe schon von Anfang an ADSL speed aplha - also schon eine ganze Weile - und fühle mich durchaus in der Lage die meine Online-Statistik von Jet2Web zu überprüfen.

Wenn mir iptraf sagt ich hab in einer bestimmten Zeit 250MB Download und 120MB Upload und in der Onlinestatistik, für den gleichen Zeitraum, nur die 250MB angeführt sind dan wird wohl der Upload nicht gezählt.

Außerdem haben mir das mehrere Jet2Web Mitarbeiter bei der Hotline (ok zählt nich viel) und ein Jet2Web Bautrupp (das sin die einzigen, die wirklich eine Ahnung haben) bestätigt.

lg
Gott

Bei tschello war es ja bisher nicht anders. Ich hatte sogar mal ein gespräch mit einem der supportmitarbeiter der dabei meinem webserver entdeckt hat und dem ich nachher das service monitoring tool geschickt habe weil ihm das so gut gefallen hat. Jetzt versuchen sie halt mit zweifelhaft aggressiven marketing-strategien single server pakete zu verkaufen.

Tom (privat)
Resistance is futile!

Toll, d.h., wenn du X11 laufen hast, mußt schon Single Server nehmen

Naja, Du kannst auch den Port einfach per FW dichtmachen...

Shadows can be made real
if you kill in their name.

Das mach ich sowieso. Es geht nur darum, daß Chello auf einen Server scannt, der dazu benötigt wird, daß man auf unixoiden Systemen ein GUI hat. (Einen Scan auf "klassische" Server-Ports laß ich mir ja noch einreden...)

Ja, aber hier kannst dem Abuse zumindest retourschreiben, dass es eben ein "Feature" Deines Systems ist, das sich schwerlich abschalten lässt. Entweder sie verbieten, dass Du eine Maschine auf der Linux läufst an die Chello-Leitung hängst (was höchst interessant wäre...), oder sie lassen die Tatsache existieren, dass an diesem Port Deine Maschine eben offen ist.

Shadows can be made real
if you kill in their name.

danke..hab jetzt zwei neue rules.

> von den bisher bekannten IP adressen

Wer gibt sowas bekannt?

Gruß
El Dot.

Die eine adresse stammt von dem portscan bei mir selbst, die andere vom portscan bei einem bekannten. Ich würde natürlich alle aufrufen nach so einem portscan die adresse hier zu veröffentlichen um den noch nicht gescannten beim konfigurieren ihrer firewall zu helfen.

mfg
Tom (privat)
Resistance is futile!

Wie scannen sie, einfacher Sync-Scan? Welche Ports, nur die von Dir beschriebenen oder "alle"?

Shadows can be made real
if you kill in their name.

äh vielleicht lieg ich ja ganz falsch, aber wenn er die ports die sie scannen angibt, ist davon auszugehen dass sie nur diese scannen, sonst hätte er ja andere angegeben

Die liste der ports die gescanned wurden stammt aus dem logfile meiner firewall und erhebt ebenso wie die beiden genannten ip adressen von denen aus die scans durchgeführt wurden keinen anspruch auf vollständigkeit.

mfg
Tom (privat)
Resistance is futile!

Wie scannen's denn? Standard SYN-Scan oder "Stealth"?

Shadows can be made real
if you kill in their name.

http://derstandard.at/?id=923847
Ob sie die Adressen nu ändern?

Gruß
El Dot.

Alle details und status updates dazu ab sofort unter
http://hostmaster.org/chello.html

mfg
Tom (privat)
Resistance is futile!

der link ist im *TRÖT* auch abgedruckt

sigkilled v1.0 (Sun Aug 25 12:28:33 2002): http://www.8ung.at/dr.ko/pug.ht1.gif had 29723 bytes)

(*augenroll*) Warum der Kollisionskurs? Leg' die Dienste auf irgendeinen Port der ned gescannt wird und Du hast Ruhe.

Shadows can be made real
if you kill in their name.

http://www.cwonline.at/idgneu-cgi/on_meldung2?ID=20020415019

Es geht doch nur darum daß sich UPC offenbar auf kosten der österreichischen user sanieren will. Der finanzminister zeigt vor dass der gelernte Österreicher eh alles akzeptiert und UPC versucht es nun nachzumachen. Aber bis auf den kleinen fehler daß ich in Europa geboren wurde wofür ich ja nix kann bin ich nun mal Amerikaner und dementsprechend verhalte ich mich auch.

Tom (privat)

<-- sich Fly anschliesst.

Immerhin steht in dem AGB - zumindest in meinen - klar & deutlich, dass ein Serverbetrieb nicht erlaubt ist... (8a)
For love will convert the veriest coward into an inspired hero. -- Plato / Symposium More quotes on this site J.

Dann ist aber die Frage, was ist ein Server? (FileSharing...)
Darf ich jetzt eine Firewall betreiben oder nicht? Wenn nein, wie soll ich einen internen Server laufen lassen usw.

zusätzlich zu Toms argumenten kommt, daß man den smtp port kaum hochlegern kann.

live long and prosper!

-quattro- (privat)

Granted.

Dann mach'n halt für Chello-Adressen dicht...

Shadows can be made real
if you kill in their name.

Nachdem ich viele reaktionen gelesen habe, wo jemand Chello recht gibt, habe ich unter dem kapitel 'Für Nicht-Techniker' versucht einen brauchbaren vergleich zu formulieren. Würde mich interessieren was ihr davon haltet.

mfg
Tom (privat)
Resistance is futile!

woher weisst du die ip - adressen von denen?

m.

http://forum.geizhals.at/topic.jsp?id=69019&m=349939#349939
For love will convert the veriest coward into an inspired hero. -- Plato / Symposium More quotes on this site J.

Aus meinen firewall log nachdem sie mich gescanned hatten.

Tom (privat)
Resistance is futile!

hi tom, dazu gibt es im heutigen standard einen interessanten hinweis auf eine korrespondenz:

http://hostmaster.org/chello.html

Das bin ich eh selber

Habe die erwähnte korrespondenz heute online gestellt und die geschichte an den Standard geschickt. Netterweise haben die es sofort gebracht

Ein großes lob und dankeschön an dieser stelle!

Tom (privat)
Resistance is futile!

hab ich mir ja gedacht ..

da sind nur alle deine daten mit veröffentlicht, bis zur adresse, "hendi"- nummer ..

Wo meinst du?

Tom (privat)
Resistance is futile!

warum ist meine antwort plonked ?

was kann ich dafür, dass diese info dort veröffentlicht wurde ?

jeder standardleser auf der ganzen welt kann das im standardartikel selbst nachlesen, wenn er den angegebenen link anklickt.

oder:

index-> created by .... anklicken und es kommt dieselbe info.

das ist ja für jeden (halbwegs intelligenten) leser des standard sehr leicht ersichtlich.

Sorry, aber ich will meine persönlichen daten genausowenig hier stehen haben wir alle anderen. Es hätte gereicht wenn du geschrieben hättest dass diese angezeigt werden wenn man auf den namen klickt. Von 2378 page views haben das nämlich nur 72 gemacht.

Tom
Resistance is futile!

sorry, ich verstehe immer noch nicht.

du hast doch deine page selbst erstellt und weisst auch genau, was die für links beinhaltet, weil du die auch eingebaut hast.

du hast deine persönlichen daten selbst für millionen leser in einer grossen tageszeitung veröffentlicht.

wenn ich geschrieben hätte, was du sagst, hätten dann wohl einige mehr auf den namen geklickt.

steh zu dir und dem was du tust, ist ja keine schande.

Naja, es ist schon ein Unterschied. Z.b. kann man von mir auch recht leicht mehr aus dem Netz herausfind, als mir lieb ist, dass hier gepostet wird.
For love will convert the veriest coward into an inspired hero. -- Plato / Symposium More quotes on this site J.

Ja, weiß ich auch, nur war ich verwundert weil es so klang als wären diese persönlichen daten direkt auf der seite zu lesen.

Mit der angabe derselben im impressum stehe ich (im gegensatz zur futurezone) auch zu dem was ich sage. Aber das impressum ist eine kontaktmöglichkeit die man findet wenn man danach sucht - da ist die wahrscheinlichkeit von mißbrauch viel geringer!

Tom (privat)
Resistance is futile!

was isn mit da fuzo?

Keep on Googlin',
airboy

Such' dort mal nach einem ordnungsgemäßen impressum (medieninhaber, verantwortlicher redakteur, kontaktadresse).

Tom (privat)
Resistance is futile!

hm.. naja ghört eh dem orf
und den kennt eh a jeder :o)

Keep on Googlin',
airboy

Ich hätte die anfangs geposteten informationen ja auch gerne der futurezone zur verfügung gestellt, aber wo hätte ich die per e-mail hinschicken sollen?

Tom (privat)
Resistance is futile!

aso das meinste..
standard.at is eh seriöser :o)

Keep on Googlin',
airboy

frag mal bei http://www.geizhals.at nach die haben es auch geschafft mit fuzo zusammenzuarbeiten

sigkilled v1.0 (Sun Aug 25 12:28:33 2002): http://www.8ung.at/dr.ko/pug.ht1.gif had 29723 bytes)

jetzt wird es allmählich lächerlich.

hältst du wirklich die meisten leser für geistig so beschränkt ?

Nein, ganz und gar nicht. Aber wie ich mit letztem auszug aus dem access log gezeigt habe interessieren die meisten leser diese daten so wenig daß sie gar nicht erst auf diesen link klicken. Würden die daten jedoch auf derselben seite stehen würden sie zumindest öfter gelesen.

Tom (privat)

Resistance is futile!

und noch eine
62.178.20.59

Keep on Googlin',
airboy

Habe gestern um 10h40 und um 14h30 sowie heute (am stichtag) um 14h40 einen portscan von dieser IP adresse verzeichnet die mittlerweile natürlich ebenfalls schon in meiner firewall configuration gelandet war. Der status meines Chello anschluß ist bisher unverändert.

mfg
Tom (privat)

Resistance is futile!

Neues von der front: Obwohl meine mail vom 2002-04-16 unbeantwortet blieb und auch die gesetzte frist bis zum 2002-04-19 12h00 CEST verstrichen war, wurde ich am 2002-04-23 um 22h00 (also nach schließen des helpdesk) abgedreht. Das modem blieb zwar synchron verweigerte jedoch das senden oder empfangen irgendwelcher pakete.

Tom (privat)
Resistance is futile!

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung