linux-l: IP-Adresse

[Jens Dreger]

On Fri, Mar 24, 2000 at 10:44:36PM +0100, Siegfried Pohl wrote:
> *Oliver Bandel <oliver at first.in-berlin.de> wrote:
> > Hi!
> > 
> > On Wed, 22 Mar 2000, Siegfried Pohl wrote:
> > 
> > > 
> > > Hallo Leute,
> > > 
> > > wiederholt musste ich feststellen, dass sich ein boeser Mensch, wenn ich
> > > online bin, bei mir einloggen will, d.h. ich stelle Port-Scans fest, auch
> > [...]
> > 
> > Wie stellst Du das/stellt man das fest?
> 
> zum Beispiel, wenn man einen tail -f /var/log/[messages,secure] mitlaufen
> laesst?

Oder man konfiguriert die tcp-wrapper etwas ausfuehrlicher...

man tcpd
man hosts.allow
man hosts.deny

In meiner hosts.allow habe ich z.B. (u.a.) Zeilen wie
   
 in.telnetd:   ALL : spawn (/usr/sbin/safe_finger -l @%h 2>&1 | /bin/mail -s "telnet from %h" dreger) :\
                    banners /usr/local/etc/banners : deny

fuer verschiedenste Dienste. Wenn jetzt ein portscan ueber den Rechner
laeuft, bekomme ich einen Stapel mails mit subjects wie:

	telnet from x.x.x.x
	portmap from x.x.x.x
	ftp from x.x.x.x
	[...]

Das mit dem finger funktioniert natuerlich nahezu nie. Man muss schon 
ziemlich daemlich sein, wenn man einen portscan auf einen fremden Rechner
loslaesst, und dann bei sich fingerd laufen hat. Aber natuerlich gibt es
auch so daemliche "Hacker" ;-)

Gruss,

Jens.