linux-l: Hackerparadies TDSL - Gegenmassnahmen
Ralf Balzer
mail at ralf-balzer.de
Sa Jun 16 11:11:10 CEST 2001
Hallo Leute,
Wenn ich meiner Firewall glauben darf (tu ich), dann scheint das TDSL-
Netz der Telekom die absolute Speilwiese für Hacker zu sein. Seitdem der
Linux-Route im Netz hängt habe ich immer volle Firewall Logs. Ein
Ausdruck würde jeden Tag mehrere Seiten Papier füllen.
Seit Tagen habe ich aber im 10-Sekunden-Takt Scans von verschiedenen
Quellports auf den TCP-Port 6346, und zwar stundenlang von einem
Angreifer. Danach ist Ruhe und kurze Zeit später geht es von einem
anderen weiter.
Ein Beispiel :
Eigene IP : 217.80.29.15
Jun 16 00:12:04 et kernel: Packet log: inWEB DENY ppp0 PROTO=6
208.227.166.222:3623 217.80.29.15:6346 L=48 S=0x00 I=29219 F=0x4000 T=50
SYN (#52)
Jun 16 00:12:07 et kernel: Packet log: inWEB DENY ppp0 PROTO=6
208.227.166.222:3623 217.80.29.15:6346 L=48 S=0x00 I=29221 F=0x4000 T=50
SYN (#52)
Jun 16 00:12:13 et kernel: Packet log: inWEB DENY ppp0 PROTO=6
208.227.166.222:3623 217.80.29.15:6346 L=48 S=0x00 I=29222 F=0x4000 T=50
SYN (#52)
nslookup 208.227.166.222 ergibt 208.227.166.222.quickclick.ctc.net
Was macht man dagegen.
Kann man Gegenmaßnahmen einleiten, die den Angreifer so beschäftigen,
daß er aufhört ??
Rechtlich wirds wohl sehr schwierig.
Jemand ne Idee ??
mfg
Ralf Balzer
Mehr Informationen über die Mailingliste linux-l