linux-l: Re: Hackerparadies TDSL - Gegenmassnahmen

Erich Nachtmann erichnachtmann at compuserve.de
Sa Jun 23 19:41:56 CEST 2001 

Hi!

Hab mal die Sache an suse-isdn fwd (anonymisiert natürlich).

Die Reaktionen in einer Mail zusammengefasst:

1----

nslookup  208.227.166.222 ergibt 208.227.166.222.quickclick.ctc.net

Was macht man dagegen.

Kann man Gegenmaßnahmen einleiten, die den Angreifer so beschäftigen,
daß er aufhört ??
Rechtlich wirds wohl sehr schwierig.

Jemand ne Idee ??

So schwierig ist es gar nicht . Wenn man den ISP des Angreifers ermitteln
kann,kann man ihn dort Abmahnen.In der Regel reagiert der Provider auf
solche Mahnungen und leitet sie weiter.
Bei mehrmaligem Mißbrauch der Netzverbindung hat der ISP glaube ich auch das
Recht ihm zu kündigen..
Die "Internet -Gesetze" im Umgang mit IP´s müßten eigentlich irgendwo auf
der Denic Seite stehen.(  http://www.denic.de )

2----
infos auf Webseite:

http://www.grc.com

Hier haben Hacker einen Webserver lahm gelegt und der Autor hat
herausgefunden wie die das machen. Seine Erfahrungen sind sehr interessant.
Vielleicht kannst Du Ihn kontaktieren.

3----
Port 6346 wird von gnutella benutzt. Bei mir allerdings treten lange
Zeit ping-Versuche und Scans auf Port 79/tcp und 137/udp auf. Letzteres
ist schon bedenklich, da jmd. anscheinend versucht, auf
unfreiwillig (?)freigebene Windows-Shares zuzugreifen.

Wenn deine Firewall ordentlich funktioniert, sollte das erst mal nicht
so schlimm sein. Leider wird deine Bandbreite, die du bezahlst,
verschwendet.

> Kann man Gegenmaßnahmen einleiten, die den Angreifer so beschäftigen,
> daß er aufhört ??
Eigentlich gibt es keine sinnvolle Gegenmaßnahme, es sei denn, du
begibst dich auf deren Niveau und sendest die mit pings o.ä. zu.

4----
Sicher ist das hier etwas "off topic"  aber wer sagt denn, daß das
Problem nicht unter ISDN genauso auftreten kann?!

Seit meinem Umstieg auf T-DSL habe ich dieses (naja) Phänomen auch. Es
sind immer die gleichen Ports betroffen: 1214, 6346 um mal die zwei
häufigsten zu nennen. Ich habe mir mal die Mühe gemacht und gesucht
welche Dienste diese Ports benutzen (ist schon wieder ein paar Wochen
her, deshalb bitte nicht schlagen wenn's falsch ist): 6346 ist
E-Donkey.
Also grob gesagt Peer-to-Peer Dienste.

Ich sehe das also nicht als Hacker-Angriff sondern als puren Zufall an.
Bedingt durch die dyn. IP-Adresse.

Naja, lästig ist es allemal. Das Log-File läuft voll und was noch viel
lästiger ist: der Schei.. hält die Verbindung offen!

Ich hatte hier schon den Fall, daß die Kiste ca. 8 Stunden ungewollt
online war. Na gut, ich habe die T-DSL Flat, da juckt es mich nicht
weiter. Aber gut fand ich das nicht!

Ich habe mir zwar schon "den Wolf" gesucht aber eine Lösung noch nicht
gefunden. :-(

(Kurzfassung)
Das Problem ist, daß der PPPD bestimmt ob die Verbindung offen bleibt
und dann erst der Firewall die ungewollten Pakete wegwirft.

5----
KK> Ja da muss generell etwas gemacht werden. Moeglich waer zum Beispiel
KK> ueber netfilter die Pakete durch einen daemon zu bewerten und dann
gezielt
KK> den pppd runterzufahren (bewerten := nur bestimmte Pkt duerfen den
timeout
KK> counter resetten).  Aehnlich kann man selektives DOD steuern.
das klingt ja prima.. gibts dazu ne vorlage? auch für das selektive DOD?

6----
Die offizielle Liste liefert:

#                          Ward Silver <hwardsil at wolfenet.com>
kazaa           1214/tcp   KAZAA
kazaa           1214/udp   KAZAA

gnutella-svc    6346/tcp   gnutella-svc
gnutella-svc    6346/udp   gnutella-svc

> Also grob gesagt Peer-to-Peer Dienste.
>
> Ich sehe das also nicht als Hacker-Angriff sondern als puren Zufall an.
> Bedingt durch die dyn. IP-Adresse.
>

Ich sehe es auch nicht als Angriff, bin mir aber nicht sicher ob es nur an
dyn. IP liegt oder z.B: im Fall des gnutella ports die Suche nach neuen
gnutella hosts ist.

> Naja, lästig ist es allemal. Das Log-File läuft voll und was noch viel
> lästiger ist: der Schei.. hält die Verbindung offen!
>

Aber eigentlich nur wenn man sich als "schwarzes Loch" (DENY) ausgibt,
bei REJECT sollte der Spuk schnell aufhoeren.

> Ich hatte hier schon den Fall, daß die Kiste ca. 8 Stunden ungewollt
> online war. Na gut, ich habe die T-DSL Flat, da juckt es mich nicht
> weiter. Aber gut fand ich das nicht!
>
> Ich habe mir zwar schon "den Wolf" gesucht aber eine Lösung noch nicht
> gefunden. :-(
>
> (Kurzfassung)
> Das Problem ist, daß der PPPD bestimmt ob die Verbindung offen bleibt
> und dann erst der Firewall die ungewollten Pakete wegwirft.
>
> Vielleicht hat ja hier Jemand eine gute Idee!
>

Ja da muss generell etwas gemacht werden. Moeglich waer zum Beispiel
ueber netfilter die Pakete durch einen daemon zu bewerten und dann gezielt
den pppd runterzufahren (bewerten := nur bestimmte Pkt duerfen den timeout
counter resetten).  Aehnlich kann man selektives DOD steuern.

7----
> das klingt ja prima.. gibts dazu ne vorlage? auch für das selektive DOD?

Nein das sind nur Ueberlegungen, kein Plan es zu realisieren.

--
Karsten Keil
SuSE Labs
ISDN development

8----
On Mon, 18 Jun 2001, Karsten Keil wrote:

> Die offizielle Liste liefert:
>
> #                          Ward Silver <hwardsil at wolfenet.com>
> kazaa           1214/tcp   KAZAA
> kazaa           1214/udp   KAZAA
>
> gnutella-svc    6346/tcp   gnutella-svc
> gnutella-svc    6346/udp   gnutella-svc

Blöde Frage: wo gibt es diese Liste?

Ja, gut, erster Anlaufpunkt ist immer meine /etc/services. Nu ist aber
meine /etc/services schon ein paar "Tage" alt! Wo finde ich was wirklich
aktuelles?

[..]
> Aber eigentlich nur wenn man sich als "schwarzes Loch" (DENY) ausgibt,
> bei REJECT sollte der Spuk schnell aufhoeren.

Da sollte ich vielleicht einfach mal meine Filterregeln ändern...

[..]
> Ja da muss generell etwas gemacht werden. Moeglich waer zum Beispiel
> ueber netfilter die Pakete durch einen daemon zu bewerten und dann gezielt
> den pppd runterzufahren (bewerten := nur bestimmte Pkt duerfen den timeout
> counter resetten).  Aehnlich kann man selektives DOD steuern.

Im aktuellen pppd ist ja so etwas schon vorgesehen. Aber nur in
Verbindung mit FreeBSD!

9----
Hallo Erich,

das einzige was mir da einfaellt, Du musst Dir eine feste IP besorgen, ob
das bei DSL geht weiss ich aber nicht. Die Anfragen kommen daher das vor Dir
jemand anderes die IP hatte und da mit Gnutella gearbeitet hat.

10----
> Das Internet bietet seit etwa 8 Jahren sogenannte Suchmaschinen, riesige
> Datenbanken, die (halb-)automatisch mit den Schlagwoertern und

iss ja gut, tschuldigung, die Sache war etwas voreilig,
habs ja auch gefunden.

> ech`echo xiun|tr nu oc|sed 'sx\([sx]\)\([xoi]\)xo un\2\1 is xg'`ol

übrigens ein cooler spruch, wer baut sowas ?

11----
> übrigens ein cooler spruch, wer baut sowas ?

Wie wer baut sowas? Woher 'echo', 'tr', 'sed', eine Shell und eine
Pipe kommen, kann man u.a. in "A quarter century of UNIX" von Peter
Salus nachlesen ;)

12----
2. Man sollte sich bei dem ISP beschweren, von dessen
Adressbereich der (vermutliche) Angriff ausgeht. Manchmal
hilft es.
3. Auf jeden Fall sollte man keine "Gegenschläge" führen-
man könnte sich selbst strafbar machen...

Ende----

Das sind die ganzen Raaktionen auf dieser Liste. Sorry wegen der säten
Antwort. Bin unterwgs..

CU Erich


--
To unsubscribe, e-mail: suse-isdn-unsubscribe at suse.com
For additional commands, e-mail: suse-isdn-help at suse.com

Mehr Informationen über die Mailingliste linux-l