[linux-l] Portscanner

Benjamin Schieder blindcoder at scavenger.homeip.net
Fr Okt 7 20:33:35 CEST 2005 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Wilhelm Dolle wrote:
> Hola,
> Benjamin Schieder wrote:
>> Nico Golde wrote:
>>> Hallo Benjamin,
>>> * Benjamin Schieder <blindcoder at scavenger.homeip.net> [2005-10-07
>>> 18:10]:
>>>> Nach allem was ich weiss ist es nicht wirklich einfach, eine IP
>>>> Adresse zu
>>>> faken, so dass das hinterher so aussieht als haettest du 10 falsche
>>>> Loginversuche an die gefakete Adresse gemacht. Dazu musst du den
>>>> gesamten
>>>> Verbindungsaufbau und die gesamte fehlgeschlagene Loginprozedur 10
>>>> mal faken.
>>>
>>> Ip einstellen ist doch kein Problem? Und 10 mal connecten und ein
>>> falsches Passwort eingeben doch auch nicht.
>>
>> Ja mach doch mal. Will ich sehen. scavenger.homeip.net.
> 
> 
> *schmunzel*
> 
> Wie einfach das ist haengt ein wenig von dem Standort des Angreifers im
> Verhaeltnis zur zu fakenden IP ab, von den zur Verfuegung stehenden
> Werkzeugen und vom KowHow des Angreifers ;-)
> 
> Ich glaub ja nicht wirklich das jemand hier so bloed ist um dem
> Script-Kiddie-Aufruf zum "Hacken" eines Servers nachzugehen (evtl.
> Straftat?). (Nein, eine Mail die der vermeintliche "Besitzer" dieses
> Servers, dieser IP, dieses Namens auf eine Mailingliste schreibt ist als
> Einverstaendniserklaerung nicht haltbar.)

Dann halt nicht *schulterzuck*

> Wenn Du (Benjamin) magst zeig ich es Dir an Servern die mir auch
> gehoeren, wobei die "Standortproblematik" durchaus zu beruecksichtigen ist.
> 
> In der Zwischenzeit moechtest Du Dich aber evtl. mal darueber
> informieren wie andere Leute ueber den Einsatz von IP-basierenden
> automatisch blockenden Abwehrreaktionen denken. Und Du koenntest mir
> erklaeren wieso ich auf meinem Server ein zusaetzliches Script sowie
> IPTables laufen lassen moechte statt meinen (ssh)Dienst einfach sicher
> zu konfigurieren. Mir fallen da naemlich keine Szenarien ein, da Du
> lediglich um Deine schlechten Passwoerter zu schuetzen drei (Script,
> Interpreter, IPTables) neue Programme einfuehrst von denen zumindest
> zwei eine sicherheitsrelevante Vorgeschichte haben.

Mach dir um die Sicherheit meiner Passwoerter mal keine Sorgen. Ich hab noch
keine Nacht schlaflos zugebracht vor Sorge, jemand koennte sie erraten.
Was ja auch gar nicht Sinn und Zweck des Scripts ist.
Wie gesagt, ein Loginversuch (ja, auch einer mit flachsem Passwort) reseted den
Counter auf 0. Sprich theoretisch koennte man es aushebeln wenn man jedes 9. Mal
versucht mit User "root" zu connecten.
Worum es mir in diesem Script geht, ist Dictionary/Bruteforce Angriffe auf
USERNAMEN (so, extra gross, damit du es diesmal auch liest) abzubrechen.
Weil es mir nach der 1000. Meldung in /var/log/messages, dass sich jemand mit
ungueltigem Usernamen (von Angelika bis Zacharias, von a bis zzzzzz) versucht
hat anzumelden einfach zu bloed wurde.
Desweiteren sind 2 der 3 Tools (iptables und at) ohnehin schon im Einsatz.

So, verstanden?

Ich geh jetzt ceres (aka scavenger.homeip.net) streicheln.

Gruesse,
	Benjamin

- --
< blindcoder> I still say Violist didn't get it :P
< billnye> I say we have no evidence of it
< blindcoder> evidence is irrelevant
< blindcoder> it's rumors and believing that make truth
< blindcoder> -- me, now.
< billnye> objective reality, schmobjective reality -- me, paraphrasing, now.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (GNU/Linux)

iD8DBQFDRr9/7Wabow2Um2YRApKEAJ0YwcKrEJNdBfkn/rwIBmLimNuApQCaAoWP
9G2CbD3Yo61sPpLqDLLFVSQ=
=swsQ
-----END PGP SIGNATURE-----

Mehr Informationen über die Mailingliste linux-l