Unbefugter Zugriff
NyoMic 03.01.2002 - 10:01 1777 21
NyoMic
xepera-xeper-xeperu
|
Folgendes in der Logfile steht dass sich jemand Zugang zu unserem Bigserver (Fileserver) verschafft hat. Laut Logfile isses eine 62.47.32.?? IP, also ADSL von der Telekom. Gibts da irgendeine Möglichkeit die Daten von demjenige zu beschaffen um ihn wegen Datendiebstahl (geht das überhaupt wenn er ja nedmal was gelesen hat) zu verklagen oder kann man irgendwie die Adresse rausfinden damit ich demjenigen wenigstens einen Brief schreiben kann damit er solche Aktionen in Zukunft zu unterlassen hat?
|
Guest
Deleted User
|
yo, kann man.
nettes mail (oder brief = seriöser) an die telekom schreiben, wenn sie einen guten tag (bzw du einen sehr guten grund = straftat = gerichtliche angelegenheit) haben, dann verwarnen sie nicht nur den teilnehmer selbst, sondern geben auch die adresse heraus.
|
NyoMic
xepera-xeper-xeperu
|
Najo Straftat isses eigentlich schon aber gleich verklagen will ich den auch nicht vorallem weil er eh nix herumpfuscht hat. Eigentlich wollt ich nur an Brief schreiben damit die Aktionen in Zukunft unterlassen werden, aber bis jetzt wars eh erst 1mal
|
Guest
Deleted User
|
dann kannst du IP und genaue uhrzeit + genaue beschreibung des vergehens an die telekom melden und die leiten weitere schritte ein - abmahnung des users bis hin zum ausschluß von telekom dienstleistungen (ist das jetzt eine strafe oder ein segen!?  )
|
scratchy
OC Addicted
|
ja, das geht ohne probleme... hab das auch schon ein paar mal gemacht... log-file der telekom schicken, und die kündigen den...  einmal hat die telekom meine mail, an einen italienischen isp weitergeleitet und der hat mir dann geantwortet, dass derjenige schon gekündigt ist... hehe i find des a geniale art von "firewall"...
|
tintifax
Bloody Newbie
|
ja aber nur weil einer einen portscan macht braucht ma eam net nachverfolgen.
|
funka
Legend ex-prophet(down below)
|
was er hat gemacht wie hat ers gemacht wars eher fahrlaessigkeit von euch hat er ueberhaupt was boeses gemacht
kannst dus beweisen?
|
NyoMic
xepera-xeper-xeperu
|
Najo beweisen kann ich's schon irgendwie aber auch irgendwie ned. D.h wenn a Logfile als beweis gilt dann schon. ja aber nur weil einer einen portscan macht braucht ma eam net nachverfolgen. Najo es geht ja darum dass auf dem Fileserver daten unsrer Kunden usw. lagern die man eigentlich unter keinsten umständen weitergeben soll/darf. wie hat ers gemacht Mit BruteForce das PW gecrackt. Danach aber laut logfile nur den MC geöffnet, zugemacht und ausgeloggt. Entweder er hats ganz gschickt gemacht das ma nix merkt (warum lässt er sich dann einfach dank seiner IP erkennen wenn er so gscheid is) oder er hat wirklich nix gemacht. wars eher fahrlaessigkeit von euch Najo eigentlich scho irgendwie. Weil normalerweise sollt ma halt nach max. 10 missglückten Loginversuchen einen Login unterbinden.
|
Guest
Deleted User
|
Mit BruteForce das PW gecrackt. Danach aber laut logfile nur den MC geöffnet, zugemacht und ausgeloggt. Entweder er hats ganz gschickt gemacht das ma nix merkt (warum lässt er sich dann einfach dank seiner IP erkennen wenn er so gscheid is) oder er hat wirklich nix gemacht. Naja, eh klassische Verfahrensweise - Das war ja nur mal die Eintrittskarte - der wird nochmal vorbeischauen, würd ich sagen (vorausgesetzt ihr habt was Interessantes am Server liegen)! Und was die "Nachlässigkeit" mit der IP betrifft - mit an vernünftigen Bouncing wirds ihn eher wenig kümmern ...
|
noledge
CWNE #540
|
auszug aus dem logfile an protected schicken und die sache hat sich.
noli
|
JC
VereinsmitgliedDisruptor
|
Mit BruteForce das PW gecrackt. Danach aber laut logfile nur den MC geöffnet, zugemacht und ausgeloggt. Entweder er hats ganz gschickt gemacht das ma nix merkt (warum lässt er sich dann einfach dank seiner IP erkennen wenn er so gscheid is) oder er hat wirklich nix gemacht. Vielleicht hat er's mittels eines Trojaners gemacht... In dem Fall würde die Spur nicht zum eigentlichen Täter, sondern zu einem völlig ahnungslosen Opfer führen...
|
NyoMic
xepera-xeper-xeperu
|
hmm najo PW is geändert und max. fehlerhafte Logins auf 5 gesenkt. Sollte vorerst reichen hoff ich
|
Viper780
ElderEr ist tot, Jim!
|
also wäre ich er ich hätt irgend a backdoor hinterlassen. was verwendets ihr für a wall?
|
funka
Legend ex-prophet(down below)
|
jo stark nach backdoors suchen
die wichtigstens pass's aendern der file server sollt nicht direkt an einem public netz haengen vielleicht eine fw davor oder zumindest was was masqiert
schau dir vielleicht mal die system logs an nur mc gestartet heisst ncihts - da er im mc genug anstellen kann und auch dort sein log ueberarbeiten kann wenn du das ausm bash_history hast ist es genau nichts wert
ich will nicht sagen das dieser der boese hund war aber er war vielleicht ein gluecklicher zufall um das ganze etwas zu sensibilisieren damit kein boeser hund mehr rein kann
|
Viper780
ElderEr ist tot, Jim!
|
also die syslog hat er sicha geschönt schau mal wieviel zeit er drinnen verbracht hat? Zeichnet die Firewall die einzelnen coneccetions auf? wenn ja stimmt die zeit mitn syslog überein?
|