Unbefugter Zugriff

NyoMic

xepera-xeper-xeperu

Registered: Feb 2001
Location: Stahlstadt
Posts: 2620

03.01.2002 - 10:01

Folgendes in der Logfile steht dass sich jemand Zugang zu unserem Bigserver (Fileserver) verschafft hat. Laut Logfile isses eine 62.47.32.?? IP, also ADSL von der Telekom. Gibts da irgendeine Möglichkeit die Daten von demjenige zu beschaffen um ihn wegen Datendiebstahl (geht das überhaupt wenn er ja nedmal was gelesen hat) zu verklagen oder kann man irgendwie die Adresse rausfinden damit ich demjenigen wenigstens einen Brief schreiben kann damit er solche Aktionen in Zukunft zu unterlassen hat?

Guest

Deleted User

Registered: n/a
Location:
Posts: n/a

03.01.2002 - 10:39

yo, kann man.

nettes mail (oder brief = seriöser) an die telekom schreiben, wenn sie einen guten tag (bzw du einen sehr guten grund = straftat = gerichtliche angelegenheit) haben, dann verwarnen sie nicht nur den teilnehmer selbst, sondern geben auch die adresse heraus.

NyoMic

xepera-xeper-xeperu

Registered: Feb 2001
Location: Stahlstadt
Posts: 2620

03.01.2002 - 10:49

Najo Straftat isses eigentlich schon aber gleich verklagen will ich den auch nicht vorallem weil er eh nix herumpfuscht hat. Eigentlich wollt ich nur an Brief schreiben damit die Aktionen in Zukunft unterlassen werden, aber bis jetzt wars eh erst 1mal

Guest

Deleted User

Registered: n/a
Location:
Posts: n/a

03.01.2002 - 11:00

dann kannst du IP und genaue uhrzeit + genaue beschreibung des vergehens an die telekom melden und die leiten weitere schritte ein - abmahnung des users bis hin zum ausschluß von telekom dienstleistungen (ist das jetzt eine strafe oder ein segen!?

)

scratchy

OC Addicted

Registered: Oct 2000
Location: vo, stmk
Posts: 649

03.01.2002 - 12:02

ja, das geht ohne probleme... hab das auch schon ein paar mal gemacht... log-file der telekom schicken, und die kündigen den...

einmal hat die telekom meine mail, an einen italienischen isp weitergeleitet und der hat mir dann geantwortet, dass derjenige schon gekündigt ist... hehe

i find des a geniale art von "firewall"...

tintifax

Bloody Newbie

Registered: Mar 2001
Location: A
Posts: 2267

03.01.2002 - 12:24

ja aber nur weil einer einen portscan macht braucht ma eam net nachverfolgen.

funka

Legend
ex-prophet(down below)

Registered: Sep 2000
Location: Vienna / SF
Posts: 6131

03.01.2002 - 12:54

was er hat gemacht
wie hat ers gemacht
wars eher fahrlaessigkeit von euch
hat er ueberhaupt was boeses gemacht

kannst dus beweisen?

NyoMic

xepera-xeper-xeperu

Registered: Feb 2001
Location: Stahlstadt
Posts: 2620

03.01.2002 - 13:55

Najo beweisen kann ich's schon irgendwie aber auch irgendwie ned. D.h wenn a Logfile als beweis gilt dann schon.

Zitat
ja aber nur weil einer einen portscan macht braucht ma eam net nachverfolgen.

Najo es geht ja darum dass auf dem Fileserver daten unsrer Kunden usw. lagern die man eigentlich unter keinsten umständen weitergeben soll/darf.

Zitat
wie hat ers gemacht

Mit BruteForce das PW gecrackt. Danach aber laut logfile nur den MC geöffnet, zugemacht und ausgeloggt. Entweder er hats ganz gschickt gemacht das ma nix merkt (warum lässt er sich dann einfach dank seiner IP erkennen wenn er so gscheid is) oder er hat wirklich nix gemacht.

Zitat
wars eher fahrlaessigkeit von euch

Najo eigentlich scho irgendwie. Weil normalerweise sollt ma halt nach max. 10 missglückten Loginversuchen einen Login unterbinden.

Guest

Deleted User

Registered: n/a
Location:
Posts: n/a

03.01.2002 - 15:20

Zitat von NyoMic
Mit BruteForce das PW gecrackt. Danach aber laut logfile nur den MC geöffnet, zugemacht und ausgeloggt. Entweder er hats ganz gschickt gemacht das ma nix merkt (warum lässt er sich dann einfach dank seiner IP erkennen wenn er so gscheid is) oder er hat wirklich nix gemacht.

Naja, eh klassische Verfahrensweise - Das war ja nur mal die Eintrittskarte - der wird nochmal vorbeischauen, würd ich sagen (vorausgesetzt ihr habt was Interessantes am Server liegen)!

Und was die "Nachlässigkeit" mit der IP betrifft - mit an vernünftigen Bouncing wirds ihn eher wenig kümmern ...

noledge

CWNE #540

Registered: Apr 2001
Location: ::1
Posts: 6838

03.01.2002 - 15:28

auszug aus dem logfile an protected schicken und die sache hat sich.

noli

JC

Vereinsmitglied
Disruptor

Registered: Feb 2001
Location: Katratzi
Posts: 9066

03.01.2002 - 15:33

Zitat von NyoMic
Mit BruteForce das PW gecrackt. Danach aber laut logfile nur den MC geöffnet, zugemacht und ausgeloggt. Entweder er hats ganz gschickt gemacht das ma nix merkt (warum lässt er sich dann einfach dank seiner IP erkennen wenn er so gscheid is) oder er hat wirklich nix gemacht.

Vielleicht hat er's mittels eines Trojaners gemacht... In dem Fall würde die Spur nicht zum eigentlichen Täter, sondern zu einem völlig ahnungslosen Opfer führen...

NyoMic

xepera-xeper-xeperu

Registered: Feb 2001
Location: Stahlstadt
Posts: 2620

03.01.2002 - 16:19

hmm najo PW is geändert und max. fehlerhafte Logins auf 5 gesenkt. Sollte vorerst reichen hoff ich

Viper780

Elder
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50536

03.01.2002 - 16:39

also wäre ich er ich hätt irgend a backdoor hinterlassen.
was verwendets ihr für a wall?

funka

Legend
ex-prophet(down below)

Registered: Sep 2000
Location: Vienna / SF
Posts: 6131

03.01.2002 - 16:42

jo
stark nach backdoors suchen

die wichtigstens pass's aendern
der file server sollt nicht direkt an einem public netz haengen
vielleicht eine fw davor oder zumindest was was masqiert

schau dir vielleicht mal die system logs an
nur mc gestartet heisst ncihts - da er im mc genug anstellen kann und auch dort sein log ueberarbeiten kann
wenn du das ausm bash_history hast ist es genau nichts wert

ich will nicht sagen das dieser der boese hund war
aber er war vielleicht ein gluecklicher zufall um das ganze etwas zu sensibilisieren damit kein boeser hund mehr rein kann

Viper780

Elder
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50536

03.01.2002 - 18:34

also die syslog hat er sicha geschönt schau mal wieviel zeit er drinnen verbracht hat? Zeichnet die Firewall die einzelnen coneccetions auf? wenn ja stimmt die zeit mitn syslog überein?

NyoMic xepera-xeper-xeperu Registered: Feb 2001 Location: Stahlstadt Posts: 2620	03.01.2002 - 10:01 Folgendes in der Logfile steht dass sich jemand Zugang zu unserem Bigserver (Fileserver) verschafft hat. Laut Logfile isses eine 62.47.32.?? IP, also ADSL von der Telekom. Gibts da irgendeine Möglichkeit die Daten von demjenige zu beschaffen um ihn wegen Datendiebstahl (geht das überhaupt wenn er ja nedmal was gelesen hat) zu verklagen oder kann man irgendwie die Adresse rausfinden damit ich demjenigen wenigstens einen Brief schreiben kann damit er solche Aktionen in Zukunft zu unterlassen hat?
Guest Deleted User Registered: n/a Location: Posts: n/a	03.01.2002 - 10:39 yo, kann man. nettes mail (oder brief = seriöser) an die telekom schreiben, wenn sie einen guten tag (bzw du einen sehr guten grund = straftat = gerichtliche angelegenheit) haben, dann verwarnen sie nicht nur den teilnehmer selbst, sondern geben auch die adresse heraus.
NyoMic xepera-xeper-xeperu Registered: Feb 2001 Location: Stahlstadt Posts: 2620	03.01.2002 - 10:49 Najo Straftat isses eigentlich schon aber gleich verklagen will ich den auch nicht vorallem weil er eh nix herumpfuscht hat. Eigentlich wollt ich nur an Brief schreiben damit die Aktionen in Zukunft unterlassen werden, aber bis jetzt wars eh erst 1mal
Guest Deleted User Registered: n/a Location: Posts: n/a	03.01.2002 - 11:00 dann kannst du IP und genaue uhrzeit + genaue beschreibung des vergehens an die telekom melden und die leiten weitere schritte ein - abmahnung des users bis hin zum ausschluß von telekom dienstleistungen (ist das jetzt eine strafe oder ein segen!? )
scratchy OC Addicted Registered: Oct 2000 Location: vo, stmk Posts: 649	03.01.2002 - 12:02 ja, das geht ohne probleme... hab das auch schon ein paar mal gemacht... log-file der telekom schicken, und die kündigen den... einmal hat die telekom meine mail, an einen italienischen isp weitergeleitet und der hat mir dann geantwortet, dass derjenige schon gekündigt ist... hehe i find des a geniale art von "firewall"...
tintifax Bloody Newbie Registered: Mar 2001 Location: A Posts: 2267	03.01.2002 - 12:24 ja aber nur weil einer einen portscan macht braucht ma eam net nachverfolgen.
funka Legend ex-prophet(down below) Registered: Sep 2000 Location: Vienna / SF Posts: 6131	03.01.2002 - 12:54 was er hat gemacht wie hat ers gemacht wars eher fahrlaessigkeit von euch hat er ueberhaupt was boeses gemacht kannst dus beweisen?
NyoMic xepera-xeper-xeperu Registered: Feb 2001 Location: Stahlstadt Posts: 2620	03.01.2002 - 13:55 Najo beweisen kann ich's schon irgendwie aber auch irgendwie ned. D.h wenn a Logfile als beweis gilt dann schon. Zitat ja aber nur weil einer einen portscan macht braucht ma eam net nachverfolgen. Najo es geht ja darum dass auf dem Fileserver daten unsrer Kunden usw. lagern die man eigentlich unter keinsten umständen weitergeben soll/darf. Zitat wie hat ers gemacht Mit BruteForce das PW gecrackt. Danach aber laut logfile nur den MC geöffnet, zugemacht und ausgeloggt. Entweder er hats ganz gschickt gemacht das ma nix merkt (warum lässt er sich dann einfach dank seiner IP erkennen wenn er so gscheid is) oder er hat wirklich nix gemacht. Zitat wars eher fahrlaessigkeit von euch Najo eigentlich scho irgendwie. Weil normalerweise sollt ma halt nach max. 10 missglückten Loginversuchen einen Login unterbinden.
Guest Deleted User Registered: n/a Location: Posts: n/a	03.01.2002 - 15:20 Zitat von NyoMic Mit BruteForce das PW gecrackt. Danach aber laut logfile nur den MC geöffnet, zugemacht und ausgeloggt. Entweder er hats ganz gschickt gemacht das ma nix merkt (warum lässt er sich dann einfach dank seiner IP erkennen wenn er so gscheid is) oder er hat wirklich nix gemacht. Naja, eh klassische Verfahrensweise - Das war ja nur mal die Eintrittskarte - der wird nochmal vorbeischauen, würd ich sagen (vorausgesetzt ihr habt was Interessantes am Server liegen)! Und was die "Nachlässigkeit" mit der IP betrifft - mit an vernünftigen Bouncing wirds ihn eher wenig kümmern ...
noledge CWNE #540 Registered: Apr 2001 Location: ::1 Posts: 6838	03.01.2002 - 15:28 auszug aus dem logfile an protected schicken und die sache hat sich. noli
JC Vereinsmitglied Disruptor Registered: Feb 2001 Location: Katratzi Posts: 9066	03.01.2002 - 15:33 Zitat von NyoMic Mit BruteForce das PW gecrackt. Danach aber laut logfile nur den MC geöffnet, zugemacht und ausgeloggt. Entweder er hats ganz gschickt gemacht das ma nix merkt (warum lässt er sich dann einfach dank seiner IP erkennen wenn er so gscheid is) oder er hat wirklich nix gemacht. Vielleicht hat er's mittels eines Trojaners gemacht... In dem Fall würde die Spur nicht zum eigentlichen Täter, sondern zu einem völlig ahnungslosen Opfer führen...
NyoMic xepera-xeper-xeperu Registered: Feb 2001 Location: Stahlstadt Posts: 2620	03.01.2002 - 16:19 hmm najo PW is geändert und max. fehlerhafte Logins auf 5 gesenkt. Sollte vorerst reichen hoff ich
Viper780 Elder Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50536	03.01.2002 - 16:39 also wäre ich er ich hätt irgend a backdoor hinterlassen. was verwendets ihr für a wall?
funka Legend ex-prophet(down below) Registered: Sep 2000 Location: Vienna / SF Posts: 6131	03.01.2002 - 16:42 jo stark nach backdoors suchen die wichtigstens pass's aendern der file server sollt nicht direkt an einem public netz haengen vielleicht eine fw davor oder zumindest was was masqiert schau dir vielleicht mal die system logs an nur mc gestartet heisst ncihts - da er im mc genug anstellen kann und auch dort sein log ueberarbeiten kann wenn du das ausm bash_history hast ist es genau nichts wert ich will nicht sagen das dieser der boese hund war aber er war vielleicht ein gluecklicher zufall um das ganze etwas zu sensibilisieren damit kein boeser hund mehr rein kann
Viper780 Elder Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50536	03.01.2002 - 18:34 also die syslog hat er sicha geschönt schau mal wieviel zeit er drinnen verbracht hat? Zeichnet die Firewall die einzelnen coneccetions auf? wenn ja stimmt die zeit mitn syslog überein?

Unbefugter Zugriff

Forum Index > Hardware > Peripherie > Netzwerktechnik

NyoMic

Guest

NyoMic

Guest

scratchy

tintifax

funka

NyoMic

Guest

noledge

JC

NyoMic

Viper780

funka

Viper780