Wurde gehackt! Log-Datei: Was macht der?

casbar

Cadet 4th Year
Dabei seit
Dez. 2004
Beiträge
115
HALLO!
Heute Nacht hat jemand versucht mein FTP zu hacken.
Bei mir ist eine Bulletproof FTP Server installiert.
Wie hier zusehen ist mit einen Dictionary Attack, zum Glück war ich och wach und konnte dies stoppen!

Code:
(001647) 26.02.2006 01:01:51 - (not logged in) (220.117.241.87) > USER Administrator
(001647) 26.02.2006 01:01:51 - (not logged in) (220.117.241.87) > 331 Password required for Administrator.
(001647) 26.02.2006 01:01:51 - (not logged in) (220.117.241.87) > USER Administrator
(001647) 26.02.2006 01:01:51 - (not logged in) (220.117.241.87) > 331 Password required for Administrator.
(001647) 26.02.2006 01:01:52 - (not logged in) (220.117.241.87) > PASS veronica
(001647) 26.02.2006 01:01:52 - (not logged in) (220.117.241.87) > 530 Login or Password incorrect.
(001647) 26.02.2006 01:01:52 - (not logged in) (220.117.241.87) > PASS veronica
(001647) 26.02.2006 01:01:52 - (not logged in) (220.117.241.87) > 503 Login with USER first.
(001647) 26.02.2006 01:01:52 - (not logged in) (220.117.241.87) > USER Administrator
(001647) 26.02.2006 01:01:52 - (not logged in) (220.117.241.87) > 331 Password required for Administrator.
(001647) 26.02.2006 01:01:52 - (not logged in) (220.117.241.87) > disconnected.
(001648) 26.02.2006 01:01:53 - (not logged in) (220.117.241.87) > USER Administrator
(001648) 26.02.2006 01:01:53 - (not logged in) (220.117.241.87) > 331 Password required for Administrator.
(001648) 26.02.2006 01:01:53 - (not logged in) (220.117.241.87) > USER Administrator
(001648) 26.02.2006 01:01:53 - (not logged in) (220.117.241.87) > 331 Password required for Administrator.
(001648) 26.02.2006 01:01:54 - (not logged in) (220.117.241.87) > PASS viking
(001648) 26.02.2006 01:01:54 - (not logged in) (220.117.241.87) > 530 Login or Password incorrect.
(001648) 26.02.2006 01:01:54 - (not logged in) (220.117.241.87) > PASS viking
(001648) 26.02.2006 01:01:54 - (not logged in) (220.117.241.87) > 503 Login with USER first.
(001648) 26.02.2006 01:01:55 - (not logged in) (220.117.241.87) > USER Administrator
(001648) 26.02.2006 01:01:55 - (not logged in) (220.117.241.87) > 331 Password required for Administrator.
(001648) 26.02.2006 01:01:55 - (not logged in) (220.117.241.87) > disconnected.
... usw.

Hab die IP dann als banned gemacht und heute morgen wieder geguckt ob was passiert ist!
Und jetzt kommt meine eigentliche Frage, und zwar kann mir jemand sagen was derjenige versucht hat zu machen?
Oder was ich jetzt machen kann, ob ich vielleicht mit der ip was machen kann! Sehen woher der kommt vielleicht bevor der ne neue kriegt, oder eine Mail schicken oder was weiss ich!
Hier der Log-Datei Ausschnitt:

Code:
(001874) 26.02.2006 11:16:29 - (not logged in) (62.166.160.141) > connected to ip : 192.168.1.3
(001874) 26.02.2006 11:16:30 - (not logged in) (62.166.160.141) > sending welcome message.
(001874) 26.02.2006 11:16:30 - (not logged in) (62.166.160.141) > 220-Saug-World
(001874) 26.02.2006 11:16:30 - (not logged in) (62.166.160.141) > 220-### WILLKOMMEN   ###
(001874) 26.02.2006 11:16:30 - (not logged in) (62.166.160.141) > CONNECT 205.231.29.241:25 HTTP/1.0
(001874) 26.02.2006 11:16:30 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001874) 26.02.2006 11:16:30 - (not logged in) (62.166.160.141) > HELO [62.143.73.45]
(001874) 26.02.2006 11:16:30 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001874) 26.02.2006 11:16:30 - (not logged in) (62.166.160.141) > MAIL FROM:<spamtrap-owner@nwsbank.nl>
(001874) 26.02.2006 11:16:30 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001874) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > disconnected.

(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > connected to ip : 192.168.1.3
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > sending welcome message.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 220-Saug-World
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 220-### WILLKOMMEN   ###
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > PUT http://205.231.29.241:25/ HTTP/1.0
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > CONTENT-LENGTH: 359
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > CONNECTION: close
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > HELO [62.143.73.45]
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > MAIL FROM:<spamtrap-owner@nwsbank.nl>
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > RCPT TO:<listme@listme.dsbl.org.>
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > DATA 
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > MESSAGE-ID: <5U4Q+zjAYxqy4NJSGpvChX0kelPxImG2@trapper>
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > TO: <listme@listme.dsbl.org.>
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > SUBJECT: Open HTTP PUT Proxy test message
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > DSBL LISTME: http-put [62.143.73.45]:21
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 5U4Q+ZJAYXQY4NJSGPVCHX0KELPXIMG2 
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > CONNECT to 205.231.29.241:25
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > DSBL END
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > . 
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > QUIT 
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 221 Bye bye ...
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > disconnected.
Speziell der 2. Abschnitt macht mir sorgen...
Da steht ja was mit MAIL, versucht der irgendwie irgendwo ne Mail über den Server zu schicken?

Was soll ich jetzt tun damit derjenige nix schlimmes tun kann??

BITTE HILFT mir!!

casbar
 

DerEineDa

Lieutenant
Dabei seit
Juni 2003
Beiträge
999
AW: Wurde GEHACKT! Log-Datei: Was macht der?

Richtig, im zweiten Abschnitt hat er versucht eine Mail zu verschicken, das sind alles SMTP-Befehle, abgesehen von ein paar HTTP-Commands zwischendurch.

Tjoa, was sollst du dagegen tun... Nimm einfach ein sicheres Passwort für deinen FTP, das in keinem Wörterbuch steht, und du bist auf der sicheren Seite. Zudem hat der Server vielleicht eine Option, jemanden für ne Zeit automatisch zu blocken, der ein paar mal ein falsches Passwort eingibt.

Solche kindischen Hack-Versuche erlebe ich hier jeden Tag. Also einfach ein sicheres Passwort nehmen und gut ist.
 
O

onlyJR

Gast
AW: Wurde GEHACKT! Log-Datei: Was macht der?

Sieht aus wie ein Programm, das versucht sich auf dem Server einzuloggen um Spam zu verschicken.
Aber wie Du gesehen hast, kommt das Programm 1. bei Dir garnicht auf den FTP, weil es das Passwort natürlich nicht weiß und 2. kennt dein FTP die Befehle zum Mailversenden garnicht.
Also irgendwie eine total planlose Attacke. Ich tippe auf irgendwas automatisches, das versucht Mails über gefundene Server zu schicken und nix persönliches gegen Dich bzw. nur Deinen Server.

Solange Du eine aktuelle Version Deines FTP-Servers nimmst und den berechtigten Usern gescheite Passwörter gibst, kann Dir da eigentlich nix passieren.
 

casbar

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
Dez. 2004
Beiträge
115
AW: Wurde GEHACKT! Log-Datei: Was macht der?

Vielen Dank für eure Antworten!
Werde einen Passwort Update an allen Usern machen... :-)

Hab nämlich gestern abend einen kleinen schrecken bekommen da es das erste mal war!

casbar
 

casbar

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
Dez. 2004
Beiträge
115
AW: Wurde GEHACKT! Log-Datei: Was macht der?

Das stimmt!

Die ip is ja ganz eindeutig ne andere! Das erste stück der ip is ja der Provider, einmal is das die 220 und einmal die 62!
Ich habe ISH als provider und da ist auch die 62, heisst das der hatte auch ISH oder können viele Provider eine IP haben?

Von welchen provider is die 220? wie kann man das rauskriegen?

casbar
 

Zombik

Newbie
Dabei seit
Feb. 2003
Beiträge
6
AW: Wurde GEHACKT! Log-Datei: Was macht der?

Also für mich siehts nach einem Bot aus, der nach unsicheren SMTP Servern sucht, um die in http://dsbl.org einzutragen...
Sagma, betreibst du deinen FTP zufällig am Port 25 statt des Standardport 21 ?
 
Top