ComputerBase Menü
Was ist neu?

Wurde gehackt! Log-Datei: Was macht der?

C

casbar

Cadet 4th Year
Dabei seit
Dez. 2004
Beiträge
115
HALLO!
Heute Nacht hat jemand versucht mein FTP zu hacken.
Bei mir ist eine Bulletproof FTP Server installiert.
Wie hier zusehen ist mit einen Dictionary Attack, zum Glück war ich och wach und konnte dies stoppen!

Code: 
(001647) 26.02.2006 01:01:51 - (not logged in) (220.117.241.87) > USER Administrator
(001647) 26.02.2006 01:01:51 - (not logged in) (220.117.241.87) > 331 Password required for Administrator.
(001647) 26.02.2006 01:01:51 - (not logged in) (220.117.241.87) > USER Administrator
(001647) 26.02.2006 01:01:51 - (not logged in) (220.117.241.87) > 331 Password required for Administrator.
(001647) 26.02.2006 01:01:52 - (not logged in) (220.117.241.87) > PASS veronica
(001647) 26.02.2006 01:01:52 - (not logged in) (220.117.241.87) > 530 Login or Password incorrect.
(001647) 26.02.2006 01:01:52 - (not logged in) (220.117.241.87) > PASS veronica
(001647) 26.02.2006 01:01:52 - (not logged in) (220.117.241.87) > 503 Login with USER first.
(001647) 26.02.2006 01:01:52 - (not logged in) (220.117.241.87) > USER Administrator
(001647) 26.02.2006 01:01:52 - (not logged in) (220.117.241.87) > 331 Password required for Administrator.
(001647) 26.02.2006 01:01:52 - (not logged in) (220.117.241.87) > disconnected.
(001648) 26.02.2006 01:01:53 - (not logged in) (220.117.241.87) > USER Administrator
(001648) 26.02.2006 01:01:53 - (not logged in) (220.117.241.87) > 331 Password required for Administrator.
(001648) 26.02.2006 01:01:53 - (not logged in) (220.117.241.87) > USER Administrator
(001648) 26.02.2006 01:01:53 - (not logged in) (220.117.241.87) > 331 Password required for Administrator.
(001648) 26.02.2006 01:01:54 - (not logged in) (220.117.241.87) > PASS viking
(001648) 26.02.2006 01:01:54 - (not logged in) (220.117.241.87) > 530 Login or Password incorrect.
(001648) 26.02.2006 01:01:54 - (not logged in) (220.117.241.87) > PASS viking
(001648) 26.02.2006 01:01:54 - (not logged in) (220.117.241.87) > 503 Login with USER first.
(001648) 26.02.2006 01:01:55 - (not logged in) (220.117.241.87) > USER Administrator
(001648) 26.02.2006 01:01:55 - (not logged in) (220.117.241.87) > 331 Password required for Administrator.
(001648) 26.02.2006 01:01:55 - (not logged in) (220.117.241.87) > disconnected.
... usw.

Hab die IP dann als banned gemacht und heute morgen wieder geguckt ob was passiert ist!
Und jetzt kommt meine eigentliche Frage, und zwar kann mir jemand sagen was derjenige versucht hat zu machen?
Oder was ich jetzt machen kann, ob ich vielleicht mit der ip was machen kann! Sehen woher der kommt vielleicht bevor der ne neue kriegt, oder eine Mail schicken oder was weiss ich!
Hier der Log-Datei Ausschnitt:

Code: 
(001874) 26.02.2006 11:16:29 - (not logged in) (62.166.160.141) > connected to ip : 192.168.1.3
(001874) 26.02.2006 11:16:30 - (not logged in) (62.166.160.141) > sending welcome message.
(001874) 26.02.2006 11:16:30 - (not logged in) (62.166.160.141) > 220-Saug-World
(001874) 26.02.2006 11:16:30 - (not logged in) (62.166.160.141) > 220-### WILLKOMMEN   ###
(001874) 26.02.2006 11:16:30 - (not logged in) (62.166.160.141) > CONNECT 205.231.29.241:25 HTTP/1.0
(001874) 26.02.2006 11:16:30 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001874) 26.02.2006 11:16:30 - (not logged in) (62.166.160.141) > HELO [62.143.73.45]
(001874) 26.02.2006 11:16:30 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001874) 26.02.2006 11:16:30 - (not logged in) (62.166.160.141) > MAIL FROM:<spamtrap-owner@nwsbank.nl>
(001874) 26.02.2006 11:16:30 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001874) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > disconnected.

(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > connected to ip : 192.168.1.3
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > sending welcome message.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 220-Saug-World
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 220-### WILLKOMMEN   ###
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > PUT http://205.231.29.241:25/ HTTP/1.0
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > CONTENT-LENGTH: 359
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > CONNECTION: close
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > HELO [62.143.73.45]
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > MAIL FROM:<spamtrap-owner@nwsbank.nl>
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > RCPT TO:<listme@listme.dsbl.org.>
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > DATA 
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > MESSAGE-ID: <5U4Q+zjAYxqy4NJSGpvChX0kelPxImG2@trapper>
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > TO: <listme@listme.dsbl.org.>
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > SUBJECT: Open HTTP PUT Proxy test message
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > DSBL LISTME: http-put [62.143.73.45]:21
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 5U4Q+ZJAYXQY4NJSGPVCHX0KELPXIMG2 
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > CONNECT to 205.231.29.241:25
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > DSBL END
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > . 
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 500 Unknown command.
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > QUIT 
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > 221 Bye bye ...
(001875) 26.02.2006 11:16:45 - (not logged in) (62.166.160.141) > disconnected.

Speziell der 2. Abschnitt macht mir sorgen...
Da steht ja was mit MAIL, versucht der irgendwie irgendwo ne Mail über den Server zu schicken?

Was soll ich jetzt tun damit derjenige nix schlimmes tun kann??

BITTE HILFT mir!!

casbar
 
DerEineDa

DerEineDa

Lieutenant
Dabei seit
Juni 2003
Beiträge
1.002
AW: Wurde GEHACKT! Log-Datei: Was macht der?

Richtig, im zweiten Abschnitt hat er versucht eine Mail zu verschicken, das sind alles SMTP-Befehle, abgesehen von ein paar HTTP-Commands zwischendurch.

Tjoa, was sollst du dagegen tun... Nimm einfach ein sicheres Passwort für deinen FTP, das in keinem Wörterbuch steht, und du bist auf der sicheren Seite. Zudem hat der Server vielleicht eine Option, jemanden für ne Zeit automatisch zu blocken, der ein paar mal ein falsches Passwort eingibt.

Solche kindischen Hack-Versuche erlebe ich hier jeden Tag. Also einfach ein sicheres Passwort nehmen und gut ist.
 
O

onlyJR

Gast
AW: Wurde GEHACKT! Log-Datei: Was macht der?

Sieht aus wie ein Programm, das versucht sich auf dem Server einzuloggen um Spam zu verschicken.
Aber wie Du gesehen hast, kommt das Programm 1. bei Dir garnicht auf den FTP, weil es das Passwort natürlich nicht weiß und 2. kennt dein FTP die Befehle zum Mailversenden garnicht.
Also irgendwie eine total planlose Attacke. Ich tippe auf irgendwas automatisches, das versucht Mails über gefundene Server zu schicken und nix persönliches gegen Dich bzw. nur Deinen Server.

Solange Du eine aktuelle Version Deines FTP-Servers nimmst und den berechtigten Usern gescheite Passwörter gibst, kann Dir da eigentlich nix passieren.
 
C

casbar

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
Dez. 2004
Beiträge
115
AW: Wurde GEHACKT! Log-Datei: Was macht der?

Vielen Dank für eure Antworten!
Werde einen Passwort Update an allen Usern machen... :-)

Hab nämlich gestern abend einen kleinen schrecken bekommen da es das erste mal war!

casbar
 
Sublogics

Sublogics

Rear Admiral
Dabei seit
Feb. 2005
Beiträge
5.822
AW: Wurde GEHACKT! Log-Datei: Was macht der?

Daß das nur ein Spam-Bot oder ähnliches und kein User ist, der dich hacken will, siehst du ja schon an den Zeitangaben des Logs. Kein Mensch kann es wohl schaffen, innerhalb von 2, 3 Sekunden mehr als 10 Befehle u.a. einzutippen.
 
C

casbar

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
Dez. 2004
Beiträge
115
AW: Wurde GEHACKT! Log-Datei: Was macht der?

Das stimmt!

Die ip is ja ganz eindeutig ne andere! Das erste stück der ip is ja der Provider, einmal is das die 220 und einmal die 62!
Ich habe ISH als provider und da ist auch die 62, heisst das der hatte auch ISH oder können viele Provider eine IP haben?

Von welchen provider is die 220? wie kann man das rauskriegen?

casbar
 
Zombik

Zombik

Newbie
Dabei seit
Feb. 2003
Beiträge
6
AW: Wurde GEHACKT! Log-Datei: Was macht der?

Also für mich siehts nach einem Bot aus, der nach unsicheren SMTP Servern sucht, um die in http://dsbl.org einzutragen...
Sagma, betreibst du deinen FTP zufällig am Port 25 statt des Standardport 21 ?
 
Anmelden, um zu antworten.

Ähnliche Themen

TI_Gaming_TV
Andere Minecraft Forge ,,Better Minecraft 1.19´´ startet nicht
Antworten
2
Aufrufe
1.003
TI_Gaming_TV
TI_Gaming_TV
B
Zyxel VDSL Modem (DX3301) mit Vodafone DSL
Antworten
6
Aufrufe
1.283
Brisk Iron
B
so_la_la
Ubuntu lässt sich nicht aktualisieren
Antworten
19
Aufrufe
4.201
netzgestaltung
netzgestaltung
M
Störung Komplettausfall VDSL 250
Antworten
1
Aufrufe
1.558
Telekom hilft
Telekom hilft
donnerwolke
Bitwarden (Vaultwarden) und die Api
Antworten
10
Aufrufe
2.465
donnerwolke
donnerwolke
Top

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz