Unbefugter Zugriff

Seite 1 von 2 - Forum: Netzwerktechnik auf overclockers.at

URL: https://www.overclockers.at/netzwerktechnik/unbefugter_zugriff_21831/page_1 - zur Vollversion wechseln!

NyoMic schrieb am 03.01.2002 um 10:01

Folgendes in der Logfile steht dass sich jemand Zugang zu unserem Bigserver (Fileserver) verschafft hat. Laut Logfile isses eine 62.47.32.?? IP, also ADSL von der Telekom. Gibts da irgendeine Möglichkeit die Daten von demjenige zu beschaffen um ihn wegen Datendiebstahl (geht das überhaupt wenn er ja nedmal was gelesen hat) zu verklagen oder kann man irgendwie die Adresse rausfinden damit ich demjenigen wenigstens einen Brief schreiben kann damit er solche Aktionen in Zukunft zu unterlassen hat?

schrieb am 03.01.2002 um 10:39

yo, kann man.

nettes mail (oder brief = seriöser) an die telekom schreiben, wenn sie einen guten tag (bzw du einen sehr guten grund = straftat = gerichtliche angelegenheit) haben, dann verwarnen sie nicht nur den teilnehmer selbst, sondern geben auch die adresse heraus.

NyoMic schrieb am 03.01.2002 um 10:49

Najo Straftat isses eigentlich schon aber gleich verklagen will ich den auch nicht vorallem weil er eh nix herumpfuscht hat. Eigentlich wollt ich nur an Brief schreiben damit die Aktionen in Zukunft unterlassen werden, aber bis jetzt wars eh erst 1mal

schrieb am 03.01.2002 um 11:00

dann kannst du IP und genaue uhrzeit + genaue beschreibung des vergehens an die telekom melden und die leiten weitere schritte ein - abmahnung des users bis hin zum ausschluß von telekom dienstleistungen (ist das jetzt eine strafe oder ein segen!? :D)

scratchy schrieb am 03.01.2002 um 12:02

ja, das geht ohne probleme... hab das auch schon ein paar mal gemacht... log-file der telekom schicken, und die kündigen den... :D

einmal hat die telekom meine mail, an einen italienischen isp weitergeleitet und der hat mir dann geantwortet, dass derjenige schon gekündigt ist... hehe

i find des a geniale art von "firewall"... :p

tintifax schrieb am 03.01.2002 um 12:24

ja aber nur weil einer einen portscan macht braucht ma eam net nachverfolgen.

funka schrieb am 03.01.2002 um 12:54

was er hat gemacht
wie hat ers gemacht
wars eher fahrlaessigkeit von euch
hat er ueberhaupt was boeses gemacht

kannst dus beweisen?

NyoMic schrieb am 03.01.2002 um 13:55

Najo beweisen kann ich's schon irgendwie aber auch irgendwie ned. D.h wenn a Logfile als beweis gilt dann schon.

Zitat
ja aber nur weil einer einen portscan macht braucht ma eam net nachverfolgen.

Najo es geht ja darum dass auf dem Fileserver daten unsrer Kunden usw. lagern die man eigentlich unter keinsten umständen weitergeben soll/darf.

Zitat
wie hat ers gemacht
Mit BruteForce das PW gecrackt. Danach aber laut logfile nur den MC geöffnet, zugemacht und ausgeloggt. Entweder er hats ganz gschickt gemacht das ma nix merkt (warum lässt er sich dann einfach dank seiner IP erkennen wenn er so gscheid is) oder er hat wirklich nix gemacht.

Zitat
wars eher fahrlaessigkeit von euch

Najo eigentlich scho irgendwie. Weil normalerweise sollt ma halt nach max. 10 missglückten Loginversuchen einen Login unterbinden.

schrieb am 03.01.2002 um 15:20

Zitat von NyoMic
Mit BruteForce das PW gecrackt. Danach aber laut logfile nur den MC geöffnet, zugemacht und ausgeloggt. Entweder er hats ganz gschickt gemacht das ma nix merkt (warum lässt er sich dann einfach dank seiner IP erkennen wenn er so gscheid is) oder er hat wirklich nix gemacht.

Naja, eh klassische Verfahrensweise - Das war ja nur mal die Eintrittskarte - der wird nochmal vorbeischauen, würd ich sagen (vorausgesetzt ihr habt was Interessantes am Server liegen)!

Und was die "Nachlässigkeit" mit der IP betrifft - mit an vernünftigen Bouncing wirds ihn eher wenig kümmern ...

noledge schrieb am 03.01.2002 um 15:28

auszug aus dem logfile an protected schicken und die sache hat sich.

noli

JC schrieb am 03.01.2002 um 15:33

Zitat von NyoMic
Mit BruteForce das PW gecrackt. Danach aber laut logfile nur den MC geöffnet, zugemacht und ausgeloggt. Entweder er hats ganz gschickt gemacht das ma nix merkt (warum lässt er sich dann einfach dank seiner IP erkennen wenn er so gscheid is) oder er hat wirklich nix gemacht.
Vielleicht hat er's mittels eines Trojaners gemacht... In dem Fall würde die Spur nicht zum eigentlichen Täter, sondern zu einem völlig ahnungslosen Opfer führen...

NyoMic schrieb am 03.01.2002 um 16:19

hmm najo PW is geändert und max. fehlerhafte Logins auf 5 gesenkt. Sollte vorerst reichen hoff ich

Viper780 schrieb am 03.01.2002 um 16:39

also wäre ich er ich hätt irgend a backdoor hinterlassen.
was verwendets ihr für a wall?

funka schrieb am 03.01.2002 um 16:42

jo
stark nach backdoors suchen

die wichtigstens pass's aendern
der file server sollt nicht direkt an einem public netz haengen
vielleicht eine fw davor oder zumindest was was masqiert

schau dir vielleicht mal die system logs an
nur mc gestartet heisst ncihts - da er im mc genug anstellen kann und auch dort sein log ueberarbeiten kann
wenn du das ausm bash_history hast ist es genau nichts wert

ich will nicht sagen das dieser der boese hund war
aber er war vielleicht ein gluecklicher zufall um das ganze etwas zu sensibilisieren damit kein boeser hund mehr rein kann

Viper780 schrieb am 03.01.2002 um 18:34

also die syslog hat er sicha geschönt schau mal wieviel zeit er drinnen verbracht hat? Zeichnet die Firewall die einzelnen coneccetions auf? wenn ja stimmt die zeit mitn syslog überein?



overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2025