Bin ich gehackt worden?

orGa

orGa

Registered User
Moin,

sorry bin erst von Arbeit gekommen und echt nicht in der Lage klar zu denken.

Seit heute Mittag laufen meine warn.logs Sturm mit folgenden Nachrichten:

Code: 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN= OUT=eth0 SRC=**.**.***.*** DST=87.161.147.135 LEN=1492 TOS=0x00 PREC=0x00 TTL=64 ID=10584 DF PROTO=TCP SPT=2004 DPT=2319 WINDOW=8806 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN= OUT=eth0 SRC=**.**.***.*** DST=87.161.147.135 LEN=1492 TOS=0x00 PREC=0x00 TTL=64 ID=10585 DF PROTO=TCP SPT=2004 DPT=2319 WINDOW=8806 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN=eth0 OUT= MAC=00:30:05:ba:78:ee:00:0c:db:9b:2f:00:08:00 SRC=87.161.147.135 DST=**.**.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=119 ID=13189 DF PROTO=TCP SPT=2319 DPT=2004 WINDOW=65340 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN= OUT=eth0 SRC=**.**.***.*** DST=87.161.147.135 LEN=1492 TOS=0x00 PREC=0x00 TTL=64 ID=10586 DF PROTO=TCP SPT=2004 DPT=2319 WINDOW=8806 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN=eth0 OUT= MAC=00:30:05:ba:78:ee:00:0c:db:9b:2f:00:08:00 SRC=87.161.147.135 DST=**.**.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=119 ID=13200 DF PROTO=TCP SPT=2319 DPT=2004 WINDOW=65340 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN= OUT=eth0 SRC=**.**.***.*** DST=87.161.147.135 LEN=1492 TOS=0x00 PREC=0x00 TTL=64 ID=10587 DF PROTO=TCP SPT=2004 DPT=2319 WINDOW=8806 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN= OUT=eth0 SRC=**.**.***.*** DST=87.161.147.135 LEN=1492 TOS=0x00 PREC=0x00 TTL=64 ID=10588 DF PROTO=TCP SPT=2004 DPT=2319 WINDOW=8806 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN=eth0 OUT= MAC=00:30:05:ba:78:ee:00:0c:db:9b:2f:00:08:00 SRC=87.161.147.135 DST=**.**.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=119 ID=13201 DF PROTO=TCP SPT=2319 DPT=2004 WINDOW=65340 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN= OUT=eth0 SRC=**.**.***.*** DST=87.161.147.135 LEN=1492 TOS=0x00 PREC=0x00 TTL=64 ID=10589 DF PROTO=TCP SPT=2004 DPT=2319 WINDOW=8806 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN=eth0 OUT= MAC=00:30:05:ba:78:ee:00:0c:db:9b:2f:00:08:00 SRC=87.161.147.135 DST=**.**.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=119 ID=13212 DF PROTO=TCP SPT=2319 DPT=2004 WINDOW=65340 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN= OUT=eth0 SRC=**.**.***.*** DST=87.161.147.135 LEN=1492 TOS=0x00 PREC=0x00 TTL=64 ID=10590 DF PROTO=TCP SPT=2004 DPT=2319 WINDOW=8806 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN= OUT=eth0 SRC=**.**.***.*** DST=87.161.147.135 LEN=1492 TOS=0x00 PREC=0x00 TTL=64 ID=10591 DF PROTO=TCP SPT=2004 DPT=2319 WINDOW=8806 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN=eth0 OUT= MAC=00:30:05:ba:78:ee:00:0c:db:9b:2f:00:08:00 SRC=87.161.147.135 DST=**.**.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=119 ID=13213 DF PROTO=TCP SPT=2319 DPT=2004 WINDOW=65340 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN= OUT=eth0 SRC=**.**.***.*** DST=87.161.147.135 LEN=1492 TOS=0x00 PREC=0x00 TTL=64 ID=10592 DF PROTO=TCP SPT=2004 DPT=2319 WINDOW=8806 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN=eth0 OUT= MAC=00:30:05:ba:78:ee:00:0c:db:9b:2f:00:08:00 SRC=87.161.147.135 DST=**.**.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=119 ID=13224 DF PROTO=TCP SPT=2319 DPT=2004 WINDOW=65340 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN= OUT=eth0 SRC=**.**.***.*** DST=87.161.147.135 LEN=1492 TOS=0x00 PREC=0x00 TTL=64 ID=10593 DF PROTO=TCP SPT=2004 DPT=2319 WINDOW=8806 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN= OUT=eth0 SRC=**.**.***.*** DST=87.161.147.135 LEN=1492 TOS=0x00 PREC=0x00 TTL=64 ID=10594 DF PROTO=TCP SPT=2004 DPT=2319 WINDOW=8806 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN=eth0 OUT= MAC=00:30:05:ba:78:ee:00:0c:db:9b:2f:00:08:00 SRC=87.161.147.135 DST=**.**.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=119 ID=13225 DF PROTO=TCP SPT=2319 DPT=2004 WINDOW=65340 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN= OUT=eth0 SRC=**.**.***.*** DST=87.161.147.135 LEN=1492 TOS=0x00 PREC=0x00 TTL=64 ID=10595 DF PROTO=TCP SPT=2004 DPT=2319 WINDOW=8806 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN=eth0 OUT= MAC=00:30:05:ba:78:ee:00:0c:db:9b:2f:00:08:00 SRC=87.161.147.135 DST=**.**.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=119 ID=13236 DF PROTO=TCP SPT=2319 DPT=2004 WINDOW=65340 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN= OUT=eth0 SRC=**.**.***.*** DST=87.161.147.135 LEN=1492 TOS=0x00 PREC=0x00 TTL=64 ID=10596 DF PROTO=TCP SPT=2004 DPT=2319 WINDOW=8806 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN= OUT=eth0 SRC=**.**.***.*** DST=87.161.147.135 LEN=1492 TOS=0x00 PREC=0x00 TTL=64 ID=10597 DF PROTO=TCP SPT=2004 DPT=2319 WINDOW=8806 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN=eth0 OUT= MAC=00:30:05:ba:78:ee:00:0c:db:9b:2f:00:08:00 SRC=87.161.147.135 DST=**.**.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=119 ID=13237 DF PROTO=TCP SPT=2319 DPT=2004 WINDOW=65340 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN= OUT=eth0 SRC=**.**.***.*** DST=87.161.147.135 LEN=1492 TOS=0x00 PREC=0x00 TTL=64 ID=10598 DF PROTO=TCP SPT=2004 DPT=2319 WINDOW=8806 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN=eth0 OUT= MAC=00:30:05:ba:78:ee:00:0c:db:9b:2f:00:08:00 SRC=87.161.147.135 DST=**.**.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=119 ID=13248 DF PROTO=TCP SPT=2319 DPT=2004 WINDOW=65340 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN= OUT=eth0 SRC=**.**.***.*** DST=87.161.147.135 LEN=1492 TOS=0x00 PREC=0x00 TTL=64 ID=10599 DF PROTO=TCP SPT=2004 DPT=2319 WINDOW=8806 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN= OUT=eth0 SRC=**.**.***.*** DST=87.161.147.135 LEN=1492 TOS=0x00 PREC=0x00 TTL=64 ID=10600 DF PROTO=TCP SPT=2004 DPT=2319 WINDOW=8806 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN=eth0 OUT= MAC=00:30:05:ba:78:ee:00:0c:db:9b:2f:00:08:00 SRC=87.161.147.135 DST=**.**.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=119 ID=13249 DF PROTO=TCP SPT=2319 DPT=2004 WINDOW=65340 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN= OUT=eth0 SRC=**.**.***.*** DST=87.161.147.135 LEN=1492 TOS=0x00 PREC=0x00 TTL=64 ID=10601 DF PROTO=TCP SPT=2004 DPT=2319 WINDOW=8806 RES=0x00 ACK URGP=0 
Mar  1 00:10:19 alp******* kernel: ipacct_unknown:IN=eth0 OUT= MAC=00:30:05:ba:78:ee:00:0c:db:9b:2f:00:08:00 SRC=87.161.147.135 DST=**.**.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=119 ID=13260 DF PROTO=TCP SPT=2319 DPT=2004 WINDOW=65340 RES=0x00 ACK URGP=0

Ich hab meine IP erstmal rausgemacht vom Server, nur leider sagt mir diese Meldung nichts.

Jede Stunde schafft der unter warn und messages (dort steht das selbe drin wie unter warn) knapp 10 MB.

Was ist das, woher kommt das, hoffe einer von euch kann mir helfen bin mit meinem Latein am Ende.

Greatz
 
Hallo,

wenn das ein Hacker ist..... dann fass dir mal an deine Nase ;)

Da du, wie du sagtest, deine IP (die vom Server) rausgenommen hast bleibt im Log nur noch eine über.....

Na ja was soll ich sagen, die IP die im Log steht, das ist deine von Zuhause.

Du böser Hacker.
:)

Kleiner Zusatz noch:
Überleg mal was auf deinem Server auf Port 2319 läuft.
Dann weisst du was diese Logs verursacht.
 
Last edited by a moderator:
Sorry, habe nur gefragt weil mir diese Meldung nichts weiter gesagt hat.

Nur wenn das meine IP sein soll, dann Frage ich mich wie ich Online sein konnte wenn ich ab 15 Uhr Arbeiten war :) und der PC aus war.
 
Hallo,

ich habe mich vielleicht Falsch ausgedrückt.
Es war nicht Falsch das du gefragt hast!
Also bitte kein "Sorry" ;)

Die IP die in deinem Log-Auszug zu sehen ist, die hattest du also du den Beitrag verfasst hast.

Wie die anderen Logeinträge aussehen ist mir leider nicht bekannt.

Trotz alledem liegt mit Sicherheit ein Fehler vor. Aber ich denke nicht das das etwas mit einem Hacker zu tun hat.
 
Naja, dachte ich mir schon, vielleicht bisschen zu schnell gelesen.

Also ich habe gestern über Rapidshare gezogen bis ca. 22 Uhr danach hat sich PC ausgeschalten. Ich sag ja, ich war nicht zuhause.

Dieses Logfile hatte gestern um 00:40 ca. 140MB und es war voll mit dieser Meldung, ich weis nicht mehr genau ob überall die selben IP's dahinter standen oder nicht weil ne so grosse txt die dauert nen Stück bis die offen ist.

Naja, ich hab sonst nichts weiter gefunden, ich denke mal egal was es war es war nichts gravierendes.

Nur im ersten Moment da schaut man nicht schlecht wenn man sowas liest.

Aber danke erstmal für die Info, ich werd das mal beobachten. Mal sehen was noch so passiert.

Greatz
 
So, nachdem ich bisschen gegoogelt hab, folgende Fehler gefunden:

1. es Scannt einer nach Samba Servern

2. es läuft IAM und ist nicht richtig drin

3. Fehler in den iptables

Naja, IAM hab ich laufen, werd das heute Mittag mal durchsuchen nach Fehlern.

Tja, man muss nciht alles wissen, aber man muss wissen wo es steht, wa :)

Ich denke das hier kann geclosed werden.


@V40

beruhigende Worte am Morgen sind immer gut :)
 
You must log in or register to reply here.
Back
Top