Hacker - IP über Logs

live

New Member
Hallo,
letzens waren ein paar Hacker auf userem TS Server.
Und ich wollte nun fragen, ob es eine TS-Logdatei gibt, die die IPs der User speichert, die auf dem TS Server waren.
 
Server.log ?
Oder so ähnlich. Ist doch wohl kein Problem in den Ordner zu schauen. Sind doch nur paar Dateien.
 
Und was versprichst du dir von dieser Aktion? Selbst wenn du die IP bekommst müsstest du damit schon zur Pol gehen und das ganze zur Anzeige bringen. Und ob sich dieser Aufwand lohnt wage ich doch stark zu bezweifeln. Teamspeak komplett neuaufsetzen und gut ist. So lange Teamspeak nicht in der Sicherheit stark zulegt kann sowas immer wieder vorkommen, ist zwar ärgerlich aber kaum zu verhindern.
 
Anzeige bei Polizei ist Schwachsinn.
Nur wenn innerhalb von 5 Tagen dein Bericht mit Logfiles bei der Saatsanwaltschaft ist hätte man die Möglichkeit rauszubekommen wer "Er" war.
Und ich sagte Staatsanwaltschaft. Nicht Polizei. Denn die braucht auch wieder 24-48 Sunden um das der Staatsanwaltschaft zu melden.
 
Du willst was?
Falls du die IP blocken willst, dann mit genauer IP. Und nicht mit xxx.xxx.*.*

Zauberwort ist Firewall.
 
Ist das denn devinitiv eine feste IP? Im Normalfall sind es eigentlich irgendwelche Skriptkiddies, und die verfügen eigentlich nicht über eine feste IP. Sondern kommen ganz normal über ihren Provider ins Netz, und dann nützt dir das garnichts diese IP zu blocken.
 
Hallo.

Der thread den Du da verlinkt hast ist wertlos zumal Hellghost in keinster Weise die Konfiguration und damit die Problemstellung praezisiert haette (aber nicht nur deswegen).
Aber davon abgesehen habe ich den Eindruck, dass Du Dich auch ausschliesslich auf den 2ten post dort beziehst?
Was oliver-siewert da vorschlaegt bedeutet, gleich alle Kunden von sagen wir Strato, Telekom oder sonstwas undifferenziert auszusperren weil aus deren Segment mal ein "Hacker kam".
Wenn Du Pech hast sperrst Du Dich damit selbst aus (oder schlimmer noch, Deine bessere Haelfte).

letzens waren ein paar Hacker auf userem TS Server.
Diese Information ist auch nur bedingt tauglich, ich wuesste jetzt nicht wie sich das geaeussert hat oder welche Konsequenzen fuer Dein System sich daraus ergeben, oder wie denn Dein TS-Server konfiguriert ist (lies den von Dir verlinkten thread ruhig bis zum Ende durch);
Im Zweifel ist gar nicht nur der "TS-Server" sondern das ganze System/host kopromitiert worden.

Was ist also nun Sache?

Ciao,
Mercy.
 
Hi live,
ich vermute das du unter "hacken" wie die meisten Leute im TS Business eine bößwillige änderung an Registrationen oder Channeln meinst.

In 90% aller Fälle liegt das an der Serverkonfiguration die dies zuläst. Die Rechte falsch gesetzt. Der "Rechtsklick E" Trick wurde bei einem der SAs ausprobiert. Uws...

Die Frage zu deinen IPs kann ich nicht 100%ig verstehen.

Auszug aus einer Serverlog ~ März 2005
08-03-05 13:06:35,ALL,Info,server, Server init initialized
08-03-05 13:06:35,ALL,Info,server, Server version: 2.0.20.1 Linux
08-03-05 13:06:36,ALL,Info,server, Starting VirtualServer id:1 with port:8767
08-03-05 13:06:38,ALL,Info,server, Server init finished
08-03-05 13:06:38,WARNING,Info,server, TeamSpeak Server daemon activated
08-03-05 13:06:43,ALL,Info,AccessLog, SID: 1 client connected [IP: 84.44.131.18, Nick: Somebody1, Version: 2.0.29.47]
08-03-05 13:06:46,ALL,Info,AccessLog, SID: 1 client connected [IP: 80.129.151.247, Nick: Leo, LoginName: Somebody2, DBID: 6, Version: 2.0.32.60]
08-03-05 13:06:46,ALL,Info,SALog, SID: 1 serveradmin connected [IP: 80.129.151.247, Nick: Somebody2, LoginName: Somebody2]
08-03-05 13:06:47,ALL,Info,AccessLog, SID: 1 client connected [IP: 83.129.75.215, Nick: Somebody3, LoginName: Somebody3, DBID: 671, Version: 2.0.32.60]
08-03-05 13:06:47,ALL,Info,AccessLog, SID: 1 client disconnected. [Nick: Somebody1]


Um diesen Umfang in der Logdatei zu erzeugen ist es nötig die Server.ini mit folgenden Parametern auszustatten und den Server neu zu starten.
[log]
access_r=1
access_u=1
channel_registerred=1
channel_unregisterred=1
sa=1
chat=1
kick_server=1
kick_channel=1


Zu Gewschichte mit der Anzeige:
Die Polizei ist in der Regel schnellgenug nur wir kein Staatsanwalt seinen Ar*** bewegen wegen einer Schadensersatzforderung von 0€. Wenn du ne Forderung von ca 5000€++ stellst Springen alle, nur wird auf Grund der Zeitdifferenz deines Server zur der des Providers das ganze schnell wieder eingestellt. TS-Logdatei Zeit stimmt nicht mit der Logzeit der IPs des Providers.
Dazu kommt das du der Polizei erst mal erklären must was TS ist...
(Alles Erfahrung)


Bei weiteren Fragen können wir uns gern mal im TS Treffen.

Gruß
Daniel
 
Last edited by a moderator:
Und leider wird es Scriptkidys sehr einfach gemacht, ihr Ip "zuverstecken", z.B. durch eine nicht näher genannte Software.

Mod: Toolname entfernt! Gibt schon genug blöde...!
 
Last edited by a moderator:
Wie IP "verstecken"?!
Ich suche schon sehr sehr lange so eine Möglichkeit über einen Proxi oder ähnliches meine IP bei Teamspeak zu verändern hab da aber noch nie gesehen oder selber geschafft.

Währest du villeicht so nett das näher auszuführen und selber auch mal zu testen :)
 
Hallo.

Das hat er doch schon, mit seinem post hat er dafuer gesorgt, dass eine nicht genauer bezifferbare Gruppe von genau jenen angehenden "Scriptkidys" die es noch nicht kannten, es in Zukunft nutzen und mit einem Gefuehl der Unantastbarkeit umso mehr Unsinn anstellen werden.:eek:

Ciao,
Mercy.
 
... über einen Proxi ...

Das mit dem Proxy sollte ja passen, oder doch nicht? Ich war immer der Meinung, das bei Nutzung eines Proxys eh nur die IP Adresse von dem System auf dem der Proxy läuft nach außen sichtbar ist. Wenn dem nicht so wäre würde ja im LOG des SSF zum Bleistift meine Intranet IP Adresse auftauchen, macht sie aber bestimmt nicht. ;)

Sollte das aber auch ohne Proxy gehen, frage ich mich wie. Denn es würde sich die Frage ergeben, wie denn das per TCP/IP angefragte System (durch was auch immer - http, ssh, ... ) ein TCP/IP Antwort Paket verschicken kann, wenn es die Absende IP Adresse des anfragenden Systems nicht kennt. Vielleicht steh ich ja gerade auf dem Schlauch ... :D
 
Ich war immer der Meinung, das bei Nutzung eines Proxys eh nur die IP Adresse von dem System auf dem der Proxy läuft nach außen sichtbar ist. Wenn dem nicht so wäre würde ja im LOG des SSF zum Bleistift meine Intranet IP Adresse auftauchen, macht sie aber bestimmt nicht. ;)

Standard Konfiguration vom Squid sendet die richtige IP des Clients mit.
Das muss erst explizit abgeschalten werden.
So dass unter Umständen auch IPs aus dem privaten Lan mit gesendet werden.

Wie das andere Proxy-Software handhabt weiß ich nicht.
 
Back
Top