Ip Sperren

A

--Alex--

New Member
Ich habe ein Problem. Seit Tagen versucht eine Ip: 217.160.75.112, Inhaber Schlund und Partner AG, Schwachstellen auf meinem Server zu finden. Er sucht zum Beispiel den phpmyadmin Ordner. Wie kann ich diese Ip Sperren.

Schon mal Danke im vorraus
 
Hallo,

Code: 
iptables -I INPUT -s  217.160.75.112 -j DROP
Wie immer iptables erst Lokal testen ;)

Und nicht vergessen Abuse Mail zu verschicken!
 
Hallo,

damit meine ich das die Angaben von mir in diesem Fall ohne Gewähr sind!

Man kann sich, bei falsche Eingabe von solchen Befehlen, mal eben ganz schnell selber aussperren.

Lokal testen = Zu Hause auf dem Übungs-Server erst probieren.
 
So habe auf einem Testserver das jetzt ausgetestet. Wie könnte ich diese Sperre wieder rausnehmen?

So: iptables -D INPUT -s 217.160.75.112 -j DROP ?
 
Last edited by a moderator:
So habe jetzt noch mal genauer gesucht und rausgefunden, dass die Ip auf die Domain http://s15177224.rootmaster.info verweißt. Wie bekomm ich denn die Emailadresse der Subdomain raus, da ich nur die von der Hauptdomain rausbekommen habe.

Wenn ich iptables -L eingebe bekomm ich
Code: 
DROP all -- s15177224.rootmaster.info anywhere
Das heißt doch, dass diese Domain jetzt gesperrt ist.
 
Das Mail solltest du an abuse@schlund.com schreiben.

Was drinnen stehen sollte:
Deine Server IP, die IP des Angreifers, was der Angreifer gemacht hat und dazu gehörige Logauszüge.

Wunder dich nicht, wenn du keine Antwort auf dein Mail erhältst, dies ist (leider) so üblich, aber gehandelt wird meistens.
 
Hallo!

Bei einem:
Über eine Kurze Rückmeldung würde ich mich freuen.
Click to expand...
am Ende der Mail habe ich fast immer eine, wenn auch meist nichtssagende Antwort, bekommen.

Meist kommt dann etwas sinngemäßes wie
Wir nehmen uns der Sache an..
Click to expand...
Aber immerhin hat man dann die Bestätigung, daß es auch gelesen wurde ;)

Gruß flyingoffice
 
Erstmal vielen Dank, dass ihr mir geholfen habt. Habe jetzt eben gesehen, dass noch eine Ip von Schlund und Partner meine Verzeichnisse durchsucht. Also werde ich gleich die nächste Mail verschicken

Die Mail habe ich eben bekommen:
Code: 
Vielen Dank fuer Ihre Mitteilung an unsere Abuse-Abteilung.

Das Versenden von unerwuenschten Mails oder eine sonstige missbraeuchliche Verwendung unserer Systeme gegen andere Internet-Nutzer oder -Systeme widerspricht unseren Richtlinien zur Internet-Nutzung, welche sie ebenfalls in unseren 'Allgemeinen Geschaeftsbedingungen' (kurz AGB) finden.

Wenn Kunden gegen unsere Richtlinien verstossen, werden wir angemessene Schritte unternehmen, um den Missbrauch in Zukunft auszuschliessen.

Wir koennen nicht auf jede Anfrage individuell antworten, aber seien Sie versichert, dass wir Ihrer Beschwerde nachgehen, sofern sie konkrete Daten enthaelt. Im Fall einer Mail-Belaestigung werden z. B.
die vollstaendigen Daten der E-Mail (inklusive aller Header-Zeilen) benoetigt ansonsten Verbindungsdaten wie IP-Adresse und Datum/Uhrzeit, sowie eine moeglichst vollstaendige und verstaendliche Beschreibung Ihres Anliegens.

Sollten wir weitere Informationen zur Verfolgung des Sachverhalts benoetigen, werden wir Sie kontaktieren. In besonders ernsten Faellen (Betrug, Beleidigung, schwerer Datenmissbrauch, gehackte Server) empfehlen wir Ihnen, Ihre Polizeidienststelle einzuschalten.


Mit freundlichen Gruessen

Ihr 1&1 Abuse-Team
 
Wegen den Antworten

Wunder dich nicht, wenn du keine Antwort auf dein Mail erhältst, dies ist (leider) so üblich, aber gehandelt wird meistens.
Click to expand...

Der einzigste Hoster von dem man nach ca. 2 Stunden immer eine Antwort bekommt ist Hetzner. Auch wenn die Mails Standard Texte in DE und EN enthalten, denke ich, das die Mails auch wirklich gelesen werden. Von anderen habe ich noch nie eine Rückantwort bekommen. Schweigen. :rolleyes:

Wenn ich abuse Mails schreibe, dann nehme ich folgenden Text (auf SSH gemünzt):
Sehr gehrte Damen und Herren

Hiermit übersende ich Ihnen Logdateien und andere Informationen über die
IP Adresse <IP ADRESSE> mit dem DNS Namen
<DNS NAME> .

Von genanntem Server aus wurde versucht, durch probieren von
verschiedenen Passwörtern/Nutzern über den SSH Dienst in meinen Server
einzudringen.

Bitte informieren Sie den Betreiber des Servers, das sein System mit
hoher Wahrscheinlichkeit von dritten missbraucht wird bzw., sollte das
nicht der Fall sein, bitten Sie den Server Betreiber solche "Tests" in
Zukunft zu unterlassen.

Vielen Dank für Ihre Unterstützung.
Click to expand...

Nachtrag: Im Anhang dann eine ZIP Datei mit den ganzen Logeinträgen in einer Textdatei und diversen anderen Info's, wie Whois, DNS, Traceroute.
 
Last edited by a moderator:
Hm... hab da noch ne Frage:

Wenn bei meinem Server nach phpmyadmin verzeichnisse gesucht wird,
an wen muss man da die abuse schicken, an eigenen Hoster oder an den vom Hacker?
 
Hallo

blupp1 said:
an wen muss man da die abuse schicken, an eigenen Hoster oder an den vom Hacker?
Click to expand...
An die Abuse Emailadresse des Provider vom Verursacher; zu ermitteln über die IP / die Domain des Versurschers.

Gruß flyingoffice
 
Noch eine Frage. Gibt es nicht ein Script, das automatisch Ip sperrt? Ich bekomme nämlich jeden Tag zwei oder drei Ips, die phpmyadmin oder andere Ordner suchen.
 
You must log in or register to reply here.
Back
Top