Lohn sich eine Beschwerde wegen Anriffsveruch auf Server

  • Thread starter Thread starter flyingoffice
  • Start date Start date
F

flyingoffice

Guest
Lohn sich eine Beschwerde wegen Anriffsversuch auf Server

Heute Nacht gab es mal wieder einen Angriffsversuch
Code: 
May 27 03:07:29 h****** sshd[11800]: Invalid user bind from 85.214.24.214
...
May 27 03:07:43 h****** sshd[12006]: Invalid user candy from 85.214.24.214
was kein Problem darstellt, weil denyhosts den Angreifer geblockt hat
Code: 
May 27 03:07:43 h****** sshd: refused connect from 85.214.24.214 (85.214.24.214)
Ich bin noch nicht so ganz damit vertraut, wie man eine Rückverfolgung und eine Beschwerdestelle ermittelt. Der Trace läßt mich vermuten, daß der Server bei Strato steht. Sehe ich das richtig?
Code: 
05/27/06 11:09:35 Fast traceroute 85.214.24.214
Trace 85.214.24.214 ...
 1 217.251.43.148   37ms   36ms   37ms  TTL:  0  (*********.dip.t-dialin.net ok)
 2 193.158.141.161  38ms   39ms   40ms  TTL:  0  (No rDNS)
 3 217.5.116.62    199ms   38ms   38ms  TTL:  0  (No rDNS)
 4 62.154.11.173    37ms   41ms   39ms  TTL:  0  (hl-eb1.HL.DE.net.DTAG.DE ok)
 5 62.154.50.90     42ms   52ms   44ms  TTL:  0  (h-ea1.H.DE.net.DTAG.DE ok)
 6 62.156.139.230   49ms   49ms   48ms  TTL:  0  (so-0-1-0-0.hnv2-j2.mcbone.net ok)
 7 194.221.42.86    49ms   48ms   50ms  TTL:  0  (strato-gw-bcx.cw.net bogus rDNS: host not found [authoritative])
 8 85.214.0.74      51ms  164ms   97ms  TTL:  0  (No rDNS)
 9 85.214.0.122     50ms   48ms   57ms  TTL:  0  (No rDNS)
10 85.214.24.214    51ms   51ms   52ms  TTL: 56  (ns3.hana.at ok)
Der Domaineigner für hana.at läßt sich ja leicht ermitteln. Eine Abuse Abfrage liefert kein Ergebnis.

Wie ermittel ich jetzt eine zuständige Beschwerdestelle?
Nachtrag: Nachdem ich whois auf dem Server installiert habe konnte ich die IP eindeutig dem Strato Rechenzentrum Berlin zuordnen. Mail an Abuse Abteilung ist raus.

Lohn sich das bei einem Angriff aus at, ch, de?

Gruß flyingoffice
 
Last edited by a moderator:
Naja. Ich hab bei europäischen Providern zumindestens schon gute Erfahrungen mit Abuses gemacht. Ich hab die dann meistens direkt telefonisch aufgegeben und teilweise unter der Woche war der betreffende Server nach ~3 Stunden vom Netz genommen. Aber du musst bedenken, du bewirkst das 1 Server d0wn genommen wird ... Von Tausenden die als Spamschleuder etc dienen ...


Gruß
 
tty0 said:
Aber du musst bedenken, du bewirkst das 1 Server d0wn genommen wird
Click to expand...
Keine Frage, aber eine solche Maßnahme des ISP wird den betreffenden Serverbetreiber sicherlich ehr für das Thema Serversicherheit sensibilisieren (ich gehe im konkreten Fall von einem Misbrauch Dritter aus) als das gute Zureden in diesem und anderen Foren ;)

Und wenn es alle so halten, hätte man mal einen positiven Schneeballeffekt :-/

Gruß flyingofice
 
Innerhalb von Europa hast du gute Chancen.

Der großteil kommt bei meinem Server aus China, Korea, Malaysia und USA.

Was mich verwundert, dass den Firmen in den USA das scheinbar egal ist.
Ich habe mir mit einem Provider eine Mailschlacht geliefert. Ich habe alle Nachweise geliefert, die er wollte. Nachträglich wollte man immer etwas anderes und mehr haben. Irgendwann habe ich es aufgegeben....


mfg

bwar
 
Hallo!

Wir sind der Sache nachgegangen und haben entsprechende Schritte eingeleitet.

Mit freundlichem Gruß

"Hans Müller"
Abuse-Team "Firma"
Click to expand...

Sieht so aus ;) Kann zwar ab und an eine Woche dauern, aber eigendlich sollte es fast immer eine Antwort geben

edit:stimmt ja
 
Last edited by a moderator:
Hallo!
Hans Müller von der Firma Firma hat sicherlich kein Problem mit der Nennung seines Namens :).

mfG
Thorsten
 
Hallo Thosten,
das steht erst seit dem Edit dort.
Vorher stand dort ein doch recht aufschluss reicher Name und eine recht bekannte Firma.
 
Geändert von ClemensBW (Heute um 17:40 Uhr). sollte eigendlich Aufschluss geben :) Ich hatte wirklich vergessen den Namen zu entfernen.
 
Meine bescheidenen Erfahrungen sehen bis jetzt so aus:

Meldungen nach Fernost kommen mit "Bitte melden sie es dort und dort aber doch nicht hier beim ISP." zurück.

Meldungen innerhalb der EU werden vernünftig beantwortet. Wenn man aber einen Angriff, der mehr als 24h alt ist, meldet, ist der Provider sowieso schon informiert und man kann sich die Mühe sparen. Und 3 mal täglich checke ich meine auth.log dann doch nicht ...

Schöne Grüße,
Daniel D
 
Thorsten said:
Hallo!
Hans Müller von der Firma Firma hat sicherlich kein Problem mit der Nennung seines Namens :).
Click to expand...

Es gibt aber auch Provider, wo Sie dir in der gesamten Korrespondenz nicht den Namen nennen.. Nicheinmal wenn Sie dich anrufen ;)
Kann ich auch gut verstehen..
 
You must log in or register to reply here.
Back
Top