HomeServer Hackangriffe über dieses Forum

[NobisSoft]

Hallo Forum...
seitdem ich meinen HP Smarthomeserver am Netz habe, versuchen immer wieder "nette Zeitgenossen" aus vielen Ländern mit illegalen Mitteln auf meinen Server zu gelangen (Hackversuche).

Ich habe mich dabei immer gefragt woher haben die eigentlilch meine Webadresse? Nun habe ich mir mal, nach langer Zeit, meine Statistiken und Logs für die Webdomain angesehen und siehe da meine Adresse haben diese Subjekte über dieses Forum erhalten. Klar ich habe hier ja meine Adresse als Fußnote zum besseren Verständnis hinterlassen.

Fazit für mich, dieses Forum wird nicht nur von Usern besucht, die Hilfe bei ihrem Homeserver brauchen, sondern auch von Knalltüten die Anhaltspunkte für ihre Hackversuche brauchen und dies weltweit. Ich für meinen Teil schreibe mir die IP Adressen mit und schaue dann woher die Angriffe kommen. Ich bitte, Euch das zu berücksichtigen, danke!

PS: Jemehr Informationen man hier im Forum preisgibt, desdo besser für den Angreifer.

[JoachimL]

Hallo,
ich registriere auch Zugriffe auf meinen WHS, obwohl meine Adresse nirgends (ausser natürlich im DNS, und das muss natürlich sein) veröffentlich ist. Es muss also nicht am Forum liegen.
Gruß Joachim

[fab187]

Wo kann man denn diese Zugriffe von außen einsehen und was macht man am besten um sich dagegen zu schützen? Reichen sichere Passwörter denn schon?

[Nobby1805]

Mit wenig Aufwand findet ihr im Netz Tools die Web-Seite-Bäume nach Web- und Mailadressen scannen ... wenn man dann als Wurzel des Scan-Trees einen Googel-Search eingibt dann findet man jede Menge Adressen die in einem Zusammenhang zu dem Suchbegriff stehen ... und darauf hetzt das Script-Kiddy dann seine Angriffs-Scanner die er auch aus dem Netz geladen hat und gar nicht kapiert was die machen ... oder er nimmt sich einfach eine bestimme Adressbereich vor ... große Provider sind oft erfolgreiche Kandidaten

Aber: bei richtig eingestelltem Router, Firewall und IIS ist schon früh Schluss ... und der Scanner begibt sich zu einem einfacheren Zielobjekt

[NobisSoft]

Wo kann man denn diese Zugriffe von außen einsehen und was macht man am besten um sich dagegen zu schützen? Reichen sichere Passwörter denn schon?

Du kannst diese Zugriffe eventuelle in deinen Statistiklisten deines Provider nachsehen. Dort steht dann von wo aus deine Homeservereinsprungseite aufgerufen wurde. Meist wird die Anmeldeseite aufgerufen und dann versuchen sie hier einen Bypass zu schaffen, soll heißen ohne Anmeldung auf den Server zu gelangen. Doch wie Nobby schon schrieb, wenn der Server gut eingestellt ist, werden diese Kiddys oder wer das auch immer ist, schnell die Lust verlieren. Doch es gibt hier auch hartnäckige Zeitgenossen, wie aus meinen Logs hervorgeht. Auf dem Server kannst du das mit dem AddIn Weblogs nachvollziehen und dir hier - http://www.ip-adress.com/whois/ - anzeigen lassen.

[sTunTe]

Solche "Angriffsversuche" verzeichne ich mehrmals täglich.
Wie Norbert schon richtig beschrieben hat, sind das zu 99,999% irgendwelche Skript-Kiddies die noch nicht einmal wissen was sie da tun, geschweige denn erkennen das es sich um einen Windowsrechner und nicht um ein Unixsystem handelt.
Kann man sehr schön anhand der Logs des IIS erkennen.

Wer nun immernoch Panik hat sollte sich vielleicht mal diesen Beitrag durchlesen:
viewtopic.php?f=55&t=8576
Danach kann man dann auch wieder in Ruhe schlafen.

Gruß
sTunTe

[fab187]

Aber: bei richtig eingestelltem Router, Firewall und IIS ist schon früh Schluss ... und der Scanner begibt sich zu einem einfacheren Zielobjekt

Blöde Frage: Was gäbe es dann da zu machen? Kann man da mal ne Art Checkliste aufstellen,was machen alles gemacht haben soll?
Nur damit ich sicher gehe, dass alles ok is

[Wonko]

die Sicherheit des WHS ist aber eben nur "die halbe Miete"
primär wäre erst mal die Sicherheit des gesamten eigenen Netzes sicherzustellen
ich weiß, wovon ich rede - mein Netz ist so wie es aussieht erfolgreich über den WLAN-Zugang gehackt wurden
das ich da nicht ganz unschuldig dran bin sollte klar sein (hatte die sicherheit für das ausprobieren eines neuen spielzeugs runtergesetzt)
aktuell bin ich am "reparieren", setze im prinzip alles neu auf
und kann bei bedarf mal ein paar Sachen dazu notieren
generell sind passworte nur ein Teil der gesamten Strategie
bis denne
Wonko

[fab187]

mein Netz ist so wie es aussieht erfolgreich über den WLAN-Zugang gehackt wurden

Fällt bei mir schonmal raus...Wlan kommt mir nich mehr ins Haus
Hab Powerlan im Einsatz...läuft bei mir daheim auch schneller als wlan...

[NobisSoft]

Moin, so nun haben die Subjekte es auch auf meinen FTP Zugang abgesehen. Habe ich nur durch Zufall gesehen da ich gerade auf dem HP im FTP Server was ändern wollte. Lokalisiert habe ich die IP in China und es scheint alsob dort ein Script die Arbeit übernommen hatte und es scheint das die gleiche IP das mit anderen User ebenfalls macht (IP Adresse lautet 121.12.114.6). Laut Log wurden die Zugangs- und Passwortfelder über eine Stunde ausprobiert, bis ich dann die Notbremse gezogen und die IP gebannt habe. Damit war der Spuk dann vorbei. Hierbei glaube ich nicht das es sich um Kiddis handelt.

Könnte man hier nicht einen Gegenangriff starten und den Computer des Angreifers ausschalten? Hätte da Jemand eine Idee? Rechtlich gesehen ist das ausprobieren um in ein System zu kommen ja nicht strafbar, also hat man somit auch keine Handhabe gegen die Hacks. Naja und wenn dann noch die Angriffe aus China oder Russland kommen kann man das ja dann sowieso vergessen.

[Wonko]

Könnte man hier nicht einen Gegenangriff starten und den Computer des Angreifers ausschalten?

Anmerkung von sTunTe:
Beitrag auf Wunsch des Users geändert.

[sTunTe]

Hierbei glaube ich nicht das es sich um Kiddis handelt.

Ich schon.
Sieht mir sehr verdächtig nach einem simplen FTP-Scanner aus.

Könnte man hier nicht einen Gegenangriff starten und den Computer des Angreifers ausschalten?

Wenn jemand versucht Dir Dein Auto zu stehlen, ist das noch längst kein Freifahrtsschein für Dich das selbe zu machen.

Hätte da Jemand eine Idee?

Ja.
Dir oben den von mir geposteten Link durchlesen und sich wieder ruhig schlagen legen.

Rechtlich gesehen ist das ausprobieren um in ein System zu kommen ja nicht strafbar, also hat man somit auch keine Handhabe gegen die Hacks.

Falsch.
Zumindest in DE ist schon ein einfacher Portscan rechtswidrig und kann böse Konsequenzen nach sich ziehen.

Naja und wenn dann noch die Angriffe aus China oder Russland kommen kann man das ja dann sowieso vergessen.

Eben.
Und wenn Dein FTP-Server nicht grade offen wie ein Scheunentor ist, braucht man auch vor bösen kleinen Chinesen keine Angst zu haben.


@Wonko:
Solche "Tipps" möchte ich hier nicht noch einmal sehen.
1. Ist eine solche Attacke rechtlich strafbar und 2. wirst Du mit einem einzelnen Rechner keine Attacke fahren können.
Dazu sind mehrere tausend Rechner notwendig.


Gruß
sTunTe

[steve0564]

Dir oben den von mir geposteten Link durchlesen und sich wieder ruhig schlagen legen.

[NobisSoft]

Rechtlich gesehen ist das ausprobieren um in ein System zu kommen ja nicht strafbar, also hat man somit auch keine Handhabe gegen die Hacks.

Falsch.
Zumindest in DE ist schon ein einfacher Portscan rechtswidrig und kann böse Konsequenzen nach sich ziehen.

...Also das glaube ich nicht, außer die Gesetze haben sich hier geändert (bitte um Quellennachweis,danke). Ein normaler Portscan ist nach meinem Wissen nicht rechtswidrig, ja selbst nicht mal das eindringen in einen Rechner (hier allerdings muss man nachweisen das man den Computer gegen Angriffe gesichert hat). NUR das kopieren und verändern der Dateien ist dann rechtswidrig und wird verfolgt. Naja und dann bräuchte man noch die Hintermänner usw... sehr aufwendig und wird von der deutschen Justiz wg. Unfähigkeit und Manpowermangel eingestellt. Alles schon erlebt. Selbst wenn man der Staatsanwaltschaft die Adressen und auch die Leute nennen kann, wird das Verfahren eingestellt sollten sich die Leute im Ausland befinden, insbesondere Russland oder China.

[sTunTe]

Hallo.

Vielleicht hätte ich den Satz anders formatieren sollen:

Zumindest in DE ist schon ein einfacher Portscan rechtswidrig und kann böse Konsequenzen nach sich ziehen.

So verständlicher?

(bitte um Quellennachweis,danke).

Eine Quelle?
Da habe ich sogar ein paar mehr auf Lager.
Siehe hier unter "Rechtliche Aspekte":
http://de.wikipedia.org/wiki/Portscanne ... he_Aspekte

Und je nach Auslegung könnten hier folgende Paragraphen zum Einsatz kommem:
§ 303a:
http://bundesrecht.juris.de/stgb/__303a.html
§ 303b:
http://bundesrecht.juris.de/stgb/__303b.html
§ 202c:
http://bundesrecht.juris.de/stgb/__202c.html

So, und jetzt stellen wir uns einfach mal vor, dass Du bei einer Firma ungefragt einen Portscan durchführst.
Dadurch rufst Du den Admin auf den Plan und beschäftigst ihn mit der Auswertung Deiner Attacke.
Das stört den normalen Betrieb und die Firma könnte Dich für die entstanden Kosten haftbar machen.
Außerdem verstoßen Portscans zumindest bei der deutschen Telekom gegen deren AGBs, was eine Kündigung nach sich ziehen könnte.

Btw: Der Versuch in eine fremde Wohnung einzudringen, wird auch als versuchter Einbruch behandelt.
Auch dann, wenn Du keinen Schaden angerichtet hast und auch dann, wenn Du "nur mal gucken" wolltest...

Gruß
sTunTe