[Postfixbuch-users] mail-relay hacker finden / fangen

Marc Samendinger marc.samendinger at sp-online.de
Di Apr 27 13:16:39 CEST 2004


> -----Original Message-----
> From: postfixbuch-users-bounces at listi.jpberlin.de 
> [mailto:postfixbuch-users-bounces at listi.jpberlin.de] On 
> Behalf Of Maag Oskar
> Sent: Tuesday, April 27, 2004 12:41 PM
> 
> Hallo Liste,
> 
> hat der Versuch, einen hacker zu finden, überhaupt eine 
> Erfolgschance? Oder ist das als "ganz normaler Vorgang" zu 
> betrachten, 
> obwohl es doch schon mehr als port-scan ist?

Die Frage ist ob das tatsächlich ein beabsichtigter "Angriff" ist.

> Nun habe ich einen fast täglichen hacker, der (bis jetzt) 
> immer am "AUTH" scheitert. Ich grep (und pflogsumm.pl)

Was heisst am "AUTH scheitert"?

> mir den immer aus dem /var/log/mail und hab so einen 
> Überblick über die verschiedenen IP-Adressen (alle ohne 
> DNS-Eintrag), seine 
> "Arbeitstage", "Arbeitszeiten" und "Arbeitsablauf".
> Daraus ergibt sich eindeutig, daß es manuelle Versuche sind.
> 
> Möglicherweise gibt es eine "empfohlene Mischung" von 
> "tcpdump", "nmap", "traceroute", "ping", "telnet-scritps", 
> "php-scripts", 
> "honeypot" oder auch "unter Aufsicht einbrechen lassen", um 
> den Standort des hackers herauszufinden.
> Und das natürlich unter gleichzeitiger Mithilfe von 
> verschiedenen Standorten.

Es wäre sicherlich interessant was denn tatsächlich von dem
"Hacker" versucht wird. Ein tcpdump kann da helfen.
Nicht das sich der "Hacker" einfach nur als falsch konfigurierter
Mail Client erweist, der aufgrund eines Tippehlers bei dir
rauskomt.

> Interessiert das Thema noch jemand?
> 
> Oskar Maag

Gib mal ein bisschen mehr Infos was denn nun wirklich passiert.

marc



Mehr Informationen über die Mailingliste Postfixbuch-users