Ich hasse Hacker, Cracker, Spamer und alle die nix Gutes im Sinn haben

[Tschokko]

*agrgasdkjhaskjhakdasd*
*vorwutschäum*

Ich hasse dieses Pack ! Und ich muss grad mal meinen Frust ablassen...

Seit Wochen plagen mich dauernd Angriffe auf meinen Root Server im Internet. Ich war täglich damit beschäftigt Prozesse zu kicken und die Schlupflöcher zu stopfen. Dann lief das System mal echt paar Wochen super schön und ruhig. Aber heute wunderte ich mich warum die Kiste so grotten lahm ist und ich keinen CVS Zugriff mehr erlange. Ein Blick auf die Maschinen und meine Alarmglocken schrillten auf. Hunderte httpd Prozesse und hunderte von offenen Verbindungen. Oh mein Gott... erst ham se den Blog meiner Freundin angegriffen, hab ich abgestellt, dann sind se auf meinen Blog los gegangen, auch abgestellt und dann ham se stumpf hunderte Verbindungen auf die Startseite von meiner Root Server Domain aufgemacht. Maaaaaaaaaaaaaaaannnnnnnnnnn... was soll das ?

Ich hasse dieses verfuchte nichtsnutzige Pack. Lasst meinen Server in Ruhe !!!!  Solche Leute gehören echt gejagt und in aller Öffentlichkeit ausgepeitscht.

Nun muss ich warten bis Frank (Chef von FNH Media) zurück ist und dann schauen wir gemeinsam über meinen Server drüber.

*grrrrrrrrrrrrrrrrrrrrrrrrrrrr*

Gruß
Tschokko

[Freud-Schiller]

Strafanzeige und dann ist Ruh

[Tschokko]

Strafanzeige und dann ist Ruh

Na wenn das so einfach wäre. Ich hab hunderte von simultanen Zugriffen von genauso vielen unterschiedlichen Systemen. Hier mal nen kurzer netstat Auszug... und jetzt sag mir wenn ich hier nachverfolgen soll?

Code: [Auswählen]

www:/www/pages/tschokko.de/www# netstat -a
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 *:cvspserver            *:*                     LISTEN
tcp        0      0 *:mysql                 *:*                     LISTEN
tcp        0      0 *:www                   *:*                     LISTEN
tcp        0      0 www.chaostwins.de:www   196-11-241-194.mt:19321 SYN_RECV
tcp        0      0 www.chaostwins.de:www   164.125.24.211:3408     SYN_RECV
tcp        0      0 *:webmin                *:*                     LISTEN
tcp        0      0 *:ftp                   *:*                     LISTEN
tcp        0      0 *:ssh                   *:*                     LISTEN
tcp        0      0 *:smtp                  *:*                     LISTEN
tcp        0      0 www.chaostwins.de:www   e179166098.adsl.al:1593 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   host156-94-static.:2385
ESTABLISHED
tcp        0      0 www.chaostwins.de:www   e179166098.adsl.al:1598 TIME_WAIT
tcp        0      1 www.chaostwins.de:www   222.218.142.48:62484    LAST_ACK
tcp        0      0 www.chaostwins.de:www   e179166098.adsl.al:1600 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   97.212.22.202.otv.:4285 TIME_WAIT
tcp        1    513 www.chaostwins.de:www   ACCB2D2A.ipt.aol.c:4822 CLOSING
tcp        0    272 www.chaostwins.de:ssh   p5498D4C1.dip.t-d:64602
ESTABLISHED
tcp        0      0 www.chaostwins.de:www   dslb-084-060-032-:12004 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   wrzb-590cf5fc.poo:61509
ESTABLISHED
tcp        0      0 www.chaostwins.de:www   wrzb-590cf5fc.poo:61506 TIME_WAIT
udp        0      0 *:webmin                *:*
udp        0      0 *:ntp                   *:*
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node Path
unix  5      [ ]         DGRAM                    15365474 /dev/log
unix  2      [ ACC ]     STREAM     LISTENING     60408197
/var/run/mysqld/mysqld.sock
unix  2      [ ]         DGRAM                    60408201
unix  2      [ ]         DGRAM                    60400580
unix  2      [ ]         DGRAM                    58638793
unix  2      [ ]         DGRAM                    777
unix  2      [ ]         DGRAM                    750
unix  2      [ ]         DGRAM                    288
www:/www/pages/tschokko.de/www# netstat -a
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 *:cvspserver            *:*                     LISTEN
tcp        0      0 *:mysql                 *:*                     LISTEN
tcp        0      0 *:www                   *:*                     LISTEN
tcp        0      0 www.chaostwins.de:www   p54B33865.dip0.t-:36562 SYN_RECV
tcp        0      0 www.chaostwins.de:www   219-71-187-157.cab:3921 SYN_RECV
tcp        0      0 www.chaostwins.de:www   20118085086.host.t:1690 SYN_RECV
tcp        0      0 www.chaostwins.de:www   058177174217.ctine:2007 SYN_RECV
tcp        0      0 www.chaostwins.de:www   59.93.90.21:4274        SYN_RECV
tcp        0      0 www.chaostwins.de:www   124.254.196.45:4894     SYN_RECV
tcp        0      0 www.chaostwins.de:www   61.106.126.53:3013      SYN_RECV
tcp        0      0 www.chaostwins.de:www   61.102.38.44:2665       SYN_RECV
tcp        0      0 www.chaostwins.de:www   59.94.221.208:4312      SYN_RECV
tcp        0      0 www.chaostwins.de:www   59.93.223.239:1430      SYN_RECV
tcp        0      0 www.chaostwins.de:www   196-11-241-194.mt:19321 SYN_RECV
tcp        0      0 www.chaostwins.de:www   59.95.66.93:1658        SYN_RECV
tcp        0      0 www.chaostwins.de:www   200.172.36.17:4112      SYN_RECV
tcp        0      0 www.chaostwins.de:www   FLH1Aas192.aic.mes:1456 SYN_RECV
tcp        0      0 www.chaostwins.de:www   59.93.217.187:2079      SYN_RECV
tcp        0      0 www.chaostwins.de:www   p4136-ipbf401sapod:2821 SYN_RECV
tcp        0      0 www.chaostwins.de:www   125.57.50.201:4820      SYN_RECV
tcp        0      0 www.chaostwins.de:www   61.97.197.53:4452       SYN_RECV
tcp        0      0 www.chaostwins.de:www   222.119.113.18:3047     SYN_RECV
tcp        0      0 www.chaostwins.de:www   200.172.36.17:4113      SYN_RECV
tcp        0      0 www.chaostwins.de:www   222.119.113.18:3048     SYN_RECV
tcp        0      0 www.chaostwins.de:www   59.94.9.18:2360         SYN_RECV
tcp        0      0 www.chaostwins.de:www   eu85-84-130-45.cli:2317 SYN_RECV
tcp        0      0 www.chaostwins.de:www   164.125.24.211:3408     SYN_RECV
tcp        0      1 www.chaostwins.de:www   58.141.88.36:4736       LAST_ACK
tcp        0      1 www.chaostwins.de:www   222.218.142.48:62484    LAST_ACK
tcp        0      0 www.chaostwins.de:www   ppp85-140-175-105.:1607
ESTABLISHED
tcp        0      1 www.chaostwins.de:www   82-39-1-223.cable.:1028 LAST_ACK
tcp        0      0 www.chaostwins.de:www   59.94.251.253:2232     
ESTABLISHED
tcp        0      0 www.chaostwins.de:www   59-171-86-230.rev.:1528 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   210.113.241.145:3831   
ESTABLISHED
tcp        0      0 www.chaostwins.de:www   237.73.215.220.ap.:4250 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   host.213.240.194.2:1855
ESTABLISHED
tcp        0      0 www.chaostwins.de:www   59.93.60.74:4155       
ESTABLISHED
tcp        0      0 www.chaostwins.de:www   124.125.83.219:3877   
ESTABLISHED
tcp        0      0 www.chaostwins.de:www   59.93.60.74:4101        TIME_WAIT
tcp        0      0 www.chaostwins.de:www   200-170-250-142.s:60424 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   c-67-191-38-230.hs:2983 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   c-67-191-38-230.hs:2982 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   121.142.93.97:3472     
ESTABLISHED
tcp        0      0 www.chaostwins.de:www   after08.uni.it:4132   
ESTABLISHED
tcp        0      0 www.chaostwins.de:www   e179166098.adsl.al:1600 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   8.4.32.118:50275        TIME_WAIT
tcp        0    533 www.chaostwins.de:www   59.191.14.6:1402       
ESTABLISHED
tcp        0      0 www.chaostwins.de:www   221-135-210-144.si:2808 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   softbank2192152081:2203 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   222.122.47.245:58240   
ESTABLISHED
tcp        0      0 www.chaostwins.de:www   059148177205.ctine:3020 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   210006115101.ctine:2247
ESTABLISHED
tcp        0      0 www.chaostwins.de:www   210006115101.ctine:2246
ESTABLISHED
tcp        0      0 www.chaostwins.de:www   58.24.231.203:1310     
ESTABLISHED
tcp        0      0 www.chaostwins.de:www   61.109.161.137:1830     TIME_WAIT
tcp        0      0 www.chaostwins.de:www   c911fa84.bhz.virtu:2566 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   55-215-114-200.fi:33537 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   softbank2190160280:2239 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   adsl-66-142-150-19:2446 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   host221.201-252-33:2644 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   FLH1Aas192.aic.mes:1456 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   FLH1Aas192.aic.mes:1706 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   125x103x206x102.ap:2936 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   210.113.241.145:3675    TIME_WAIT
tcp        0      0 www.chaostwins.de:www   210.113.241.145:3674    TIME_WAIT
tcp        0      0 www.chaostwins.de:www   210.113.241.145:3677    TIME_WAIT
tcp        0      0 www.chaostwins.de:www   210.113.241.145:3676    TIME_WAIT
tcp        0      0 www.chaostwins.de:www   125.129.69.49:3652      TIME_WAIT
tcp        0      0 www.chaostwins.de:www   ASte-Genev-Bois-11:1571 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   59.93.209.118:1210      TIME_WAIT
tcp        0      0 www.chaostwins.de:www   220.226.63.242:7821     TIME_WAIT
tcp        0      0 www.chaostwins.de:www   220.226.63.242:7820     TIME_WAIT
tcp        0      0 www.chaostwins.de:www   oyma103196.catv.pp:3785 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   p54B33865.dip0.t-:36997 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   p54B33865.dip0.t-:36996 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   211.104.78.107:3367     TIME_WAIT
tcp        0      0 www.chaostwins.de:www   host-190-15.adsl.e:4054 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   pool-70-21-41-228.:3419 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   83.147.85.92:1950       TIME_WAIT
tcp        0      0 www.chaostwins.de:www   p4136-ipbf401sapod:3156 TIME_WAIT
tcp        1    513 www.chaostwins.de:www   ACCB2D2A.ipt.aol.c:4822 CLOSING
tcp        0      0 www.chaostwins.de:www   59.93.244.207:3687      TIME_WAIT
tcp        0      0 www.chaostwins.de:www   059149178201.ctine:2712 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   200.172.36.17:4112      TIME_WAIT
tcp        0      0 www.chaostwins.de:www   217-133-103-192.b:29531 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   c9500221.bhz.virtu:1521 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   Broadband-Dynamic:56513 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   59.94.10.21:4606        TIME_WAIT
tcp        0      0 www.chaostwins.de:www   c-71-204-34-199.hs:1640 TIME_WAIT
tcp        0      0 www.chaostwins.de:www   59.95.66.93:1789        TIME_WAIT
udp        0      0 *:webmin                *:*
udp        0      0 *:ntp                   *:*
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node Path
unix  5      [ ]         DGRAM                    15365474 /dev/log
unix  2      [ ACC ]     STREAM     LISTENING     60408197
/var/run/mysqld/mysqld.sock
unix  2      [ ]         DGRAM                    60408201
unix  2      [ ]         DGRAM                    60400580
unix  2      [ ]         DGRAM                    58638793
unix  2      [ ]         DGRAM                    777
unix  2      [ ]         DGRAM                    750
unix  2      [ ]         DGRAM                    288

Gruß Tschokko

[Freud-Schiller]

verstehe ich nicht? mußt Du die Beweißführung aufbauen? Die Kripo ist bei so was verdammt gut(sollte man nicht meinen). Ich selber dachte ich wäre anonym im Netz, bis ich Post bekam und es hieß nix mit dem P2P. Trotz Proxy über ne UNI

[Freud-Schiller]

Und das beste es kostet Dich GAR NICHTS und kann Dir nur helfen :-)

[escimo]

Lassen sich die IP-Adressen denn nicht protokollieren und später über Router und diverse Provider zurückverfolgen, nachdem man eine Anzeige gegen "noch unbekannt" erstattet hat? Kann ich mir gar nicht vorstellen, das sowas nicht schon mal durchgeführt wurde.

[Tschokko]

Hmmm... und wie geh ich das nun an? Ruf ich da jetzt beim Freund und Helfer an und sag: Hallo ich hab Hacker auf meinem Server. Ich möchte gerne Anzeige gegen Unbekannt erstattet!



Gruß Tschokko

[Freud-Schiller]

Genau richtig. klar ist es am anfang gegen unbekannt und nicht gegen ip xxx, der betroffene kann ja nicht die ermittlungen lenken. die grünen brauche was zeit, sind aber sehr gründlich ;-) schlecht siehts aus, wenns ins ausland ohne rechtshilfe abkommen geht.

nach der strafanzeige hast Du(Tschokko) dann nämlich auch noch zivilrechtliche möglichkeiten... und wenn Du davon dann Deine Freundin zum essen einlädst

[Freud-Schiller]

was nur nicht, wie das mit der beweissicherung ist. aber daten müßten eigentlich genügen... die beschlagnahmen ja auch fast keine rechner mehr, schon gar nicht von Opfern

[Tschokko]

Ich wart jetzt erstmal das Eintreffen meines Hosters ab. Dann werde ich den Webserver nochmal hochfahren und beobachten. Tritt der Scheiß dann nochmal ein, werde ich das mit der Strafanzeige zusammen mit meinem Hoster überdenken. Mich kotzt das nämlich echt an! Die sollen sich gefälligst von meinem Server verpissen!!!

Danke euch schon mal.

Gruß Tschokko

[MenoK]

Blöde Idee - aber war vielleicht diese Domain www.chaostwins.de einfach nur irgendwo auf einer großen Seite verlinkt?
100te Connections innerhalb kurzer Zeit ist ja eigentlich das von heise.de bekannte DDOS-Problem - weil irgendwie alle gleichzeitig wo drauf klicken müssen, weil da ein Link auf irgendeiner Portalseite ist.
(OK - im Moment sieht man ja nur eine Debian-Startseite - aber wenn da vorher ein Blog war...

[llothar]

Oh ja das Thema ist echt scheisse.

Letztens hatte jemand es tatsächlich geschafft eine Lücke in meinem Formular zu finden und dann gingen knapp 100000 Emails in zwei Stunden über meinen Server raus und verstopften alle Queues, bis mein Hoster mich dann abgeklinkt hatte.

Und dann kamen dutzende wütender Response Emails.

[signal_15]

Morgen,

ich an deiner stelle wuerde den schittlauch rauslassen und den port des switches, an dem der server haengt, auf einen anderen port spiegeln ...

Code: [Auswählen]

Switch(config)# interface FastEthernet0/7
Switch(config)# port monitor FastEthernet0/3
Switch(config)# end
... und an diesem mittels snoop/tcpdump/ethereal/etc mitlauschen. wuerde bestimmt sehr lehrreich sein.

ct,