IP bei Proivder melden?! Wegen Missbrauch?!

[Friesi]

Hab an euch mal eine Frage die wohl auch mehr in den Bereich Sicherheit geht.
Als ich heute morgen aufgestanden bin, hatte meine snort.log 29756 neu Einträge gehabt.
Ich musste feststellen, das diese alle von der selben IP Adresse kamen.

Die Signatur war zu 98% diese:

Code: Alles auswählen

[snort] (http\_inspect) BARE BYTE UNICODE ENCODING   
[snort] (http\_inspect) BARE BYTE UNICODE ENCODING 
[snort] (http\_inspect) BARE BYTE UNICODE ENCODING    	
[snort] (http\_inspect) NON-RFC HTTP DELIMITER    	
[snort] (http\_inspect) APACHE WHITESPACE (TAB)    	   	 
[snort] (http\_inspect) BARE BYTE UNICODE ENCODING    
[snort] (http\_inspect) BARE BYTE UNICODE ENCODING    	
[snort] (http\_inspect) APACHE WHITESPACE (TAB)    	   
[snort] (http\_inspect) BARE BYTE UNICODE ENCODING 
[snort] (http\_inspect) BARE BYTE UNICODE ENCODING

Leider finde ich zu dem beiden nichts weiteres.
Meist wurde es an Port 60010 "ausgeführt", wobei da bei mir nichts offen ist, denn.

Meine Frage:
Ist das normal?! (hatte noch nie so einen vorfall) und es nicht beachten.
Oder soll ich an dem Provider, dem diese IP gehört eine mail an abuse@ ... schreiben?!

[chimaera]

ich bezweifle ob das melden irgendetwas bringt, ausser (wenn überhaupt) arbeit für den entsprechenden provider.. ansonsten kanns aber wohl auch nicht schaden..

[Friesi]

ja denke auch nicht, das dies etwas bringt.

Vielleicht sollte ich es auch einfach hinnehmen.

Hab ja nun die IP Adresse komplett in meiner Firewall gesperrt, dürfte ja eigentlich reichen oder?
Snort schreibt zwar noch fleißig weiter seine Einträge, doch snort "schnüffelt" ja vor der Firewall.

[chimaera]

Hab ja nun die IP Adresse komplett in meiner Firewall gesperrt, dürfte ja eigentlich reichen oder?

naja, sollte der "angreifer", was zu vermuten ist, eine dynamische ip von seinem provider bekommen..

[Friesi]

ok das wäre ehr zu vermuten.
Ich versuche ja eigentlich schon seit längerer zeit mein Snort so einzurichten, das wenn von einer IP Adresse öfters meldungen vorkommen, die für einen bestimmten Zeitraum auszusperren.

Leide bekomme ich dies einfach nicht ans laufen :-/

[RHase]

Hi,

hast Du evtl. einen Schreibfehler und meinst die Ports
"6000:6010" bzw. "6000:6063" ?

Die haben meines Wissens etwas mit der "MS Remote Desktopunterstuetzung" bzw. mit dem "X-Window" (von Remote-Rechnern) zu tun.

Wenn dem so ist, solltest Du m.E. die Attacken ernst nehmen, da will Dir jemand "auf den Desktop schauen".


cu,
RHase

[Friesi]

Ne denke nicht, aber ich kann ja auch mal ein auszug aus Snort posten:

Code: Alles auswählen

  #200-(7-20941)     [snort] (http\_inspect) BARE BYTE UNICODE ENCODING 2003-12-29 06:05:16   217.**.***.***:60010   213.***.***.***:80   TCP 

Habe die IP vorsichtshalber mir *** versehen, nicht das es noch stress gibt
Wobei die mit dem Port 80 die vom "angreifer" ist.
Finde ich auch etwas seltsam.

[s4p]

sieht mir nach einem einfachen zugriff auf den http:// server aus, soweit ich weiss (kann mich aber auch irren) ist 80 der Public Port und auf dem Localem Server wird an anderer Port verwendet (ich glaube diesen nennt man auch trigger port), ganz genau auskennen mit den Ports tu ich mich nicht, aber in meiner Router Firewall in der Hilfe sind so kleine ausschnitte wo als server freigabe dann der server port als Public ist und als trigger bzw local port kommt ein anderer.

ich nehme an du hastn apache server laufen oder ? wenn ja, dann schau mal inner access log nach ob die IP dort auch so oft vorhanden ist, wenn ja, dann is meine vermutung richtig (sofern die zeit ueberein stimmt)