Unverständliche Intrusionslog |
|
|---|---|
|
19.12.2004, 11:12
...neu hier
Beiträge: 5 |
|
 
|
|
|
19.12.2004, 11:19
Ehrenmitglied
 Beiträge: 2283 |
#2
Ich kenn Kerio nicht, aber ich gehe mal davon aus, daß Du unter den Urls weitere Informationen zu den Attacken findest.
Soviel ist zu sehen: Irgendein Kiddie hat da wohl ein Programm gefunden, mit dem sich gängige Exploits gegen fremde Rechner austesten lassen ;-) R. __________ powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ... |
|
|
|
|
19.12.2004, 11:51
...neu hier
Themenstarter Beiträge: 5 |
#3
Hallo,
die Homepage whitehats.com ist eine Sicherheits-Site. Leider auf Englisch. Von dieser URL habe ich die meisten Eintragungen. Die URLs unterscheiden sich bloss am Ende durch unterschiedliche Infozahlen. Dort werden dann verschiedenste IDSs erklärt. Ich frage mich nur warum die sehr oft unter die Klasse der successful user oder gar admin fallen? Was war erfolgreich? Habe stinger laufen gelassen, spybot search and destroy und Antivir jeweils die neuesten Versionen. Ohne Befund. Kennt sich noch jemand aus, nach Kiddies sieht das nicht aus. Danke nochmals. Nico |
|
|
|
|
19.12.2004, 12:36
Moderator
 Beiträge: 6466 |
#4
Ich vermute, dass successful user/admin soviel erklärt wie, welche Rechte der Angreifer über die Maschine erlangt, wenn das Exploit erfolgreich ausgeführt würde. Es ist lediglich eine Info, also: Entspannen....
 Es könnte aber auch bedeuten, dass dieses Exploit unter einem momentan eingeloggten user/admin-account erfoglreich wäre. Auf jeden Fall ist es nur eine Zusatz-Info des IDS. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
|
|
20.12.2004, 07:07
...neu hier
Themenstarter Beiträge: 5 |
#5
es gibt auch Eintragungen mit der Klasse attempted admin, trojan-activity und unseccessful user. Wie ist da zu den oben erwähnten Klassen in Zusammenhang zu bringen?
Nico |
|
|
|
|
20.12.2004, 09:06
Moderator
Beiträge: 6466 |
|
|
|
|
|
20.12.2004, 14:15
...neu hier
Themenstarter Beiträge: 5 |
#7
Hier ein paar Beispiele:
Angriff: Backdoor Trojan active stealthspy phase0 Netadmin Klasse: successful-admin Referenz-URL: www.whitehats.com/info/IDS53 Angriff: Backdoor fragrout trojan conection attempt Klasse: trojan-activity Referenz-URL: www.securityfocus.com/bid/4898 Angriff: Attack-Responses Microsoft cmd.exe banner Klasse: successful-admin Referenz-URL htttp://cgi.nessus.org/plugins/dump.php3?id=11633 An die 40 Logs mit Referenz-URL www.whitehats.com/info/IDS33 wobei die Zahlen nach IDS varieren. Wenn ich auf diese Seiten gehen, werden dort irgendwelche Vorgänge erklärt, die wohl mit den Angriffen in Zusammenhang stehen. Bei Angriff stehen dann immer Backdoor und danach z.B. Trojan active XTCP2, Trojan active Vodoo, Trojan active Vampire, Trojan active Transcout usw. Klasse ist successful user am häufigsten. Alle Logs sind ohne IP-Angabe. Whitehats.com scheint eine Security-Site zu sein, aber mich ängstigt der Begriff successful user oder gar admin, dann müsste ja mein System kompromitiert sein. Aber wie oben schon geschrieben waren alle Scans ergebnislos. |
|
|
|
|
20.12.2004, 18:55
Moderator
Beiträge: 6466 |
#8
Hier mal die Klassifizierung, wie sie wohl üblich ist
Class type Beschreibung Priorität --------------------------------------------------------------------- -- not-suspicious Jeglicher "unauffälliger" Verkehr --unknown Unbekannter Verkehr --bad-unknown Potentiell "schlechter" Verkehr -- attempted-recon Attempted Information Leak --successful-recon-limited Information Leak --successful-recon-largescale Large Scale Information Leak --attempted-dos Versuchte DoS-Attacke --successful-dos Erfolgreiche DoS-Attacke -- attempted-user Versuch User-Privilegien zu erhalten -- unsuccessful-user Nicht erfolgreicher Versuch User-Privilegien zu erhalten -- successful-user Erfolgreicher Versuch User-Privilegien zu erhalten -- attempted-admin Versuch Admin Rechte zu bekommen -- successful-admin Erfolgreicher Versuch Admin Rechte zu bekommen Bleibt die Frage, ob es nun tatsächlich erfolgreich war !? Da mir das Zusammenspiel von Firewall (welche blockt) und IDS (was i.d.R. nur erkennt) nicht klar ist, kann ich auch nur Vermutungen anstellen. Interessant, wäre zu wissen, ob Du irgendwelche Serverdienste am laufen hast und wie das Rule-Set der Firewall aussieht. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
|
|
20.12.2004, 19:39
...neu hier
Themenstarter Beiträge: 5 |
#9
ich kann den Thread leider erst wieder am Ende des Jahres fortführen, wegen fehlendem Internet bei der Verwandschaft. Ich meld mich dann wieder.
Nico |
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich habe massenweise Eintragungen in der Intrusions-Log hoher Priorität, wie z.B. folgende:
Angriff:
Attack-Respnses Microsoft cmd.exe Banner
Klasse:
Successful-Admin
Referenz-URL
http://cgi.nessus.org ...
Angriff:
Backdoor Trojan active yetanother
Klasse:
susseccful-user
URL:
www.whitehats.com/info/IDS33
Angriff:
Backdoor trojan activ stealthspy phase0 Netadmin
Klasse:
successful-admin
URL:
www.whitehats.com ...
Als Aktion unter Intrusions hoher Priorität habe ich ablehnen.
Was bedeuten diese Logeintragungen? Habe gegoogelt und hier im Forum gesucht aber nichts dazu gefunden.
Ich wäre dankbar für jede Hilfe.
Nico