---

Hej,

Jeg har til tider en FTP server kørende, og anvender dyndns til
at sikre den "faste" IP adresse.

I dag havde jeg åbnet for serveren fordi en ven skulle overføre
nogle filer. Der er INGEN andre en min ven der har adressen.

Da så jeg pludseligt at en tilsyneladende Hollands tilhørende
IP adresse loggede ind på min server.

Jeg lukker programmet ned øjeblikkeligt og kiggede i trafik loggen
på min firewall (SyGate). Her så jeg at der på tidspunktet var
IP adresse: 213.51.41.24 på. Remote port 3507.

Jeg lavede en backtrace via RIPE og fik nedenstående.

Mit spørgsmål er om der er er god grnd til at sende en klage til abuse
adresse som står der, eller hvad?! Har det noget på sig.

Jeg føler mig en lille smule forskrækket over det.

Snip fra backtrace:

---------------------------------
% This is the RIPE Whois server.
% The objects are in RPSL format.
% Please visit http://www.ripe.net/rpsl for more information.
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 213.51.40.0 - 213.51.43.255
netname: BENELUX-1
descr: @Home Benelux Maastricht Headend block 2
descr: BENELUX-NUTSBEDRIJF-MAASTRICHT-2
country: NL
admin-c: ABNO1-RIPE
tech-c: ABIM3-RIPE
status: ASSIGNED PA
mnt-by: BENELUX-MNT
mnt-lower: BENELUX-MNT
changed: judithh@excitehome.net 20010503
source: RIPE

route: 213.51.0.0/16
descr: @Home Benelux
origin: AS9143
mnt-by: BENELUX-MNT
changed: judithh@corp.home.net 20010103
source: RIPE

role: AtHome Benelux Network Operations Centre
address: Gyroscoopweg 90-92
address: 1042 AX Amsterdam
address: The Netherlands
phone: +31 20 885 5544
fax-no: +31 20 885 5525
e-mail: noc@corp.nl.home.com
trouble: reports of network abuse, pls. contact
trouble: abuse@corp.nl.home.com
admin-c: JVV19-RIPE
tech-c: JH4485-RIPE
tech-c: RCE3-RIPE
nic-hdl: ABNO1-RIPE
notify: ipmgmt@corp.nl.home.com
changed: judithh@excitehome.net 20010503
source: RIPE

role: AtHome Benelux IP Mgmt
address: Gyroscoopweg 90-92
address: 1042 AX Amsterdam
address: The Netherlands
phone: +31 20 885 5544
fax-no: +31 20 885 5525
e-mail: ipmgmt@excitehome.net
trouble: reports of network abuse, pls. contact
trouble: abuse@corp.nl.home.com
admin-c: JH4485-RIPE
tech-c: JH4485-RIPE
tech-c: RCE3-RIPE
nic-hdl: ABIM3-RIPE
notify: judithh@excitehome.net
changed: judithh@excitehome.net 20010503
source: RIPE
---------------------------------

---

"Palle Hans Jensen" <diesel@lazy.dk> writes:

> Mit spørgsmål er om der er er god grnd til at sende en klage til abuse
> adresse som står der, eller hvad?! Har det noget på sig.

Nej. Du havde en offentlig tilgængelig ftp-server og det benyttede
Hollænderen sig af. Hvis ikke han har lavet nogle "unoder" på din
server er der ikke noget at klage over.

---

> Nej. Du havde en offentlig tilgængelig ftp-server og det benyttede
> Hollænderen sig af. Hvis ikke han har lavet nogle "unoder" på din
> server er der ikke noget at klage over.

OK. Jamen godt nok er den offentlig, men jeg har bestemt ikke
udleveret login og password til ham. Login og password sætter
man vel på hvis man ikke ønsker at folk skal deltage i "op-
rydningsarbejdet" på ens harddiske.

Med andre ord betyder det så at hvis jeg gætter login og pass-
word til TeleDanmarks administrative områder så må jeg gerne
browse rundt, bare jeg ikke laver "unoder"?!

Det skal så lige siges at han rent faktisk hverken kopierede
noget, hhverken den ene eller anden vej. Jeg lukkede nok for
hurtigt. Men jeg havde bestemt ikke lyst til at vente og se
hvad der ville ske.

---

"Palle Hans Jensen" <diesel@lazy.dk> writes:

> OK. Jamen godt nok er den offentlig, men jeg har bestemt ikke
> udleveret login og password til ham. Login og password sætter

Ah, ok! Jeg troede det var en anonym ftp.

---

Palle Hans Jensen skrev:

>Med andre ord betyder det så at hvis jeg gætter login og pass-
>word ...

Nej. Hvis du gætter et password, så ved du at du har åbnet noget
der burde være låst.

Kom fyren ind på Palles system via et gættet brugernavn og
password, eller var IP-adressen nok?

--
Bertel
http://lundhansen.dk/bertel/   FIDUSO: http://fiduso.dk/

---

> Nej. Hvis du gætter et password, så ved du at du har åbnet noget
> der burde være låst.

- Præcis

> Kom fyren ind på Palles system via et gættet brugernavn og
> password, eller var IP-adressen nok?

- Jeg har under ingen omstændigheder anonymous login, så på en eller
anden måde har han/hun fetchet login og password.

Jeg ved det ikke? Jeg er lost.

Det er bare mærkeligt for, hvis man sidder og gætter på passwords eller
logins så er der temmelig meget der bliver skrevet i logfilen.

Logger du clean ind er der ikke så meget andet end at "user is logged
in".

Jeg eksperimenterer lidt mere med at lade den stå åben. Jeg har samme IP
som i eftermiddags så det kan være..

---

On Tue, 15 May 2001 22:15:31 +0200, "Palle Hans Jensen"
<diesel@lazy.dk> wrote:


>Jeg eksperimenterer lidt mere med at lade den stå åben. Jeg har samme IP
>som i eftermiddags så det kan være..
>

den tillader ikke annonym login



--
Folk der ikke synes om at bruge Linux kan bare lade være
-
-
det samme gælder selvfølgelig for Windows

---

> den tillader ikke annonym login

Arhh.. det var dig

Nej der skulle gerne være lukket.

---

Jeg tror efterhånden mere på at det er en eller anden kage?!

Jeg kan se på firewallen hvis jeg bliver portscannet. Der er
ikke nogle portscans omkring tidspunktet igår.

Jeg har undersøgt hvad port 3507 er kendt for at bruges til, men
der er ingen records på den port.

Min FTP har logget en eller anden IP adresse, men spørgsmålet er
bare hvordan?

Jeg pakker klagerne sammen (Der er jo ikke sket noget), og holder
i stedet et vågent øje med hvad der sker.

Tak for snakken anyway...

---

Hej Palle.

> Jeg har undersøgt hvad port 3507 er kendt for at bruges til, men
> der er ingen records på den port.

Jeg kan heller ikke finde nogle anden brug for denne port.

MEN .. du starter en FTP op, og så kommer der en Hollænder på, der kender
Ip, Port, User, og Password ... Er det bare mig, eller er det bare lige
lovligt U-tilfældigt !!

Hvad er det for et FTP software ?? .. det er ikke en af dem fra "Spyware"
listerne ? ;)

... Venligst .. El

---

> Hvad er det for et FTP software ?? .. det er ikke en af dem fra "Spyware"
> listerne ? ;)

ServU-FTP. Tror den er god nok.

---

"El Diablo" <spammer_fuck_off@privacy.com> skrev i en meddelelse
news:ZFkN6.19487$zv2.2358665@news010.worldonline.dk...
> Hej Palle.
>
> > Jeg har undersøgt hvad port 3507 er kendt for at bruges til, men
> > der er ingen records på den port.
>
> Jeg kan heller ikke finde nogle anden brug for denne port.
>
> MEN .. du starter en FTP op, og så kommer der en Hollænder på, der kender
> Ip, Port, User, og Password ... Er det bare mig, eller er det bare lige
> lovligt U-tilfældigt !!
>
> Hvad er det for et FTP software ?? .. det er ikke en af dem fra "Spyware"
> listerne ? ;)
>
> .. Venligst .. El

Har du ikke sådan et af de ban filtre som jeg har set at mange herhjemme har
på
deres FTP ? Mange snakker om et server program der hedder G6.
Med det skulle man bare kunne banne hans IP og så skulle den være iorden ,
så
har han ikke adgang længere og giver dermed sikkert op efter en del forsøg
på
at komme ind alligevel.

Hygge
Schiller

---

Hej Schiller

[FTP]
> Med det skulle man bare kunne banne hans IP og så skulle den være iorden ,

En IIS FTP (Standart på en Win2K server) har mulighed for "Allow" og
"Dis-allow" på bestemte ip numre, men Serv-U ved jeg ikke om den kan !

Ellers må du ha' en Firewall op, til at banne de ip adresser du ikke ønsker
kontakt med ! .. Men spørger du mig, er der omsonst ! .. Er det en Dial-in
user det "hacker" dig, vil han når han ringer op til internettet næste gang
få en ny ip adresse, og så er du jo lige vidt !

Mange Linux FTP servere har fede fitures, som at den kan auto banne en ip,
hvis denne, tre gange forsøger forkert password på din FTP .. det virker !
:)


Venligst ... El

---

> En IIS FTP (Standart på en Win2K server) har mulighed for "Allow" og
> "Dis-allow" på bestemte ip numre, men Serv-U ved jeg ikke om den kan !

Serv-U kan ikke.

> Ellers må du ha' en Firewall op, til at banne de ip adresser du ikke ønsker
> kontakt med ! .. Men spørger du mig, er der omsonst ! .. Er det en Dial-in
> user det "hacker" dig, vil han når han ringer op til internettet næste gang
> få en ny ip adresse, og så er du jo lige vidt !

- Jeg har firewall oppe, men som du selv siger så er det meningsløst at sidde
og banne.

> Mange Linux FTP servere har fede fitures, som at den kan auto banne en ip,
> hvis denne, tre gange forsøger forkert password på din FTP .. det virker !
> :)

- Det kan Serv-U vist ovenikøbet. Kunne være jeg skulle pille lidt ved
indstillingerne. I den konkrete sag ville det dog ikke hjælpe noget. Her
så jeg jo pludseligt at en ny "bruger" loggede på. Firewall'en meldte
ikke noget om forudgående portscans, og Serv-U meldte ikke om gentagne
login forsøg. For mig at se er det næsten umuligt at en bruger kan komme
ind på et enkelt hug, med mindre personen har fingrene helt inde i
systemet, hvilket jeg hverken håber eller tror.

---

Hej Palle.

> Her så jeg jo pludseligt at en ny "bruger" loggede på. Firewall'en meldte
> ikke noget om forudgående portscans, og Serv-U meldte ikke om gentagne
> login forsøg.

Det var DERFOR jeg spekulerede på om hvordan brugeren har fået din Ip,
brugernavn og password !
... Er du sikker på at du ikke har andre "sikkerheds huller" ?? Ikke for at
spooke dig for meget !

Jeg ser det som højest usansynligt at en person, har gættet din Ip adresse,
Bruger og password i FØRSTE forsøg !!! :) .. Ellers ville jeg sku godt lure
det trik af ! :)

Lav evt en portscan på dig selv !! .. Kan afsløre "Ukendte trojanere", har
du en "mærkelig" port åben, så prøv at connecte til den med telnet ! "Kør:
telnet 127.0.0.1:12345 (Port: 12345)", de fleste trojanere "sladre" om sig
selv på den måde ! .. Den vil eksempelvis svarer "Netbus 1.6 Connected".

.... Venligst .. El

---

> Det var DERFOR jeg spekulerede på om hvordan brugeren har fået din Ip,
> brugernavn og password !
> .. Er du sikker på at du ikke har andre "sikkerheds huller" ?? Ikke for at
> spooke dig for meget !

Til at starte med har jeg skiftet FTP serveren ud. Jeg synes logningen
i ServU FTP var lidt sparsom.

> Jeg ser det som højest usansynligt at en person, har gættet din Ip adresse,
> Bruger og password i FØRSTE forsøg !!! :) .. Ellers ville jeg sku godt lure
> det trik af ! :)

- Enig.

> Lav evt en portscan på dig selv !! .. Kan afsløre "Ukendte trojanere", har
> du en "mærkelig" port åben, så prøv at connecte til den med telnet ! "Kør:
> telnet 127.0.0.1:12345 (Port: 12345)", de fleste trojanere "sladre" om sig
> selv på den måde ! .. Den vil eksempelvis svarer "Netbus 1.6 Connected".

- Jeg har kørt online portscans, men der er ikke åbent nogle steder. Firewall'en
sladrer også pænt nok når jeg kører portscan. Den port han connectede på (3507)
skulle heller ikke være åben, jeg mener, portscannene siger der er lukket.
Jeg har ikke prøvet at telnette, men det skal jeg da kigge på når jeg engang
kommer hjem fra arbejde.

---

Palle Hans Jensen wrote:

>Jeg har kørt online portscans, men der er ikke åbent nogle steder. Firewall'en
>sladrer også pænt nok når jeg kører portscan. Den port han connectede på (3507)
>skulle heller ikke være åben,

<snip>

Nu blander jeg mig lige.

Iflg. dit første indlæg i tråden forbandt han sig via _remote_ port
3507.

Remote port er uinteressant i denne sammenhæng. Det der er interessant
er hvilken port han har forsøgt at forbinde sig til ved dig (local).

--
Mvh, Christian

Deltree c:\windows /y

---

> Nu blander jeg mig lige.

- Du er velkommen

> Iflg. dit første indlæg i tråden forbandt han sig via _remote_ port
> 3507.
>
> Remote port er uinteressant i denne sammenhæng. Det der er interessant
> er hvilken port han har forsøgt at forbinde sig til ved dig (local).

- Ja, jeg troede det var omvendt Desværre må jeg sige at min ny installerede
firewall har været sat op til at slette over tre dage gamle logs! Så jeg kan
ikke engang se hvad local port var, selv om du har gjort mig nysgerrig. Men
idet han sprang ind på FTP serveren som jo kun anvender port 21, tror du
så ikke det er sansynligt at det er den som har være local port?

---

Palle Hans Jensen wrote:

>Men idet han sprang ind på FTP serveren som jo kun anvender port 21,
>tror du så ikke det er sansynligt at det er den som har være local port?

Jo. Med mindre du specifikt havde bestemt at din ftp-server skulle
køre på en anden port. Og siden "angriberen" ikke havde nogen mulighed
for at vide hvilken port du havde bestemt, virker det sandsynligt at
det var port 21.

--
Mvh, Christian

Deltree c:\windows /y

---

"El Diablo" <spammer_fuck_off@privacy.com> skrev i en meddelelse
news:BxZN6.32323$zv2.2923913@news010.worldonline.dk...
> Hej Schiller
>
> [FTP]
> > Med det skulle man bare kunne banne hans IP og så skulle den være iorden
,
>
> En IIS FTP (Standart på en Win2K server) har mulighed for "Allow" og
> "Dis-allow" på bestemte ip numre, men Serv-U ved jeg ikke om den kan !
>
> Ellers må du ha' en Firewall op, til at banne de ip adresser du ikke
ønsker
> kontakt med ! .. Men spørger du mig, er der omsonst ! .. Er det en Dial-in
> user det "hacker" dig, vil han når han ringer op til internettet næste
gang
> få en ny ip adresse, og så er du jo lige vidt !
>
> Mange Linux FTP servere har fede fitures, som at den kan auto banne en ip,
> hvis denne, tre gange forsøger forkert password på din FTP .. det virker !
> :)
>
>
> Venligst ... El

Åååh ok. Så forstår jeg bedre.
Jeg har bare læst i andre grupper om at de også havde en bestemt person med
samme
IP som hele tiden forsøgte sig på deres FTP selvom de ikke ville have dem på
den.
Men en sådan god forklaring at du har givet gav de andre ikke.
De sagde bare: G6 så kan du banne ham forevigt.
Svar til det: Takker , og slut.

Hygge
Schiller

---

On Mon, 21 May 2001 15:00:07 +0200, "Schiller" <Coronarie@lycos.de>
wrote:

>Hygge
>Schiller

Måske skulle du smide et fornavn på, så vi ikke bliver blandet sammen
)


/Mark