[Postfixbuch-users] mail-relay hacker finden / fangen

[Maag Oskar]

Hallo Liste,

hat der Versuch, einen hacker zu finden, überhaupt eine Erfolgschance? Oder ist das als "ganz normaler Vorgang" zu betrachten, 
obwohl es doch schon mehr als port-scan ist?
Dann muß man den Rest hier nicht weiterlesen.

Die wichtigsten Seiten (315-421) im Postfixbuch habe ich "befolgt", und deshalb kein wirkliches Problem.

Ich hab wohl nicht richtig gegoogelt, finde aber mit
  <mail "find hacker"> <mail "catch hacker"> <mail "hacker fangen"> <mail "hacker finden">

nur wenig Resultate, und die handeln von anderen ports als "25".
Und dafür hab ich eine Feuermauer und nur port 25 offen, und das geht zwangsweise zum postfix-Rechner.

Nun habe ich einen fast täglichen hacker, der (bis jetzt) immer am "AUTH" scheitert. Ich grep (und pflogsumm.pl)
mir den immer aus dem /var/log/mail und hab so einen Überblick über die verschiedenen IP-Adressen (alle ohne DNS-Eintrag), seine 
"Arbeitstage", "Arbeitszeiten" und "Arbeitsablauf".
Daraus ergibt sich eindeutig, daß es manuelle Versuche sind.

Möglicherweise gibt es eine "empfohlene Mischung" von "tcpdump", "nmap", "traceroute", "ping", "telnet-scritps", "php-scripts", 
"honeypot" oder auch "unter Aufsicht einbrechen lassen", um den Standort des hackers herauszufinden.
Und das natürlich unter gleichzeitiger Mithilfe von verschiedenen Standorten.

Interessiert das Thema noch jemand?

Oskar Maag