[Postfixbuch-users] mail-relay hacker finden / fangen

Maag Oskar Oskar.Maag at IMA-Abele.de
Di Apr 27 12:41:17 CEST 2004


Hallo Liste,

hat der Versuch, einen hacker zu finden, überhaupt eine Erfolgschance? Oder ist das als "ganz normaler Vorgang" zu betrachten, 
obwohl es doch schon mehr als port-scan ist?
Dann muß man den Rest hier nicht weiterlesen.

Die wichtigsten Seiten (315-421) im Postfixbuch habe ich "befolgt", und deshalb kein wirkliches Problem.

Ich hab wohl nicht richtig gegoogelt, finde aber mit
  <mail "find hacker"> <mail "catch hacker"> <mail "hacker fangen"> <mail "hacker finden">

nur wenig Resultate, und die handeln von anderen ports als "25".
Und dafür hab ich eine Feuermauer und nur port 25 offen, und das geht zwangsweise zum postfix-Rechner.

Nun habe ich einen fast täglichen hacker, der (bis jetzt) immer am "AUTH" scheitert. Ich grep (und pflogsumm.pl)
mir den immer aus dem /var/log/mail und hab so einen Überblick über die verschiedenen IP-Adressen (alle ohne DNS-Eintrag), seine 
"Arbeitstage", "Arbeitszeiten" und "Arbeitsablauf".
Daraus ergibt sich eindeutig, daß es manuelle Versuche sind.

Möglicherweise gibt es eine "empfohlene Mischung" von "tcpdump", "nmap", "traceroute", "ping", "telnet-scritps", "php-scripts", 
"honeypot" oder auch "unter Aufsicht einbrechen lassen", um den Standort des hackers herauszufinden.
Und das natürlich unter gleichzeitiger Mithilfe von verschiedenen Standorten.

Interessiert das Thema noch jemand?

Oskar Maag



Mehr Informationen über die Mailingliste Postfixbuch-users