---

Hejsa

I logfilen til min ftp-server, kan jeg se at en eller anden [IP-adressen
er kendt af redaktionen] i løbet af 1 times tid har forsøgt at få adgang
til serveren 256 gange.
Kombinationerne af login og password er dog så hjertegribende håbløs, at
jeg har svært ved at se at det skulle være et forsøg på at finde login
og password med brute force.
På den anden side, har jeg også svært ved at se at man selv skulle kunne
nå at taste password og login ind 256 gange på en time helt manuelt, så
en eller anden form for automatik har være anvendt.

Kombinationerne ag login og password følger et mønster af noget der
ligner en default email-adresse (you@email.net), samt 6-7 forskellige
ord.

Spørgsmålet er så om det er en eller anden stakkel ved navn Nikolaj med
en Pro@ccess ADSL, der bare havde glemt sit password til en ftp-server,
eller om det er årets mest lamme forsøg på hackning.

Nogen der har et bud?

--
MVH Martin Edlich
Henvendelser til min e-mail adresse vil blive besvaret kort, men uhøfligt
(medmindre jeg selv er ude om det, og det er Off Topic).
http://www.edlich.dk

---

Martin Edlich wrote:
>
> Hejsa
>
[SNIP]
> Spørgsmålet er så om det er en eller anden stakkel ved navn Nikolaj med
> en Pro@ccess ADSL, der bare havde glemt sit password til en ftp-server,
> eller om det er årets mest lamme forsøg på hackning.
>
> Nogen der har et bud?
>
En der har glemt sit password og prøver dem som han normalt bruger ..
hvis det er din ftp server kender du vel også brugeren .. så derfor
kontakt ham og spørg!

/Kim

"An organized team is like a strong fist and will smash through stones,
but an unorganized team is like a weak wrist, and will break only
bones."
- Rick Tew

---

In article <3BD7AD9E.FD7A6001@proventum-solutions.net>,
Kim Nielsen <knielsen@proventum-solutions.net> wrote:

> > Nogen der har et bud?
> >
> En der har glemt sit password og prøver dem som han normalt bruger ..
> hvis det er din ftp server kender du vel også brugeren .. så derfor
> kontakt ham og spørg!

Selvom det er min server, kender jeg nu ikke vedkommende, så jeg kan
ikke kontakte ham/hende. Jeg har kun IP-adressen, og det er ikke en jeg
genkender.

Det er vel heller ikke normal opførsel at prøve 256 gange, er det?

--
MVH Martin Edlich
Henvendelser til min e-mail adresse vil blive besvaret kort, men uhøfligt
(medmindre jeg selv er ude om det, og det er Off Topic).
http://www.edlich.dk

---

Martin Edlich <newsspam3@mail.edlich.dk> skrev i en
nyhedsmeddelelse:newsspam3-68510A.12073625102001@test.edlich.dk...
> Det er vel heller ikke normal opførsel at prøve 256 gange, er det?
Nej, men der er to muligheder. Enten er det et brute force forsøg eller også
har personen et ftp-program, der forsøger at logge ind flere gange. Men hvad
end det er, så vil jeg lade det ligge hvis jeg var dig. I begge tilfælde
sidder der sikkert en computer-nørd-wannabe i den anden ende

MVH
DB

---

In article <3bd7ebac$0$29046$edfadb0f@dspool01.news.tele.dk>,
"Daniel Blankenstiener" <dslb@linuxmail.org> wrote:

> Men hvad end det er, så vil jeg lade det ligge hvis jeg var dig. I
> begge tilfælde sidder der sikkert en computer-nørd-wannabe i den
> anden ende

Implicerer du at gutten i den anden ende vil begynde på ubehageligheder, hvis jeg anmelder ham?

Nedenstående er et uddrag af logfilen med IP-adressen fjernet:

Bad username and/or password: [21/Oct/2001:22:21:08 +0200] you@email.net you@email.net
QUIT command received before user completed login: [21/Oct/2001:22:21:08 +0200] you@email.net you@email.net
Bad username and/or password: [21/Oct/2001:22:21:09 +0200] you@email.net adadm
QUIT command received before user completed login: [21/Oct/2001:22:21:09 +0200] you@email.net adadm
Bad username and/or password: [21/Oct/2001:22:21:09 +0200] you@email.net anonymous
QUIT command received before user completed login: [21/Oct/2001:22:21:09 +0200] you@email.net anonymous
Bad username and/or password: [21/Oct/2001:22:21:10 +0200] you@email.net nikolaj
QUIT command received before user completed login: [21/Oct/2001:22:21:10 +0200] you@email.net nikolaj
Bad username and/or password: [21/Oct/2001:22:21:10 +0200] you@email.net adsysup
QUIT command received before user completed login: [21/Oct/2001:22:21:10 +0200] you@email.net adsysup
Bad username and/or password: [21/Oct/2001:22:21:10 +0200] you@email.net panpan
QUIT command received before user completed login: [21/Oct/2001:22:21:11 +0200] you@email.net panpan
Bad username and/or password: [21/Oct/2001:22:21:11 +0200] adadm you@email.net
QUIT command received before user completed login: [21/Oct/2001:22:21:11 +0200] adadm you@email.net
Bad username and/or password: [21/Oct/2001:22:21:11 +0200] adadm adadm
QUIT command received before user completed login: [21/Oct/2001:22:21:11 +0200] adadm adadm
Bad username and/or password: [21/Oct/2001:22:21:12 +0200] adadm anonymous
QUIT command received before user completed login: [21/Oct/2001:22:21:12 +0200] adadm anonymous
Bad username and/or password: [21/Oct/2001:22:21:12 +0200] adadm nikolaj
QUIT command received before user completed login: [21/Oct/2001:22:21:12 +0200] adadm nikolaj
Bad username and/or password: [21/Oct/2001:22:21:13 +0200] adadm adsysup
QUIT command received before user completed login: [21/Oct/2001:22:21:13 +0200] adadm adsysup
Bad username and/or password: [21/Oct/2001:22:21:13 +0200] adadm panpan
QUIT command received before user completed login: [21/Oct/2001:22:21:13 +0200] adadm panpan

--
MVH Martin Edlich
Henvendelser til min e-mail adresse vil blive besvaret kort, men uhøfligt
(medmindre jeg selv er ude om det, og det er Off Topic).
http://www.edlich.dk

---

Martin Edlich <newsspam3@mail.edlich.dk> skrev i en
nyhedsmeddelelse:newsspam3-2C42ED.21375625102001@test.edlich.dk...
> Implicerer du at gutten i den anden ende vil begynde på ubehageligheder,
hvis > jeg anmelder ham?
Nope, bare at folk der bruger brute force programmer til at hacke med er
ikke "farlige". Jeg ved ikke om det han gjorde er ulovligt, men det er ikke
værd at spilde sin tid på, men det er jo selvfølgelig helt op til dig!

MVH
DB

---

In article <3bd98e1d$0$201$edfadb0f@dspool01.news.tele.dk>,
"Daniel Blankenstiener" <dslb@linuxmail.org> wrote:

> > Implicerer du at gutten i den anden ende vil begynde på
> > ubehageligheder, hvis jeg anmelder ham?
> Nope, bare at folk der bruger brute force programmer til at hacke med er
> ikke "farlige".

Fordi de aldrig kommer indendørs?

> Jeg ved ikke om det han gjorde er ulovligt, men det er ikke
> værd at spilde sin tid på, men det er jo selvfølgelig helt op til dig!

Nøeh, det eneste jeg egentlig gerne ville vide, var om det var en eller
anden lille bølle, der skulle stoppes i opløbet, eller om det bare var
en umanerligt fummelfingret stakkel.

--
MVH Martin Edlich
Henvendelser til min e-mail adresse vil blive besvaret kort, men uhøfligt
(medmindre jeg selv er ude om det, og det er Off Topic).
http://www.edlich.dk

---

Martin Edlich wrote:

>> > Implicerer du at gutten i den anden ende vil begynde på
>> > ubehageligheder, hvis jeg anmelder ham?

>> Nope, bare at folk der bruger brute force programmer til at hacke med er
>> ikke "farlige".

>Fordi de aldrig kommer indendørs?

Nej. Fordi de ikke kan andet end at starte et eller andet program.
Såkaldte "script-kiddies".

>Nøeh, det eneste jeg egentlig gerne ville vide, var om det var en eller
>anden lille bølle, der skulle stoppes i opløbet, eller om det bare var
>en umanerligt fummelfingret stakkel.

En lille bølle.

--
"...personality goes a long way."

---

Christian Andersen <igqgfq001@sneakemail.com> skrev i en
nyhedsmeddelelse:3bd9a3f1$0$205$edfadb0f@dspool01.news.tele.dk...
> Nej. Fordi de ikke kan andet end at starte et eller andet program.
> Såkaldte "script-kiddies".
JEP
> En lille bølle.
Lige præcis!

MVH
DB

---

In article <3bd9a3f1$0$205$edfadb0f@dspool01.news.tele.dk>,
Christian Andersen <igqgfq001@sneakemail.com> wrote:

> >Fordi de aldrig kommer indendørs?
>
> Nej. Fordi de ikke kan andet end at starte et eller andet program.
> Såkaldte "script-kiddies".

Aha, dvs den type der, når det lykkes dem at komme indendørs, laver en
forfærdelig ravage, fordi de ikke ved hvad de laver.

> >Nøeh, det eneste jeg egentlig gerne ville vide, var om det var en eller
> >anden lille bølle, der skulle stoppes i opløbet, eller om det bare var
> >en umanerligt fummelfingret stakkel.
>
> En lille bølle.

Så tror jeg nu nok jeg går videre med sagen inden fjolset bliver for
dygtig.

Er det udbyderen eller politiet man henvender sig til?

--
MVH Martin Edlich
Henvendelser til min e-mail adresse vil blive besvaret kort, men uhøfligt
(medmindre jeg selv er ude om det, og det er Off Topic).
http://www.edlich.dk

---

Martin Edlich wrote:

>> En lille bølle.

>Så tror jeg nu nok jeg går videre med sagen inden fjolset bliver for
>dygtig.
>
>Er det udbyderen eller politiet man henvender sig til?

Du kan starte med udbyderen. Forklar situation, fremlæg relevante
logfiler og bed om et svar på klagen.

Hvis du ikke har fået svar efter et passende stykke tid, lad os sige 24
timer, kan du hoppe ind på politiets hjemmeside.

Dog er det jo fredag aften nu, så hvis du sender en klage nu, skal du
ihvertfald give den til tirsdag eftermiddag.

--
"...personality goes a long way."

http://chran.dyndns.dk

---

In article <3bd9ca6d$0$25375$edfadb0f@dspool01.news.tele.dk>,
Christian Andersen <igqgfq001@sneakemail.com> wrote:

> >Er det udbyderen eller politiet man henvender sig til?
>
> Du kan starte med udbyderen. Forklar situation, fremlæg relevante
> logfiler og bed om et svar på klagen.
>
> Hvis du ikke har fået svar efter et passende stykke tid, lad os sige 24
> timer, kan du hoppe ind på politiets hjemmeside.
>
> Dog er det jo fredag aften nu, så hvis du sender en klage nu, skal du
> ihvertfald give den til tirsdag eftermiddag.

Takker for svaret, jeg følger din "brugsanvisning".

--
MVH Martin Edlich
Henvendelser til min e-mail adresse vil blive besvaret kort, men uhøfligt
(medmindre jeg selv er ude om det, og det er Off Topic).
http://www.edlich.dk

---

Martin Edlich wrote:

>Takker for svaret, jeg følger din "brugsanvisning".

Godt nok. Held og lykke med det.

--
"...personality goes a long way."

http://chran.dyndns.dk

---

Martin Edlich <newsspam3@mail.edlich.dk> skrev i en
nyhedsmeddelelse:newsspam3-75C3D0.22145326102001@test.edlich.dk...
> Aha, dvs den type der, når det lykkes dem at komme indendørs, laver en
> forfærdelig ravage, fordi de ikke ved hvad de laver.
At få alm bruger adgang via ftp er ikke den store katastrofe, personen kan
sikkert ikke komme videre alligevel!

> Så tror jeg nu nok jeg går videre med sagen inden fjolset bliver for
> dygtig.
Tja, det synes jeg ikke, men igen er det op til dig. Da jeg var helt
nybegynder hacker var det første jeg prøvede også brute forceing, ikke fordi
jeg ville have adgang, men fordi jeg bare lige skulle prøve det............

MVH
DB

---

In article <3bd9d922$0$230$edfadb0f@dspool01.news.tele.dk>,
"Daniel Blankenstiener" <dslb@linuxmail.org> wrote:

> > Så tror jeg nu nok jeg går videre med sagen inden fjolset bliver for
> > dygtig.
> Tja, det synes jeg ikke, men igen er det op til dig. Da jeg var helt
> nybegynder hacker var det første jeg prøvede også brute forceing, ikke fordi
> jeg ville have adgang, men fordi jeg bare lige skulle prøve det.

Det gjorde jeg skam også, men jeg gjorde det på min egen maskine. At man
bare finder en eller anden tilfældig ftp-server at teste på, tyder på at
man ikke respekterer andres ejendom. På mig virker det meget fornuftigt
at få sådan en gut til at tænke sig lidt om.

--
MVH Martin Edlich
Henvendelser til min e-mail adresse vil blive besvaret kort, men uhøfligt
(medmindre jeg selv er ude om det, og det er Off Topic).
http://www.edlich.dk

---

Martin Edlich <newsspam3@mail.edlich.dk> skrev i en
nyhedsmeddelelse:newsspam3-834843.00513327102001@test.edlich.dk...
> In article <3bd9d922$0$230$edfadb0f@dspool01.news.tele.dk>,
> "Daniel Blankenstiener" <dslb@linuxmail.org> wrote:
>På mig virker det meget fornuftigt
> at få sådan en gut til at tænke sig lidt om.
Tja, jeg ville ikke gøre noget, men det er jo dit valg..............men vil
du også anmelde en for at portscanne dig??

MVH
DB

---

In article <3bd9eb73$0$209$edfadb0f@dspool01.news.tele.dk>,
"Daniel Blankenstiener" <dslb@linuxmail.org> wrote:

> Tja, jeg ville ikke gøre noget, men det er jo dit valg.

Det er det nemlig.

>men vil du også anmelde en for at portscanne dig??

Næh, det ville jeg såmænd nok ikke engang opdage.

--
MVH Martin Edlich
Henvendelser til min e-mail adresse vil blive besvaret kort, men uhøfligt
(medmindre jeg selv er ude om det, og det er Off Topic).
http://www.edlich.dk

---

> Hejsa
>
> I logfilen til min ftp-server, kan jeg se at en eller anden [IP-adressen
> er kendt af redaktionen] i løbet af 1 times tid har forsøgt at få adgang
> til serveren 256 gange.
> Kombinationerne af login og password er dog så hjertegribende håbløs, at
> jeg har svært ved at se at det skulle være et forsøg på at finde login
> og password med brute force.
> På den anden side, har jeg også svært ved at se at man selv skulle kunne
> nå at taste password og login ind 256 gange på en time helt manuelt, så
> en eller anden form for automatik har være anvendt.
>
> Kombinationerne ag login og password følger et mønster af noget der
> ligner en default email-adresse (you@email.net), samt 6-7 forskellige
> ord.
>
> Spørgsmålet er så om det er en eller anden stakkel ved navn Nikolaj med
> en Pro@ccess ADSL, der bare havde glemt sit password til en ftp-server,
> eller om det er årets mest lamme forsøg på hackning.
>
> Nogen der har et bud?

I mine øjne ses det som et word list attack

man tager 2 word lister, en med ord og en med "@email.net" og lign, dem køre
man så igennem automatisk med alle kombinationer af de 2 ord lister, kender
ikke nogen programmer der kan lave word list attacks via FTP men der er ikke
svart at lave med lidt programerings kendskab til visual basic.

det er ikke særligt sansynligt at der er nogen der gidder at prøve 256 gange


Mvh

Thomas

---

In article <FsXB7.136$tI2.17415@news000.worldonline.dk>,
"Thomas" <larsen.t@huleboer.dk> wrote:

> > Nogen der har et bud?
>
> I mine øjne ses det som et word list attack
>
> man tager 2 word lister, en med ord og en med "@email.net" og lign, dem køre
> man så igennem automatisk med alle kombinationer af de 2 ord lister,

Jeps, det var sådan noget lignende jeg havde forestillet mig var sket.

> kender ikke nogen programmer der kan lave word list attacks via FTP
> men der er ikke svart at lave med lidt programerings kendskab til
> visual basic.

Sådan et program har jeg nu selv liggende - jeg brugte det til test af
min egen ftp-server, da jeg skulle tjekke hvordan den reagerede på at få
smidt mange henvendelser i hovedet på kort tid.

> det er ikke særligt sansynligt at der er nogen der gidder at prøve 256 gange

Man skal i hvert fald være meget ihærdig - for ikke at sige hurtig, for
at kunne gøre det på een time.

--
MVH Martin Edlich
Henvendelser til min e-mail adresse vil blive besvaret kort, men uhøfligt
(medmindre jeg selv er ude om det, og det er Off Topic).
http://www.edlich.dk