# Wem gehört diese IP?

## pablo_supertux

Ist es möglich zu erfahren, wem eine IP Adresse zuwegissen ist?

Ich hab in meinen Logs nachgeschaut und hab folgendes entdeckt:

```

Sep  1 23:59:06 [su(pam_unix)] authentication failure; logname=rex uid=1000 euid=0 tty=pts/2 ruser=rex rhost=  user=root

Sep  1 23:59:08 [su] pam_authenticate: Authentication failure

Sep  2 22:22:15 [sshd] Failed password for illegal user test from 200.223.215.173 port 44143 ssh2

Sep  2 22:22:19 [sshd] Failed password for illegal user guest from 200.223.215.173 port 44227 ssh2

Sep  2 22:22:26 [sshd] Failed password for illegal user admin from 200.223.215.173 port 44306 ssh2

Sep  2 22:22:35 [sshd] Failed password for illegal user admin from 200.223.215.173 port 44438 ssh2

Sep  2 22:22:40 [sshd] Failed password for illegal user user from 200.223.215.173 port 44612 ssh2

Sep  2 22:22:49 [sshd] Failed password for root from 200.223.215.173 port 44708 ssh2

Sep  2 22:22:58 [sshd] Failed password for root from 200.223.215.173 port 44850 ssh2

Sep  2 22:23:02 [sshd] Failed password for root from 200.223.215.173 port 45022 ssh2

Sep  2 22:23:07 [sshd] Failed password for illegal user test from 200.223.215.173 port 45096 ssh2

Sep  2 22:56:28 [su(pam_unix)] authentication failure; logname=rex uid=1000 euid=0 tty=pts/2 ruser=rex rhost=  user=root

Sep  2 22:56:30 [su] pam_authenticate: Authentication failure

Sep  2 23:48:06 [sshd] Failed password for illegal user test from 200.223.215.173 port 58257 ssh2

Sep  2 23:48:11 [sshd] Failed password for illegal user guest from 200.223.215.173 port 58271 ssh2

Sep  2 23:48:16 [sshd] Failed password for illegal user admin from 200.223.215.173 port 58282 ssh2

Sep  2 23:48:20 [sshd] Failed password for illegal user admin from 200.223.215.173 port 58298 ssh2

Sep  2 23:48:25 [sshd] Failed password for illegal user user from 200.223.215.173 port 58315 ssh2

Sep  2 23:48:30 [sshd] Failed password for root from 200.223.215.173 port 58333 ssh2

Sep  2 23:48:35 [sshd] Failed password for root from 200.223.215.173 port 58347 ssh2

Sep  2 23:48:40 [sshd] Failed password for root from 200.223.215.173 port 58366 ssh2

Sep  2 23:48:48 [sshd] Failed password for illegal user test from 200.223.215.173 port 58383 ssh2

```

Und ich will herausfinden, wer zum Teufel 200.223.215.173 ist.

Ich habe PermitRootLogin no in meine sshd_config. Damit kann man sich niemals als root per ssh einloggen, oder?

----------

## Aldo

 *pablo_supertux wrote:*   

> Ist es möglich zu erfahren, wem eine IP Adresse zuwegissen ist?

 

```
whois <IP-Adresse>
```

----------

## slick

DUP!? https://forums.gentoo.org/viewtopic.php?t=210089

----------

## himpierre

Hallo

 *Quote:*   

> 
> 
> Ist es möglich zu erfahren, wem eine IP Adresse zuwegissen ist
> 
> 

 

"whois 200.223.215.173" sollte Auskunft geben.

 *Quote:*   

> 
> 
> Ich habe PermitRootLogin no in meine sshd_config. Damit kann man sich niemals als root per ssh einloggen, oder
> 
> 

 

Korrekt.

t.

----------

## sprittwicht

 *pablo_supertux wrote:*   

> Ist es möglich zu erfahren, wem eine IP Adresse zuwegissen ist?

 

http://www.geektools.com/whois.php

Kann ich aber spontan auchnix mit anfangen. Ob das jetzt irgendeine Firma ist, oder ein Miniprovider, auf jeden Fall gehört da jemandem ein Klasse C-Subnetz. Einfach mal an die angegebene Email ne Bitte um Auskunft schicken, wem besagte IP zu besagtem Zeitpunkt zugeordnet war, und was besagte Person auf deinem Server wollte.

 *pablo_supertux wrote:*   

> Ich habe PermitRootLogin no in meine sshd_config. Damit kann man sich niemals als root per ssh einloggen, oder?

 

Sollte so sein, ja. Im Zweifelsfall einfach selbst probieren.  :Wink: 

----------

## RUDIII

ab zu ripe.net dann whois dann die IP eingeben und dann steht da an wen du dich bei strafsachen wenden kannst ( meisstens eine mail adresse ... bei t-offline istz das abuse@t-online.de ) eine internet seite dazu gibs auch.

rudi

----------

## pablo_supertux

Hey, danke für die schnellen Antworten  :Smile: 

----------

## ruth

hi zusammen...

also kinderchen: *reusper*

erstens treibt zur zeit ein wurm sein unwesen, der sich mit

usernamen wie

test

guest

login

admin

versucht per ssh einzuloggen (und das schon seit min. 2 monaten...)   :Rolling Eyes: 

dann:

du hast weder seine IP Adresse (man dialin / man proxy)

noch juckt es irgendeinen ISP dieser welt, ob sich jemand auf deinem rechner einloggen will...

nur um das mal ganz klar zu sagen...

du bietest halt einen dienst öffentlich im inet an. - das wars...

ein verbindungsversuch ist nicht strafbar.

es ist ausschliesslich ein erfolgreicher einbruch / einbruchsveruch in ein besonders geschütztes system strafbar

da es jedoch nicht einmal ein einbruchsversuch ist

(schliesslich bietest du ssh öffentlich an)

kommt nicht mal das da zur anwendung:

```

§ 303a. Datenveränderung. (1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

(2) Der Versuch ist strafbar.

§ 303b. Computersabotage. (1) Wer eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, dadurch stört, daß er

eine Tat nach § 303a Abs. 1 begeht oder

eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert,

wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

(2) Der Versuch ist strafbar.

```

nochmal:

der versuch, sich mit einem dienst zu verbinden, den du öffentlich anbietest ist nicht strafbar.

ansonsten könntest du ja jeden verklagen, der deinen apache ansteuert.

wenn jedoch jemand versucht, deine ssh zu exploiten, also nicht nur eine simpe verbindung zu versuchen, dann ist es schon strafbar...

also:

kirche im dorf lassen - das ist zu 90 % ein wurm; selbst wenn es keiner ist ist es (strafrechtlich) nicht von bedeutung...

gruss

rootshell

----------

## pablo_supertux

Ich will doch niemanden anzeigen. Aber es hat mich interessiert, um wenn es sich handelt.

----------

## Voltago

 *rootshell wrote:*   

> 
> 
> erstens treibt zur zeit ein wurm sein unwesen

 

Hat das goldige Tierchen auch einen Namen?

----------

## amne

 *slick wrote:*   

> DUP!? https://forums.gentoo.org/viewtopic.php?t=210089

 

Jepp, zumindest was den Wurm angeht. Alles zum Thema ssh-Wurm bitte dort weiterposten - Das IP-Thema kann natürlich hier weiterbehandelt werden.   :Very Happy: 

----------

