Seit etwa zwei Woche meldet mir meine Firewall ständig, dass ich gescannt werde.
Fast täglich versucht da jemand meine Ports zu erfassen, was ja nicht sonderlich schlimm ist, da ich durch die Firewall abgesichert bin.
Und gescannt, wurde ich früher auch schon - nur war das damasl 1-2 Mal im Monat!Höchstens!

Jetzt ist es aber täglich - teilweise mehrmals über mehrere Stunden!
Selbst nach einem IP-Wechsel beginnt der Typ wieder mit dem Scannen.
Vom Chocwise weiß ich auch, dass er in den letzten Wochen auffälig oft gescannt wurde.
Irgendwie kann das doch kein Zufalll sein - gibt es bei euch auch diese Auffälligkeit?
Wisst ihr , woher das rühren könnte?
Planen die Baby-Hac.ker einen Aufstand? ^^

Ich frage mich auch, ob das etwas mit der Terrorbekämpfung zu tun hat - könnte ja sein, dass die Geheimdienste das Internet & die PCs etwas stärker durchforsten als sonst.:rolleyes:

also ich hab zwr auch keine erklärung dafür. muss aber sagen das es mir genauso geht, seit ca. 3 Wochen werde ich fast jeden tag mindestens einmal gescannt.
gut das ich net der einzige bin dachte schon ich hät irgendwas verbrochen. dabei bin ich doch ganz lieb und anständigO:)

Also, ich werde auch massivist gescannt, würde ich gerne auch mal wissen warum!

Aber gut zu wissen, dass ich nicht alleine bin!

:) hey habe seit ca. 4 Wochen Zone Alarm installiert und habe bis jetzt schon über 18000 scannversuche registriert
scheint anscheinend normal zu sein und da die Firewall ja alles versuche sperrt mache ich mir keine großen Sorgen darüber

1800 nur???

Alleine heute wurden bei mir schon über 2000 geblockt!!

Das macht mir ein wenig Angst!!

Viele Scanversuche laufen automatisch ab und nicht gezielt gefährlich sind nur die von Hackern aber deswegen hast Du ja ne Firewall damit keiner auf deinen PC zugreifen kann

nicht 1800 sondern 18000 in 4 wochen

Ops! da hab ich glatt ne 0 übersehen!

Ok! Dann bin ich ja beruhigt!

Aber könnten vielleicht, diese Scanns was mit Emule und sonstige FileSharing Tools zu tun haben? Nämlich das gescanne fing bei mir am 30.3 an und an diesem Tage kontrollieren ja die Plattenfirmen die FileSharing Tools.

Was hast Du für ne Firewall?

LOL?

was geht den bei euch ab???

bei mir sind so 10-20 in der Woche.

1000-18000, das is scho krass.

Bin jetzt 30 minuten online und habe schon 76 scannversuche

Kann keine Scanns verzeichnen... Ab und an fragen mal lustige Filesharingclienten an, ob ich denn derjenige bin, der für sie ein File hat... bin ich natürlich nicht, nur dumm, dass vorher jemand meine jetzige IP hatte und die Clienten sich deshalb bei mir totfragen. Harmlose Anfragen, die ZA gleich als Angriff abstempelt. Wie komm ich sonst auf 400.000+ blocked Intrusions since install...

~RB~

Original geschrieben von KRUEMEL 100
Was hast Du für ne Firewall?

Ich hab "Personal FireWall Plus" von McAfee.

ZoneAlarm lässt zu viel durch.
Und einen Router hab ich noch nicht.

Teilweise, wenn ich emule laufen habe, ist das scannen so heftigst, dass selbst die Wirewall nicht mehr mitkommt und dann muss ich den Rechner neustarten.

Also Zone alarm lässt eigentlich nichts durch bin bei Aol und hab getsern entdeckt das ich die Firewall ausschalten muss um in einen moderierten Chat zu gelangen

DFWs lassen einiges durch, da sie ja auf dem betroffenen Rechner laufen (Das OS ist schon anfällig genug). Für mich ist ZA nicht mehr als ein Trojaner- und Spyblocker - die meisten Sicheitshinweise (Blocked XXX) sind eh Unsinn und nichts weiter als harmlose Abfragen.

Hierzu mal ein Link (http://www.uni-muenster.de/ZIV/Hinweise/DesktopFirewall.html)


Teilweise, wenn ich emule laufen habe, ist das scannen so heftigst, dass selbst die Wirewall nicht mehr mitkommt und dann muss ich den Rechner neustarten.

Zu viele Verbindungen, die deine Connection zusammenbrechen lassen... that's all.

Also: Don't panic! Nicht jeder will euch hacken/ scannen/ euren Computer sprengen!

~RB~

Es ist schon richtig, was du sagst.

Aber gleich ca. 2000 mal, von einer IP, innerhalb 2 Minuten, find ich ganz schön merkwürdig!

Und Viren, Trojaner etc. hab ich nicht drauf, mein System wird 1 Mal in der woche geprüft.

Original geschrieben von Whiz-zarD
Es ist schon richtig, was du sagst.

Aber gleich ca. 2000 mal, von einer IP, innerhalb 2 Minuten, find ich ganz schön merkwürdig!

Das ist allerdings schon ein wenig heftig ;) - eine kleine Anfrage bei RIPE (http://www.ripe.net/db/whois/whois.html) (dort mal die IP eingeben) gibt vielleicht mehr Aufschluss... jedenfalls grob...

Original geschrieben von RB [Redbounty]
Das ist allerdings schon ein wenig heftig ;) - eine kleine Anfrage bei RIPE (http://www.ripe.net/db/whois/whois.html) (dort mal die IP eingeben) gibt vielleicht mehr Aufschluss... jedenfalls grob...

McAfee hat diese Funktion auch und das "tot Pingen" kam aus Madrid (Vielleicht was von 11.März??) und ging über den NetBIOS Port, ich weiss allerdings jetzt nicht mehr, welche Port Nummer das war. Allerdings ziemlich Merkwürdig, ich habe NetBIOS deaktiviert, oder gibt es ne Sicherheitslücke, womit man NetBIOS wieder aktivieren kann?
Fragen über Fragen :confused:

Original geschrieben von Whiz-zarD
McAfee hat diese Funktion auch und das "tot Pingen" kam aus Madrid (Vielleicht was von 11.März??) und ging über den NetBIOS Port, ich weiss allerdings jetzt nicht mehr, welche Port Nummer das war. Allerdings ziemlich Merkwürdig, ich habe NetBIOS deaktiviert, oder gibt es ne Sicherheitslücke, womit man NetBIOS wieder aktivieren kann?
Fragen über Fragen :confused:

Mir wäre nichts dergleichen bekannt, frage am besten mal MS ;) - Ports sind afair 137, 138 und 139 (NB over TCP)... *grübel*

Das es die Musikindustrie sei, glaube ich ehrlichgesagt nicht, denn das Scannen geht jedesmal von einer T-Online-IP aus. Ehrlichgesagt glaibe ich nicht das die Musikindustrie einer gammeligen T-Onlineverbindung bedient um wie die Wilden zu scannen.

Fakt scheint allerdings zu sein, das es eine einzige Person ist die im großen Umfang Scannt wie ein Bescheuerter.
Ich hab schon eine Mail an abuse@t-online.de geschickt das sie sich mal bitte drum kümmern mögen, aber scheinbar sind die T-Onlinespacken noch am Geldzählen und haben für sowas keine Zeit. :rolleyes:

Vielleicht sollten wir nochmal gemeinsam eine Mail absicken damit die mal sehen das davon mehrere betroffen sind als nur einer.
BTW: Speichert eure Firewalllogs um sie den T-Onlinespacken unter die Nase halten zu können. Schickt sie aber nicht in der Mail mit. Mails mit Anhang werden geblockt.

Hier noch ein paar Info's über die Ports die der Spacken zumindest bei mir versucht hat zu scannen:
135 http://grc.com/port_135.htm
2745 http://grc.com/port_2745.htm
3127 http://grc.com/port_3127.htm
445 http://grc.com/port_445.htm
1025 http://grc.com/port_1025.htm
6129 http://grc.com/port_6129.htm
139 http://grc.com/port_139.htm
80 http://grc.com/port_80.htm


Und hier noch die Mail, die ich an abuse@t-online.de geschickt habe.
Wenn ihr mögt, schreibt sie für euch entspr. um.


Leute, so langsam nervts wirklich.
Ich habe vor einigen Tagen schon eine Mail an euch geschickt, in der ich darum gebeten habe, dass ihr euch bitte eines hartnäckigen Portscanners annehmt der ebenfalls wie ich Kunde bei euch ist, aber scheinbar tut sich da nichts.
Ich hab mich mal etwas in meinem Stammforum umgehört und scheinbar bin ich nicht der Einzige der ständig von dieser Person gescannt wird. Es scheint nur ein einzelner Scanner zu sein der wie ein Irrer immer wieder tausende Computer scannt, denn die Ports die er abgraßt sind bei jedem Gescannten die selben:
135, 2745, 3127, 445, 1025, 129, 139, 80
Und auch immer nur ein T-Online-Kunde (laut RIPE Whois).

Also weshalb tut ihr da nichts?
Seid ihr es vielleicht sogar selbst, weil euch die Musikindustrie im Nacken sitzt und ihr nun dazu übergegangen seid, eure Kunden nach offenen Filesharingports zu überprüfen (glaub ich weniger weil es hier nicht nur um FS-Ports geht)?

Also was muss ein Kunde tun um sich der nervigen Portscans zu entledigen?
Provider wechseln? Zu einem der mehr Wert auf die Belange seiner Kunden legt?
10 Euro mehr für das neue, tolle "T-Online Security Mega-Package" latzen?
Staatsanwaltschaft bemühen?

Ersteres werde ich gerne meinen Freunden und Bekannten nahelegen die vom selben Problem geplagt werden, sollte auch diese Mail nicht fruchten und das, kann ich euch sagen, das sind nicht wenige.

Einige Firewalllogs hab ich hier noch rumliegen. Solltet ihr euch also dazu durchringen etwas gegen die Portscans unternehmen zu wollen, lasse ich sie euch gerne zukommen.

Also zeigt mal, dass für euren Verein "Support" doch noch ein Begriff ist.

Danke.


MfG
XXXXXXXXXXXXXXXXXXXXX

Das sind die ober1337 h4xx0r die eure Computer hacken wollen, kann schonmal vorkommen wenn die die IP Ranges scannen - vllt isses aber auch das BKA... *wuuuuhu* ;)

Original geschrieben von Codec
Das sind die ober1337 h4xx0r die eure Computer hacken wollen, kann schonmal vorkommen wenn die die IP Ranges scannen - vllt isses aber auch das BKA... *wuuuuhu* ;)
Sack! :p
Deinen Sarkasmus kannste stecken lassen. :D

Es ist verdammt nervig wenn die Firewall jedesmal für ne Sekunde dichtmacht sobald wieder gescannt wird.
Und komm mir bloß nicht damit, dass ich mir eine andere FW zulegen soll. Ich bin mit meiner sehr zufrieden, nur den Möchtegern-Hackerdrecksack würde ich gerne austauschen. :rolleyes:

BTW: Da isser schon wieder... :rolleyes:
BTW²: Gibt es nicht eine Kombofirewall die im Falle eines Portscans mit "DoS-Attacke", "Ping of Death" or somewhat kontert? :D

Original geschrieben von Chocwise


BTW²: Gibt es nicht eine Kombofirewall die im Falle eines Portscans mit "DoS-Attacke", "Ping of Death" or somewhat kontert? :D

ja, es gibt eine, bloss ich weiss jetzt nicht, wie sie heisst.
Wenns mir wieder einfällt, schreibe ich es hier rein.

Dann geselle ich mich mal zu euch. Wurde innerhalb der letzten Woche auch mehrmals gescannt. Wer weis, vielleicht heißt dieser Jemand ja Simon^^ (ok, der war schlecht).
Ich hab t-offline auch mal ne mail geschrieben, sogar 3 Stück, aber es kam keine Reaktion von der Gegenseite. Hab es sogar telefonisch versucht, das irgendwie zu lösen, da wurde mir gesagt, dass es im Support irgendwelche Probleme geben soll...
Typisch t-offline.

Ah, schön, noch nichtmal der einzige^^
Ist bei mir seit einer Weile genauso, irgendwann sprengt das Log noch die Pladde :D
Was mir auch noch dabei aufgefallen ist (abgesehen davon,dass da jemand massive Langeweile hat^^), je länger ich on bin, desto kürzer werden die Abstände zwischen den Scans. Kann aber auch Einbildung sein.
Anyway, muss anscheinend mal die Blocktime höher setzen, 600sec sind anscheinend zu wenig, der taucht trotzdem noch mit derselben IP mehrmals auf ^_^

Ich hab mal meine log Datei mal genauer betrachtet.
Ich werde auch ständig von diesem Spacken gescannt (auf Port 33196)

Was haltet ihr davon mal eine art Unterschriften Aktion gegen diesen Spacken zu starten?

Denn so langsam Reicht es mir!!! >:(

Ein Gedankengang eines genervten Admins:
Wie viele Leute müssen gleichzeitig sämtliche Ports eines Systems scannen bis die Kiste abnibbelt?

Ich möchte hier niemanden zu derlei Aktionen verleiten, aber dieser A***h geht mir gehörig auf den Keks. :D


Noch ein Gedankengang eines genervten Admins:

<?php
$i = 0;
while($i < 1){
$ping = system("ping $ip");
unset($ping);
}
?>

Wer kackt früher ab? Mein Server oder der Drecksack?
*kratzambart*

Angeregt durch euch hab ich mal kurz bei meinem log-file von peerguardian nachgeschaut. die letzten 2 wochen haben mich folgende (z.Z. dem prog bekannte) ip´s gescannt und sind geblockt worden:
Rejected: 207.188.24.156 - RealNetworks Inc (04-06-2004 @ 08:41:01)
Rejected: 192.67.198.51 - www.polizeiforum.de (04-04-2004 @ 11:58:06)
Rejected: 129.42.41.230 - IBM split 2.21 (03-28-2004 @ 12:39:58)
Rejected: 66.150.161.136 - www.retspan.info and www.retspan.biz (03-16-2004 @ 08:04:54)

die häufigkeit ist unterschiedlich hoch, aber nicht alarmierend höher als die letzten monate auch.
meine firewall (norton) meldet nur die trojaner und subseven´s, die aber auch schon wesentlich penetranter waren als zur zeit!

vielleicht auch nur ne frage der ip bzw. des bereiches wo ich drin lieg, bin nicht bei aol (war ich mal, die nervten ständig rum, der name "aol time warner" sagt ja wohl schon alles, oder?) oder t-offline, sondern bei 1&1.

*kratz*

alle schreiben hier wie oft sie gescannt werden, und ich hab eigentlich garkeine ahnung davon, weil ich nur ne hardware firewall hab - und die logged ( soweit ich weiss ^^ ) keine scans..

Also, wenn hier jemand proggis für mich hat nur her damit, aber bitte kein zonealarm, das geht ja schon los bei jedem paket das an mich adressiert ist los -_-'

//edit: intressant, mein router logged die zugriffe auf mich zwar nicht, aber dafür wann ich auf welche seite zugegriffen hab ^^''

das is schon toll, wenn man merkt dass man auf seiten war, auf denen man garnicht war .. scheiss popups, wo is nur mein popup blocker hin ? *google toolbar sucht*

aah, da is sie ja, na dann auf ein neues ! http://mitglied.lycos.de/d0mm3/Misc/hell_yeah.gif ( <- dieser Smilie sollte auf transparentem hintergrund sein, auf weiß schauts einfach nich gut aus ^^ warum ich das jetzt hier poste .. kA .. spontan lust gehabt, you know .. -_-'' )

Hm, ich hab grad aus Spaß mal die Logs meiner Linux Firewall durchgesehen und gemerkt das ich auch gescannt wurde.

Naja, den sollten wir ärgern :D

Machen wir doch mal nen dDoS auf die Suckerkinder.
Wird bestimmt spaßig. ^^

codec

An Filesharing-Tools kann es nicht liegen, da ich keine solchen Tools derzeit bei mir installiert habe. :rolleyes:

Und:
Das aussergewöhnliche an dieser Scann-Aktion ist ja, dass ich seit über einem halbes Jahr die Firewall habe und die Attacken erst in den letzten Wochen mit dieser Intensitöt und Regelmässigkeit auftreten.

Original geschrieben von Battosai Himura
Also, wenn hier jemand proggis für mich hat nur her damit, aber bitte kein zonealarm, das geht ja schon los bei jedem paket das an mich adressiert ist los -_-' Try Sygate - sehr gutes Programm, welches vor allem nicht soviele Ressourcen verschlingt!
www.sygate.com

Edit:
hab mal soeben mal nachgeschaut:
Scans im letzten Monat: 560
Scans in der letzten Woche: 550

In den 3 Wochen vorher hatte ich also gerade mal 10 Scans - erst seit einer Woche werde ich so massiv gescannt!
Gibt es eigentlich nicht irgendeine Site, die wir mal damit beauftragen könnten nach der Ursache zu suchen?
Vielleicht die Antivir-Site?

Ihr habt das Problem auch? oO
Vielleicht hilft's:
Bei mir starten die Scans, sobald ich mIRC anhabe/-hatte.
Meine Firewall: Sygate

Original geschrieben von Lord Phoenix
Ihr habt das Problem auch? oO
Vielleicht hilft's:
Bei mir starten die Scans, sobald ich mIRC anhabe/-hatte.
Meine Firewall: Sygate Nope!
Hab' selbe Firewall und auf meinem jetzigem System einen IRC-Chat nicht einmal mit dem Allerwertesten angerührt. ;)

T-online meldet sich deshalb nicht weil so was täglich bei dennen einflattert(das sind nicht grad wenige) und immer gleich beantwortet wird, wen sie überhaubt noch drauf antworten ^^

Ein port Scan ist nicht strafbar, ein eindringen aber schon.

Wen man plant eine tankstelle zu überfallen ist das nicht strafbar also das planen für ein angriff ist legal das überfallen aber nicht ;)

Wen ihr schutz wollt hollt euch ein portscanner für local der noch dazu anzeigt welcher dienst die ports benutzt dan deaktiviert man diese dienste schon schon braucht man auch keine firewall(software) mehr ^^

Ich selber bin dicht, nicht ein port offen und keine firewall(software) installiert, ne hardware firewall hab ich auch, aber wo ich mich gescannt hab wars local also greift meine hardware firewall(router) nicht ein.

Die schlimmsten angriffe finden immer noch local stadt das heisst ihr ladet euch ein super dupa programm runter und in wirklichkeit schaltet es alle möglichen ports auf und installiert ein trojaner (unbemerkt!)
Oder noch besser: ihr seit in einem netzwerk und eure familie surft im netz bekommt dan eine e-mail mit einem inhalt man solle sein computer mit dem und dem programm scannen program ist im anhang der absender ist ein bekannter (ist aber nciht wirklich er) er probierts aus und zack hatt man im gesammten netzwerk verteilt ein Trojaner verteilt der sich auch nochselbst verschickt an andere pcs (darum immer passwort an die netzwerk laufwerke setzen!) :)

Hacker lachen über software firewalls da die in 10min ausgeschaltet wird^^ (manchmal sammt computer da überfordert)

@ Remos:

Häh??
Und wie kommst du denn auf diese Seite, denn um Seiten öffnen zu können, muss Port 80 offen sein und wenn du Schreibst, dass kein Port offen ist, kommst du auch nicht auf eine HTTP Seite.

Oder sehe ich das verkehrt??

na port 80 ist ausgehend von meiner seite natürlich offen ist doch kla ? genauso wie e-mail versand auch ....

komplett dicht machen geht ja nicht da kann ich j gleich stecker aus der dose ziehen ;)

@ Remos:

Häh??
Und wie kommst du denn auf diese Seite, denn um Seiten öffnen zu können, muss Port 80 offen sein und wenn du Schreibst, dass kein Port offen ist, kommst du auch nicht auf eine HTTP Seite.

Oder sehe ich das verkehrt??

Offen ist er schon,aber nur von meiner Seite,von außen kann nur keine Verbindung hergestellt werden^^
Hier btw. eine gute Seite,die unter anderem Ports scannt:
http://grc.com
Den Scanner findet ihr unter dem Punkt Shields Up.

Verhält sich bei mir übrigens genauso wie bei Remos,also alle Ports dicht,zumindest laut Scanner.

Original geschrieben von Remos
T-online meldet sich deshalb nicht weil so was täglich bei dennen einflattert(das sind nicht grad wenige) und immer gleich beantwortet wird, wen sie überhaubt noch drauf antworten ^^

Ein port Scan ist nicht strafbar, ein eindringen aber schon.

Wen man plant eine tankstelle zu überfallen ist das nicht strafbar also das planen für ein angriff ist legal das überfallen aber nicht ;)

Wen ihr schutz wollt hollt euch ein portscanner für local der noch dazu anzeigt welcher dienst die ports benutzt dan deaktiviert man diese dienste schon schon braucht man auch keine firewall(software) mehr ^^

Ich selber bin dicht, nicht ein port offen und keine firewall(software) installiert, ne hardware firewall hab ich auch, aber wo ich mich gescannt hab wars local also greift meine hardware firewall(router) nicht ein.
...
Seltsame Logik.
Deine Matapher ist IMO nur auf einen vereinzelten Portscan anwendbar, den ich ja selbst nur mit einem müden Lächeln für die minderbemittelte Scriptkiddyseele abtue, aber, um mich deiner Metaphorik anzuschließen:
Stell dir vor ich latsche jede Nacht durch eine Stadt deiner Wahl und schmeiß im vorrübergehen an jedes Fenster einen kleinen Kiesel. Ich mach in einer Nacht etwa 100-200 Runden (bin halt schnell).
Deine Logik besagt nun also, dass jeder genervte Anwohner seine Fenster mit Schaumstoff zunageln soll.

Also wenn du mich fragst, ruf ich als Anwohner lieber die Bullen die den Spacken einbuchten, oder ich leg mich mit einem Luftgewehr auf die Lauer und verpasse dem Drecksack bei seiner nächsten Runde eine Ladung die ihn ins Grübeln bringt.

Original geschrieben von Chocwise
Stell dir vor ich latsche jede Nacht durch eine Stadt deiner Wahl und schmeiß im vorrübergehen an jedes Fenster einen kleinen Kiesel. Ich mach in einer Nacht etwa 100-200 Runden (bin halt schnell).
Deine Logik besagt nun also, dass jeder genervte Anwohner seine Fenster mit Schaumstoff zunageln soll.

Also wenn du mich fragst, ruf ich als Anwohner lieber die Bullen die den Spacken einbuchten, oder ich leg mich mit einem Luftgewehr auf die Lauer und verpasse dem Drecksack bei seiner nächsten Runde eine Ladung die ihn ins Grübeln bringt.

Dein Vergleich ist einfach nur herlich!:hehe:

Da muss ich dir zustimmen. Es kann nicht angehen, dass die Opfer des extrem Scannen sich von dem Spacken verstecken, alle Ports sperren und nichts tun. Das muss endlich mal ein Ende haben.

@Chocwise
Hmmmm woher weist du das es immer der selbe typ ist?
also wen du wirklich 100% beweisen kannst das es der selbe typ ist und pcs grade zu abstürzen läst oder die verbindung lahmt dan trift das zu dan dan ist das natürlich gerechtfertigt das sie wa unternemen müssen...

Edit:
Wird wohl doch nix ;-)

Ausspähen von Daten gem. § 202a StGB
http://www.lawww.de/Library/stgb/202.htm

Computersabotage gem. § 303b StGB
http://www.lawww.de/Library/stgb/303.htm

Computerbetrug gem. § 263a StGB
http://www.lawww.de/Library/stgb/263.htm

tjo so wies aus sieht ist scannen auch wens grosse bereiche sind und immer der selbe nicht strafbar.
Was das scannen angeht bei freenet werden typen die scannen gesperrt also wer bei freenet ist wird gespert bei t-online weis ich es nicht ob sie es machen ich glaube aber nicht und wen wirklich nur ausnamen da müst man mal die ?AGB? mal anschauen!

bin bei Aol

lol, kein Wunder warum du 18000 scan's hattest.
Aol ist das reihnste Spionagenetzwerk, an deiner Stelle wuerde ich den Anbieter wechsel. Z.B. T-Online, Freenet oder Arcor.

Original geschrieben von Lord Phoenix

Bei mir starten die Scans, sobald ich mIRC anhabe/-hatte.


Das kann schon vorkommen, in welches IRC Network connectest du denn?

Weil beim connecten auf ein IRC Network wird man meistens gescannt.

euIRC (http://www.euirc.net/en/proxyscanner.php)


codec

edit:

Gnah, gestern hab ich was darüber gelesen mit diesem Scannen - damn it!

Wennn ichs wieder finde lass ich es euch wissen *grmps*

@Codec:
Jupp, das ist's.

Da steht auch, das die von Tiscali aus scannen, da kommen meine Scans auch her. Danke!

Original geschrieben von Remos
@Chocwise
Hmmmm woher weist du das es immer der selbe typ ist?
also wen du wirklich 100% beweisen kannst das es der selbe typ ist und pcs grade zu abstürzen läst oder die verbindung lahmt dan trift das zu dan dan ist das natürlich gerechtfertigt das sie wa unternemen müssen...
...
Das Muster ist eindeutig.
Der Scanner taucht immer mit einem T-Online-IP-Block auf, es sind nie mehrere IP's wild durcheinander gemischt, zwar hat der Scanner dann und wann wieder eine neue IP, aber das spiegelt ganz normales Dis-/Reconnectverhalten eines gewöhnlichen Surfers wieder.

Der Scanner ist anpingbar. Was auf eine löchrige oder gar nicht vorhandene Firewall hindeutet (antworten Router eigentlich auf Pings?), welches wiederrum auf ein Scriptkiddy hindeutet das nicht wirklich checkt was es da tut.

Original geschrieben von Chocwise
Das Muster ist eindeutig.
Der Scanner taucht immer mit einem T-Online-IP-Block auf, es sind nie mehrere IP's wild durcheinander gemischt, zwar hat der Scanner dann und wann wieder eine neue IP, aber das spiegelt ganz normales Dis-/Reconnectverhalten eines gewöhnlichen Surfers wieder.

Der Scanner ist anpingbar. Was auf eine löchrige oder gar nicht vorhandene Firewall hindeutet (antworten Router eigentlich auf Pings?), welches wiederrum auf ein Scriptkiddy hindeutet das nicht wirklich checkt was es da tut.

Naja, wenn es ein Script Kiddy ist, dann ist es wahrscheinlich so ein möchtegern H4xx0r, der TXT Dateien aus dem 17. Jahrhundert zum Hacken von NetBIOS Freigaben gefunden hat und das jetzt versucht - das könnte aber auch die Telekom gewesen sein... *c't rauskram*


[?] Seitdem ich eine Personal Fire wall laufen habe, meldet diese laufend Verbindungsversuche auf verschiedene Ports. Mal warnt sie vor Netbus, mal vor SubServen - wurde mein Rechner von einem Trojaner erwischt?

[!] Normalerweise ist das kein Grund zur Beunruhigung: Die Firewall meldet lediglich sogenannte Portscans. Diese mittlerweile häufig auftretenden Abfragen von außen, ob auf einem Rechner ein trojanisches Pferd wie Netbus, Back Orifice oder SubSeven installiert ist. Da die Firewall diesen Verbindungsversuch abgeblockt hat, bekam der Angreifer keine verwertbaren Informationen und beschäftigt sich normalerweise nicht weiter mit ihrem System. (pab)

da gehört zurückgehact... aber echt...

man sollte den zumüllen mit dme netzwerk: net send IP Hey, du

du

genau

du


was willstn hacken du b00b?

usw...

wobei scheiße is: da steht die eigne ip...


ich hab ein t-sinus 130 dsl router mit wlan - t-offline

der sendet doch im normal fall wenn ich gescannt werde ne nachricht als pop up oda so?

oder wie rufe ich (falls vorhanden) scanns ab?

ausfürh->cmd->net view?

Die Befehle, die du alle aufgelistet hast, werden im Internet nicht funktionieren, da diese nur im LAN funktionieren und nicht im WAN.
Oder gibt es doch ne Möglichkeit diese Befehle im WAN auszuführen?

LAN=Local Area Network
WAN=Wide Area Network

Also bei mir ist das selbe , mehrmals täglich ging immer die firewall an und sagte mir das jemand versucht auf meinem pc zuzugreifen ...
aber mittlerweile kommt es nicht mehr ^^'

Als ich grad so friedlich bei Splinter Cell Köche abgemurkst und in ihrem eigenen Kühlraum versteckt habe hat meine Firewall alarm gegeben, war 'n Scanner.

Naja, ich hab das dann Back Trace'n lassen und folgendes ist beim Whois rausgekommen:


Le Groupe Videotron Ltee VL-2BL (NET-24-200-0-0-1)
24.200.0.0 - 24.203.255.255
Le Groupe Videotron Ltee VL-D-OH-18CAD000 (NET-24-202-208-0-1)
24.202.208.0 - 24.202.208.255

# ARIN WHOIS database, last updated 2004-04-07 19:15
# Enter ? for additional hints on searching ARIN's WHOIS database.


Gerouted hat er über 12 verschiedene Access Points, was ihm anscheinend nichts gebracht hat.

Und zwar erst 2 Points ausm selben ISP Netz,

dann 2 Stück in New York,
einen in Montreal,
einen in Ashburn, und zuletzt
einen amerikanischen Server der DTAG.

codec

just in diesem augenblick hab ich ne warnung von meiner firewall bekommen.
>_<
O-Ton: Zugriffsversuch "HTTP_ActivePerl_Overflow" wurde ermittelt.
Risikostufe mittel
Ein unberechtigter ... (siehe oben)... auf ihrem rechner auf img.web.de (217.72.195.85) wurde erkannt und blockiert.
>_<
das ist mir ja noch nie untergekommen. an backdors etc. ist man ja schon gewöhnt, aber das ist mal was neues. Hat jemand infos zu dem zeug, meine firewall hat dazu ´keine nähere meinung, blockt halt nur!
>:(

Original geschrieben von kretzsche
just in diesem augenblick hab ich ne warnung von meiner firewall bekommen.
>_<
O-Ton: Zugriffsversuch "HTTP_ActivePerl_Overflow" wurde ermittelt.
Risikostufe mittel
Ein unberechtigter ... (siehe oben)... auf ihrem rechner auf img.web.de (217.72.195.85) wurde erkannt und blockiert.
>_<
das ist mir ja noch nie untergekommen. an backdors etc. ist man ja schon gewöhnt, aber das ist mal was neues. Hat jemand infos zu dem zeug, meine firewall hat dazu ´keine nähere meinung, blockt halt nur!
>:(
Solange du keinen Webserver mit PERL betreibst, dürfte das kein Ding sein.
Irgendein Spacken versucht da scheinbar einen Webserver durch einen Buffer-Overflow über eine PERL-Sicherheitslücke zum Absturz zu bringen.

Die Sicherheitslücke gibts nur bei ActivePerl für Windows.

Ich hatte jetzt 12 Scans in einer Stunde.

So, sie sind wieder da!
Seit etwa einer Woche meldet meine Firewall immer wieder an, daß ich gescannt werde bzw. das versucht wird mich zu scannen.
heute allein 125mal! http://www.multimediaxis.de/images/smilies/old/s_010.gif
Dabei hatte sich das in den letzten monaten gelegt

Bei euch auch so?

Original geschrieben von Soheil
So, sie sind wieder da!
Seit etwa einer Woche meldet meine Firewall immer wieder an, daß ich gescannt werde bzw. das versucht wird mich zu scannen.
heute allein 125mal! http://www.multimediaxis.de/images/smilies/old/s_010.gif
Dabei hatte sich das in den letzten monaten gelegt

Bei euch auch so?
Nope, bei mir eh nicht mehr, ich sitz jetzt hinter einem Router, da kommt nix mehr zu meinr PersonalFirewall durch. ;)

Aber ich glaube ich weiß was dahinter steckt. und zwar hat irgendjemand im UNI-MUENSTER.DE-Netz einen dieser Würmer die sich über offene Ports verbreiten. Diese scannen nämlich mit Vorliebe bestimmte Ports anderer Rechner mit der selben IP-Range, also Rechner die über den selben Provider unterwegs sind.
Scheinbar waren eine Weile kaum Rechner im UNI-MUENSTER.DE-Netz kontanimiert, nu hat sich wieder jemand so'n Wurm eingefangen und der nervt dich jetzt. ;)

Kommen die Scans denn von einem UNI-MUENSTER.DE-"Kunden"?

Keine Ahnung.
Aus der IP kann ich nicht rauslesen, woher der kommt.
Allerdings wechselt er alle 10-15min. die IP
Scheint mir also nicht so sein.

Ist ja ganz schön beunruhigend O.ô
Hab mir jetz mal Zone Alarm 15-Tage Demo-Version gesaugt (wenns irgendwo was besseres 4 free gibt, lasst es mich wissen ;)).
Noch keine Scans, muss ich mir jetzt Sorgen machen? ^^

wahrscheinlich bist du der staatsfeind nummer 1 ^^ ne ist aber echt schlimm mit den scriptkiddies :rolleyes:
weiß auch net was los ist... aber zumal sie eh keine chance haben gehts ja ^^

Original geschrieben von Soheil
Keine Ahnung.
Aus der IP kann ich nicht rauslesen, woher der kommt.
Allerdings wechselt er alle 10-15min. die IP
Scheint mir also nicht so sein.
Doch, kannst du.
Trag da die IP ein:
http://www.ripe.net/db/whois/whois.html

aber was bringts die ip da rein zu schreiben ?

man sieht doch nur, welcher provider die IP vergibt -.-
zumindest hab ich net mehr gesehen, als ich meine ip da rein gegeben hab

@ Choci:
Jo...hattest Recht. Ist ne Uni-Muenster IP http://forum.rpg-ring.com/forum/images/smilies/2/urgh.gif
Original geschrieben von Gôka
Ist ja ganz schön beunruhigend O.ô
Hab mir jetz mal Zone Alarm 15-Tage Demo-Version gesaugt (wenns irgendwo was besseres 4 free gibt, lasst es mich wissen ;)).
Noch keine Scans, muss ich mir jetzt Sorgen machen? ^^ Zonealalrm nix gut! Frisst zu viele Ressourcen!
Nimm lieber Sygate!

ZA nix gut?
Gut, gut?
Dann saug ich mir mal ne Freeversion von Sygate ;_;
Ich bin so beeinflussbar (O.o).

btw: was notiert das Teufelchen auf deinem Ava? ^^

Original geschrieben von Gôka
ZA nix gut?
Gut, gut?
Dann saug ich mir mal ne Freeversion von Sygate ;_;
Ich bin so beeinflussbar (O.o).

btw: was notiert das Teufelchen auf deinem Ava? ^^ Die Namen der Bekehrten, die sich von Zonealarm und Norton abwenden und sich Sygate holen :D

Er notiert wie man seine Frau verführen kann ^^ .

Kann Sygate auch empfehlen, noch nie Probs mit gehabt.
Bei mir halten sich die Scans in Grenzen, so um die 5-10 pro Tag is normal.



au revoir ...

Original geschrieben von Soheil
Die Namen der Bekehrten, die sich von Zonealarm und Norton abwenden und sich Sygate holen :D

Oh mein Gott, mein Name auf einer Liste ... JETZT muss ich mir Sorgen machen ;_;

Ne mal im Ernst: Sygate scheint mir in der Tat sehr viel sicherer und kompetenter - kein ständiges Nachfragen bei der Installation.
Ausserdem musste ich nach der Installation den PC neu starten, bei ZoneAlarm nicht, komisch.
Ob die Wellen bei Sygate wirklich etwas zu bedeuten haben oder nur zur Verzierung gedacht sind, sei mal dahingestellt, einen sicheren Eindruck verschafft es schon ;)

Original geschrieben von Sp4rk
aber was bringts die ip da rein zu schreiben ?

man sieht doch nur, welcher provider die IP vergibt -.-
zumindest hab ich net mehr gesehen, als ich meine ip da rein gegeben hab
Ach, und was meinst du worum es hier geht?
Um die Farbe der Socken des Users der an dem scannenden PC sitzt? :p


Original geschrieben von Soheil
@ Choci:
Jo...hattest Recht. Ist ne Uni-Muenster IP http://forum.rpg-ring.com/forum/images/smilies/2/urgh.gif...
Jop, dann ists so'n Wurm.
Wenn dir langweilig ist, kannst du ja mal an den Administrator des UNI-MUENSTER.DE-Netzwerks eine Mail richten und anfragen ob die nicht herausfinden können wer da die Wurmschleuder ist um ihm dann einen freundlichen Hinweis zukommen zu lassen sich VERDAMMTNOCHMAL EINE VER$§&%!$§ FIREWALL UND EINEN BESCH%§&"%&$$ VIRENSCANNER ANZUSCHAFFEN SONST GIBTS HAUE VON DER GESAMTEN STUDENTENSCHAFT. ;)
*räusper*
network@uni-muenster.de

Ich wurde in letzter Zeit auch wieder gescannt, aber weniger oft.

Bei Whois kam das raus:

MED TELECOM, S.A.
Spanish Cable Operator

oO

Original geschrieben von Chocwise
Jop, dann ists so'n Wurm.
Wenn dir langweilig ist, kannst du ja mal an den Administrator des UNI-MUENSTER.DE-Netzwerks eine Mail richten und anfragen ob die nicht herausfinden können wer da die Wurmschleuder ist um ihm dann einen freundlichen Hinweis zukommen zu lassen sich VERDAMMTNOCHMAL EINE VER$§&%!$§ FIREWALL UND EINEN BESCH%§&"%&$$ VIRENSCANNER ANZUSCHAFFEN SONST GIBTS HAUE VON DER GESAMTEN STUDENTENSCHAFT. ;)
Dazu gab's vor Kurzen bei Slashdot eine interessante Story - reverse Firewalls könnten Spam eindämmen, wenn sie ausgehenden Mailverkehr abblocken würden, sobald er eine gewisse Grenze überschreitet. Das ließe sich eventuell auch auf Würmer ausweiten.

Original geschrieben von Chocwise
Ach, und was meinst du worum es hier geht?
Um die Farbe der Socken des Users der an dem scannenden PC sitzt? :p


ne schon klar worums hier geht :hehe:

hab mich halt nur gefragt, was es dem jenigem bringt, der gescannt wird, wenn er weiß das derjenigen in guala-lumpur oder sonst wo sitzt. Was dagegen machen kann man eh nicht. zumindest nicht direkt:rolleyes:

Original geschrieben von Jesus_666
Dazu gab's vor Kurzen bei Slashdot eine interessante Story - reverse Firewalls könnten Spam eindämmen, wenn sie ausgehenden Mailverkehr abblocken würden, sobald er eine gewisse Grenze überschreitet. Das ließe sich eventuell auch auf Würmer ausweiten.
Ist es nicht so das Firewalls schon jetzt Würmer die sich über offene Ports verbreiten nicht nur aussperren sondern auch "einsperren"?
Der Sasser-Wurm z.B. dürfte sich bei einer vernünftig konfigurierten Firewall nicht verbreiten können weil er sich nach Portscans und AFAIK senden eines Exploits an den Kernel eines Windowssystems über Port *zucktmitdenschultern* 138 AFAIK, über irgendeinen 400'er Port per FTP auf den Opferrechner schiebt.
Eine Firewall würde es spätestens melden wenn der Wurm versucht Zugang zum Internet zu erlangen indem er den Port 4xx öffnet.

Sitzt vor dem Rechner nun kein DAU mit dem unüberwindlichen Drang "Ok"-Butons zu drücken, dürfte der Wurm hier in eine Sackgasse gelangt sein.

Also, ich habe garkeine Firewall, wozu auch.
Würde irgend ein Sack versuchen, mir irgendwas unterzu schmuggeln, würde es Norton Anti Virus 2003 merken.
Und ich habe schon einen Router -> ist da noch eine Firewall wirklich nötig ?
Ich meine, ich kenne mich in der Szene (scannen,haxxorn,taggen) ziemlich gut in der Theorie aus.^_^'
Und ich glaube, keiner hat Interesse einen Server - egal ob Privatbenutzer oder Firmenunternehmen (um durch den Gast Login Sachen zu uppen und sie dann zu verteilen) - aber Deutsche Server hackt man nicht gerne, deshalb schließe ich irgendwelche zufalls Scanner aus die einfach nur eine Ablage Suchen aus.
Hacker -> schließe ich ebenfalls aus, wer soll schon Interesse an meinen Daten haben ODER (auch wenn) würde ich nicht unbedingt einen Deutschen PC hacken und es gibt soviele PCs in Deutschland, da ist die Chance das ein guter Hacker es schafft mich zu erwischen eher geringer.
Fazit:
Sind wahrscheinlich Scanner die nach Servern suchen (net weiter drum kümmern) oder sind irgendwelche Programme die versuchen irgendwas auszuführen.

Original geschrieben von Mephû
Sind wahrscheinlich Scanner die nach Servern suchen (net weiter drum kümmern) oder sind irgendwelche Programme die versuchen irgendwas auszuführen. Unwahrscheinlich. Die Würmer der letzten Zeit scannen aktiv alle erreichbaren Rechner auf Schwachstellen in bestimmten Ports, durch die sie sich auf den Zielrechner bringen können, ohne daß auf diesem irgendwas getan werden muß.
Und es ist für einige Leute von großem Interesse, deinen Rechner zu kompromittieren - ein nicht unerheblicher Teil des Spams im Netz wird von Privatrechnern verschickt, die über eine Sicherheitslücke infiziert wurden. Und je mehr Rechner ein Spammer zu Zombies machen kann umso mehr Spam kann er verschicken.

Ja, hinter einem NAT-Router ist man halbwegs sicher, vor allem dann, wenn er eine Firewall hat.

Nein, herkömmliche Firewalls sind nicht wirklich geeignet, um derartigen Mailverkehr abzufangen, weil Malware gerne im Geheimen arbeitet und oft in der Lage ist, Defensivsoftware zu unterlaufen oder abzuschalten. Bei /. wurde über Hardware-Firewalls diskutiert, die ausgehenden Traffic blocken, wenn er zu stark wird.

Wobei, die Spammails verschicken ja Werbung ist ja jedem bekannt, wo man was kaufen muss.
Wär es nicht klug zu den Leuten zu gehen, zu denen der Internet Link führt ?

Original geschrieben von Mephû
Wobei, die Spammails verschicken ja Werbung ist ja jedem bekannt, wo man was kaufen muss.
Wär es nicht klug zu den Leuten zu gehen, zu denen der Internet Link führt ?
Keine Mailadressen, keine direkte Kontaktmöglichkeit, Domainregistrierung über Mittelfirmen, angemeldet auf den Cayman-Inseln. Ohne größeren Aufwand kommst du an die nicht ran. Und "größerer Aufwand" beschreibt alles bis einschließlich internationaler Ermittlungen in Ländern, die eher der UNO an's Hemd pinkeln würden als die Einkünfte durch dubiose Firmen aufzugeben.

Ich hätt da mal ne Frage:

Ich hab in meinem Router schon ne Firewall drinnen, brauch ich dann noch ne Firewall wie Sygate o.ä?

Original geschrieben von Montaron
Ich hätt da mal ne Frage:

Ich hab in meinem Router schon ne Firewall drinnen, brauch ich dann noch ne Firewall wie Sygate o.ä?

Ja und Nein.
Wenn du mehr Sicherheit haben willst, dann installier dir noch ne Software Firewall. Wenn du weisst, wie man alles richtig konfiguriert, bist du dann auf der sicheren Seite. Viele Server sind an einem Router angeschlossen und haben trotzdem noch ne Software Firewall. Falls irgendetwas doch mal dort den Router kommt, dass dann die Firewall es blockt. Wenn du aber nicht so richtig bescheid weisst, wie man ne Software Firewall richtig konfiguriert, kann dies sogar nach hinten losgehen. Dann könnte evtl. die komplette Internet Verbindung geblockt werden.

Danke für die schnelle Antwort! Ich hab da jetzt nicht so viel Ahnung, deswegen lass ich das lieber mal sein.

??????

sama ich glaub es hackt jetzt weiss ich warum ich so viren ferseucht bin.

grrrrrrrrrr scheiss Ruter läst auch alles durch.

Habe sygate seit 2 tagen udn schon 20 scans grrrrrr ich bin angefressen.

Kauft euch nie Delink billich ruter grrrr
hätte ich doch nru ein 486 mit link gekauft grrrrrrrrr >:( >:(

naja aber ich errinere mich noch for ein paar jahren XD damals habe ich mal ein portscann bei einem freehost gemacht.
XD das witzige war ein paar wochen später
wurde auf der Seite vom GROSSEN hackangriff gesprochen XD

man soll cniht zu übertreibung neigen sollange niemand reinkommt sollen die scannen bis ihre CPU brennt :D