Nickles › Forum › Internet › Viren, Spyware, Datenschutz

Viren, Spyware, Datenschutz 11.254 Themen, 94.795 Beiträge

Hilfe was heist das!!!!!!

FUNZEL am 03.01.2001, 00:00 / 6 Antworten / Baumansicht

Eingesundes neues wünsche ich.

Ich benutze den Norton-Firwall und in letzter zeit passiert volgendes.

Der FW zeigt mir dieses Protokoll an :

Regel "Default Block SubSeven 2.1/2.2 Trojan" blockierte (62.54.208.15,27374). Details:
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (62.54.208.15,27374)
Remote-Adresse, Dienst ist (62.54.208.56,1101)
Prozeßname ist "N/A"

Ich habe jetzt mal mit Tracert mir die ganze sache angeschaut und es kam dies heraus.

C:\\>tracert 62.54.208.56

Route-Verfolgung zu rst2-3e36d038.pool.mediaWays.net [62.54.208.56]
über maximal 30 Abschnitte:

1 * * * Zeitüberschreitung der Anforderung.
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.
6 * * * Zeitüberschreitung der Anforderung.
7 * * * Zeitüberschreitung der Anforderung.
8 * * * Zeitüberschreitung der Anforderung.
9 * * * Zeitüberschreitung der Anforderung.
10 * * * Zeitüberschreitung der Anforderung.
11 * * * Zeitüberschreitung der Anforderung.
12 * * * Zeitüberschreitung der Anforderung.
13 * * * Zeitüberschreitung der Anforderung.
14 * * * Zeitüberschreitung der Anforderung.
15 * Ziel-Host nicht erreichbar.

Auch ein direktes aufrufen von 62.54.208.56 brachte immer " vom Server abgewiesen "

Ist das ganze hier ein Gag oder etwas ernsthaftes.
Diese 62.54...... taucht sehr oft bei meinem FW auf und ich wollte nun wissen was los ist.

Über eine Antwort würde ich mich freuen.

Dirk

    
        FreddyK. FUNZEL „Hilfe was heist das!!!!!!“
      
        03.01.2001, 00:00 Optionen
      
          Da sucht ein "Depp"/script-Kiddie, der/das über einen Call-by-Call-

          Provider,oder dessen Proxy-Server online ist, einfach nur nach

          "offenen" Rechnern, auf denen der angegebene Trojaner installiert ist.

          Deine Wall blockiert das. Lehne Dich zurück, und freue Dich, daß Deine Wall "dichthält".

          Gruß FreddyK.
        
         Dieser Beitrag wurde unter Debian GNU/Linux 7.1 Wheezy verbrochen. https://de.wikipedia.org/wiki/Vorratsdatenspeicherung
      
             bei Antwort benachrichtigen
        
        FUNZEL FreddyK. „Da sucht ein Depp /script-Kiddie, der/das über einen Call-by-Call-...“
      
        04.01.2001, 00:00 Optionen
      
          Gutem Morgen.

          Danke für die Antwort.

          Nun dann bin ich ja beruhigt.

          Gruß Dirk
        
             bei Antwort benachrichtigen
        
        donaldtownsend FUNZEL „Gutem Morgen. Danke für die Antwort. Nun dann bin ich ja beruhigt. Gruß Dirk “
      
        07.01.2001, 00:00 Optionen
      
          Hier als Ergänzung ein Auszug aus dem Log meines Routers, damit man mal einen Eindruck bekommen, was an einem Abend so an Scans, bzw. Pings an meiner jeweiligen IP ankommt. Die Zeit vorne ist rückgerechnet von morgens 8:15.

          Interessant ist, wie oft einzelne "Hacker" ihre Versuche wiederholen. 27374 ist der Standartport, auf dem sub_seven antwortet. 1243 steht fürbackdoor_g/sub_seven/sub_seven_apocalypse. Man sieht, es ist reges Scannen, bzw. Pingen im Gange. Die meisten der Scannenden kommen aus dem Netz von T-online (auch t-dialin.net)und hoffen, dass irgendwer einen Trojaner für sie auf den Zielrechner geschleußt hat, der nun eine Verbindung eröffnet, die nutzbar ist. Das Scannen von Port 5881 auf UDP Port 5882 kommt mehrfach vor, obwohl es meines Wissens kein bekannter Trojaner-Port ist. Erfahrenere Hacker ändern die Portnummer, die der Trojaner im System des Angegriffenen öffnet. Die IPs des Scannenden sind verschieden. Aber ich vermute, es ist eine Person, die sich zwischendurch neu eingewählt hat. Die Person, die von der IP 63.200.181.27 aus scannt, nutzt einen DSL Zugang und sucht nach offenen Netbios-Ports, über die man sich besonders leicht einklinken kann. Beim Durchschnittsbenutzer (sollte er lange genug online sein) eine Riesengefahr, da es oft standartmäßig mitinstalliert wird.

          -13:30:32 Unrecognized access from 62.224.43.19:5881 to UDP port 5882

          -13:25:14 Unrecognized access from 62.225.205.21:5881 to UDP port 5882

          -13:03:41 Unrecognized access from 62.155.248.10:2865 to TCP port 27374

          -12:45:08 Unrecognized access from 213.6.14.93:2967 to TCP port 1243

          -12:45:05 Unrecognized access from 213.6.14.93:2967 to TCP port 1243

          -12:41:48 Unrecognized access from 62.224.109.113:4487 to TCP port 27374

          -12:41:45 Unrecognized access from 62.224.109.113:4487 to TCP port 27374

          -12:37:05 Unrecognized access from 217.0.21.97:4326 to TCP port 27374

          -12:37:02 Unrecognized access from 217.0.21.97:4326 to TCP port 27374

          -12:34:43 Unrecognized access from 217.0.60.198:5881 to UDP port 5882

          -12:29:25 Unrecognized access from 194.230.129.66:3435 to TCP port 27374

          -12:29:20 Unrecognized access from 194.230.129.66:3435 to TCP port 27374

          -11:28:49 Unrecognized access from 217.1.37.243:3245 to TCP port 27374

          -11:23:53 Unrecognized access from 217.1.37.243:3300 to TCP port 27374

          -11:15:21 Unrecognized access from 193.159.66.243:2279 to TCP port 27374

          -11:02:21 Unrecognized access from 63.200.181.27:137 to UDP port 137

          -11:02:20 Unrecognized access from 63.200.181.27:137 to UDP port 137

          -11:02:18 Unrecognized access from 63.200.181.27:137 to UDP port 137

          -11:02:17 Unrecognized access from 63.200.181.27:137 to UDP port 137

          -11:02:15 Unrecognized access from 63.200.181.27:137 to UDP port 137

          -11:02:14 Unrecognized access from 63.200.181.27:137 to UDP port 137

          -11:00:35 Unrecognized access from 193.159.66.243:3672 to TCP port 27374

          -10:56:26 Unrecognized access from 193.159.66.243:3958 to TCP port 27374

          -10:51:55 Unrecognized access from 217.1.37.243:1331 to TCP port 27374

          -10:49:38 Unrecognized access from 62.158.126.184:1891 to TCP port 27374

          Das ist nur ein kleiner Auszug von einem durchschnittlichen Abend

          Gruß,

          donald
        
             bei Antwort benachrichtigen
        
        navigate FUNZEL „Hilfe was heist das!!!!!!“
      
        04.01.2001, 00:00 Optionen
      
          Nichts desto trotz solltest Du mit einem aktuellem Virenkiller mal dein System durchchecken und in der Registry mal nach "subseven" suchen.

          Ciao

          Jörn
        
             bei Antwort benachrichtigen
        
        :-)shark FUNZEL „Hilfe was heist das!!!!!!“
      
        08.01.2001, 00:00 Optionen
      
          Hallo,

          die IP 62.54.208.56 liegt wahrscheinlich hinter dem Server 195.71.251.108 / srv41.rst2.mediaways.net

          ciao :-)shark
        
             bei Antwort benachrichtigen
        
        :-)shark Nachtrag zu: „Hallo, die IP 62.54.208.56 liegt wahrscheinlich hinter dem Server 195.71.251.108...“
      
        09.01.2001, 00:00 Optionen
      
          Hallo,

          fast hätte ich vergessen noch die genaueren Daten zu posten

          Domaininhaber: mediaWays GmbH Internet Services

          Huelshorstweg 30

          D-33415 Verl

          Germany

          Nameserver: demdwu02.mediaways.net

          Nameserver: ns-2.mediaways.net

          Nameserver: ns-3.mediaways.net

          Telefon: +49 0800 622 1701

          Telefax: +49 5241 80 9629

          E-Mail: hostmaster@mediaways.net

          ciao :-)shark

             bei Antwort benachrichtigen