Was oder wer versucht da mit meinen Rechnern zu kommunizieren?
Ist das ein Prog das über Port 1214 geht oder ist das einfach nur eine zufällige Wahl? Kann ich den Port gefahrlos sperren oder gehen da auch andere Protokolle drüber?
Die Komms laufen über verschiedene IPs, weshalb ich denke es könnte ein Prog sein. Kann mir da jemand was dazu sagen?
Tschau Günther
(Anonym) Nachtrag zu: „Inbound über Port 1214“
Ja,daß ist ein anderes Programm (da > 1023).
Schau mal in ne Trohjaner-Port-Auflistung oder besorg dir einfach einen Virenkiller.
Max Dralle (Anonym) „Ja,daß ist ein anderes Programm da 1023 . Schau mal in ne...“
> Ja,daß ist ein anderes Programm (da > 1023)
Laß und doch auch alle teilhaben an deiner weltbewegenden Erkenntnis, das es ein anderes Programm (von welchem Programm überhaupt anders?) sein muß, wenn ein 'inbound' auf einem Port größer 1023 erfolgt!
Umkehrschluß deinerseits müßte dann ja sein, daß wenn ein 'inbound' auf z.B. Port 666 erfolgt, es sich nicht um ein anderes Programm handelt!
> Schau mal in ne Trohjaner-Port-Auflistung
Und was soll ihm das bringen?
Dann weiß er höchstens, das Trojaner XYZ in seiner Defaulteinstellung auf Port 1234 lauscht. Hat er aber Trojaner XYZ und ist dieser auf Port 5678 eingestellt, darf er sich dann auf dich berufen und behaupten er hätte keinen, weil ja dieser Port nicht in der öminösen Liste steht?
> ...oder besorg dir einfach einen Virenkiller.
Den Virenkiller mußt du mir auch mal zeigen, der ein 'inbound' auf Port 1214 etc.pp. beseitigt oder gibt es jetzt Remotevirenscanner die auf entfernten Systemen die Plagegeister entfernen?
Was anderes wäre, wenn der Virenscanner die Verbindung zum Telekommunikationsanschluß kappt, das verhindert in der Tat ein 'inbound' Alarm!!!
(Anonym) Nachtrag zu: „Inbound über Port 1214“
Kreuze mal an:
[ ]Ich weißt was Inbound bedeutet
[ ]Ich weißt was ein Port ist
[ ]Ich weißt was ein TCP Protokoll ist
[ ]Ich weißt was eine IP ist
Anonym (Anonym) „Inbound über Port 1214“
1214 Verbindungen werden von yanc verursacht (yet another napster clone). Läßt sich im Zweifel leicht überprüfen: Einfach die IP mit
einem beliebigen Browser "ansurfen". Wenn man eine übersichtliche
Dateiliste erhält, war es wieder einer.
j.
Pontius Pilatus Anonym „1214 Verbindungen werden von yanc verursacht yet another napster clone . Läßt...“
Nun nimm ihm doch nicht die Illusion eines Angriffs auf seine Büchse,
für etwas muß doch sein Spielzeug, welches solche INBOUNDS meldet, gut sein!
(Anonym) Anonym „1214 Verbindungen werden von yanc verursacht yet another napster clone . Läßt...“
Keine der IPs läßt sich mit dem Browser ansprechen, habs grad ausprobiert. Anpingen wegen Zeitüberschreitung abgebrochen.
Wie kann ich jetzt sicher herausfinden, daß es Überbleibsel sind?
67.160.175.13
172.186.62.166
62.0.84.105
194.209.172.98
195.241.182.204
Tschau
(Anonym) Nachtrag zu: „Keine der IPs läßt sich mit dem Browser ansprechen, habs grad ausprobiert....“
Es sind Überbleibsel!!!
67.160.175.13
gehört zu @Home Network 450 Broadway Redwood CA 94063 US
172.186.62.166
gehört zu AOL (würg,kotz)
62.0.84.105
gehört zu Netvision pop sites
194.209.172.98
gehört zu Schlatter Telematik AG Frauenfeld, Schweiz
195.241.182.204
gehört zu World Online Dialup Network, Niederlande
Alles dynamisch vergebene IP an deren User, die alle P2P Programme die FastTrack(port 1214) nutzen, eingesetzt haben.
Dazu zählen z.B. Morpheus, YANC, KaZa glaube ich auch und noch ein paar mehr von diesen Filesharing und MP3Tausch-Tools.
(Anonym) Nachtrag zu: „Keine der IPs läßt sich mit dem Browser ansprechen, habs grad ausprobiert....“
>Wie kann ich jetzt sicher herausfinden, daß es Überbleibsel sind?
Ist doch überhaupt nicht nötig!
Hast du einen Dienst hinter Port 1214 laufen?
Wenn nein, kann es dir völlig egal sein wer oder was da auf 1214 anfragt, dein Rechner nimm davon keinen Schaden.
(Anonym) Nachtrag zu: „ Wie kann ich jetzt sicher herausfinden, daß es Überbleibsel sind? Ist doch...“
Netstat meldet keinen Dienst (zumindest jetzt nicht) auf Port1214.
Wohl aber auf Port137/138/139 ohne über den Proxy zu gehen.
Welche Dienste umgehen da den Proxy?
Tschau
(Anonym) Nachtrag zu: „Netstat meldet keinen Dienst zumindest jetzt nicht auf Port1214. Wohl aber auf...“
Das sind die NetBios Dienste!!!
Tip dazu:
http://home.pages.at/heaven/sec003.htm
(Anonym) Nachtrag zu: „Inbound über Port 1214“
Wow,wieder mal voll die Checker hier.
An den,der als 2. gepostet hat: von deiner Hilfe hatte er ja jetzt noch weniger als von meiner !
Gut,formulieren wir's mal auf lang und nehmen uns dafür mal mehr Zeit.
Ab Port 1023 befinden sich keine standardisierten Dienste mehr.Dann kann jedes noch so erdenkliche unbekannte Programm laufen.
Bei den anderen Ports ( Soweit dies.
Wozu eine Trojaner-Portliste ? Nun,es hört sich doch stark wieder noch sowas an ... zumindest läßt sich auch von der Wahrscheinlichkeit darauf tippen.Eine Portliste enthält zwar nur die Standard-Ports für den jeweiligen Trojaner,aber vielleicht hat er Glück und diese Information reicht schon aus,weil niemand sich die Mühe gemacht hat und den voreingestellten Port geändert hat !
Ansonsten: um ebenfalls zu sehen,ob er einen Trojaner hat,kann er sich auch einen Virenkiller besorgen.Der wird das Teil schon wahrscheinlich finden.Desweiteren ist ein aktueller Virenkiller nie verkehrt.
So Herr Neunmal-Klug,ich schätze du bist der einzigste der alles auf's kleinste Wort genau erklärt braucht.
Der Frager hat's sicher verstanden ...
(Anonym) Nachtrag zu: „Wow,wieder mal voll die Checker hier. An den,der als 2. gepostet hat: von deiner...“
Du bist schon ein lustiger Wurm, verstanden was da abläuft hast du allerdings nichts!
Ab Port 1023 befinden sich keine standardisierten Dienste mehr.Dann kann jedes noch so erdenkliche unbekannte Programm laufen.
Jedes noch so erdenkliche unbekannte Programm, kann auch über Ports 1023 zu nutzen.
Bei den anderen Ports (
Du weißt anscheinend selber nicht von was du faselst, zeig mir ein destruktives Programm, welchese sich auch nur annähernd an Standards hällt.
Nun,es hört sich doch stark wieder noch sowas an ... zumindest läßt sich auch von der Wahrscheinlichkeit darauf tippen.
Ansonsten: um ebenfalls zu sehen,ob er einen Trojaner hat,kann er sich auch einen Virenkiller besorgen.Der wird das Teil schon wahrscheinlich finden.Desweiteren ist ein aktueller Virenkiller nie verkehrt.
Junge Junge, tust du so blöd oder ist das erblich?
Nochmal extra für dich in Großbuchstaben, "I N B O U N D" Traffic war es, was am Ziel ankam!!!
Ich kenn dein Wahrscheinlichkeitsverständnis zwar nicht (scheint aber extrem überbelastet zu sein), aber ein Trojaner-Server/Virus/Phonehome erzeugt "O U T B O U N D" Traffic.
Eine Empfehlung an dich, kauf dir die TCP/IP References von O'Reily and Associates, das Standardwerk über Netzkommunikation und lerne daraus, damit du dich hier nicht das nächste Mal wieder zur 'Bärbel' machst!
Ben Horne (Anonym) „Inbound über Port 1214“
Wenn du inbound Datenverkehr hast, heißt das nur das etwas von außen auf deinen PC wollte! Im Gegensatz dazu ist outbound eben raus aus deinem PC.
Sicherlich steckt da irgendein Programm hinter, aber nicht eins auf deinem Rechner, es sei denn du hast in deinem Posting hier inbound und outbound verwechselt.
Wie schon weiter unten von jemand anderen beschrieben, ist das mit aller Wahrscheinlichkeit nur ein Erbe, daß du von dem Vorbesitzer deiner IP bekommen hast, weil dieser mit besagtem Napster-Clone unterwegs war und die Verbindung abgebrochen hat, dann wurde dir die IP zugewiesen und du erhältst die Ping's vom Napster-Server bis der gemerkt hat, das sein ursprünglicher Gesprächspartner nicht mehr online ist.
Sperren kannst du den Port, solange du nicht einen Dienst hast, der genau diesen Port in Richtung outbound nutzt, sonst ist es Asche mit dem Dienst! Wenn du keinen solche Dienst bei dir laufen hast, brauchst du den Port nicht extra sperren, weil er dann eh geschlossen ist.
Wenn dich interessiert, was da so möglicherweise alles inbound-mäßig, also von außen her auf den div. Ports reinprasselt könnte, klicke diesen Link:
AppPortList
lies auch mal:
Sinn u. Unsinn
(Anonym) Ben Horne „Wenn du inbound Datenverkehr hast, heißt das nur das etwas von außen auf...“
Danke erstmal, die Seiten werd ich mir jetzt gleich durchlesen.
Könnte doch sein, daß sich ein Prog eine Liste der Rechner erstellt, von denen aus ein z.B. Trojaner sich beim "HomeRechner" zurückgemeldet (OutBound) hat, und dann die entsprechenden Rechner in regelmäßigen (oder unregelmäßigen) Abständen aufsucht um eventuelle neue Daten zu erhalten. Oder einfach nur um zu prüfen wie das Onlineverhalten ist.
Ich könnte doch den Port nur InBound sperren, oder gäbs da Bedenken?
Tschau
Ben Horne (Anonym) „Danke erstmal, die Seiten werd ich mir jetzt gleich durchlesen. Könnte doch...“
Das mit der Liste macht nur dann Sinn, wenn die verseuchten Rechner eine feste IP haben, über 90% der heutigen Internetuser habe diese aber nicht!
>Ich könnte doch den Port nur InBound sperren, oder gäbs da Bedenken?
Nochmals, warum willst du den Port sperren?
Wenn bei dir kein Programm installiert ist (verifizierbar z.B. mit 'netstat -an'), welches zwingend den Port 1214 nutzt ist der Port schon zugesperrt, das ist nun mal so, daß ändern auch keine weiteren Tools die den Port sperren könnten. Die machen ihn dadurch nicht mehr "zu" als er schon durchs Betriebsystem zugemacht worden ist.
OPO (Anonym) Ben Horne „Das mit der Liste macht nur dann Sinn, wenn die verseuchten Rechner eine feste...“
Wenn aber ein Port zu ist weil kein Programm ihn braucht, warum melden dann Firewalls, das sie Verbindungen zu den Port geblockt haben, also muß er doch offen sein oder?
(Anonym) OPO (Anonym) „Wenn aber ein Port zu ist weil kein Programm ihn braucht, warum melden dann...“
Nö, eine Firewall ist dumm, die kann erst einmal nicht wissen ob ein Port zu oder offen ist bzw. sie prüft es i.d.R. nicht, sondern handelt eigenmächtig wie vom Hersteller vorgegeben oder von Enduser eingestellt und läßt oder läßt nichts an Port ???? durch, völlig unabhängig ob der offen oder zu ist!
Ist er von Haus aus zu, wird eine Anfrage abgewiesen.
Ist eine FW davor und blockt diesen Port, wird eben schon an der FW abgewiesen.
(Anonym) Nachtrag zu: „Inbound über Port 1214“
In den ganz intelligenten 2. Poster mal wieder:
Die meisten Progs halten sich an > 1023 - selbst Trojaner.
Und das das ein DAU umstellt ist doch sehr unwahrscheinlich !
Ansonsten könnte mit Inbound genauso das Checken des Rechners auf einen Trojaner (P1214) sein.Wenn dort einer drauf ist,dann wird er Outbound-Traffic erzeugen !
Kann man mal sehen,wieviel der Kerl hier davon Ahnung hat.
Dem muß man ja alles vorkauen.
Tut mir leid,wenn du's nicht zum Dipl.-Informatiker geschafft hast mit 7000 DM Netto im Monat ...
(Anonym) Nachtrag zu: „In den ganz intelligenten 2. Poster mal wieder: Die meisten Progs halten sich an...“
Hallo Bärbel!
Du stellst den IT-Kräftemangel hier im Lande nun endlich auch mal beispielhaft und öffentlich unter Beweis!
Die meisten Progs halten sich an >1023 - selbst Trojaner.
Du scheinst anscheinend nicht viele zu kennen, ein paar Beispiele, ich will dich ja nicht dumm aussehen lassen, falls du dein Wissen mal anderen Ortes anbringen mußt:
traitor21 - Port 21 (voreingestellt)
thief2 - Port 25 u. 5690 (voreingestellt)
SAMB - Port 21 (voreingestellt)
Prosaik0 - Port 666 (voreingestellt)
Master Paradise - Port 31 (voreingestellt)
jammerkillahV - Port 121 (voreingestellt)
HackersParadise - Port 451 (voreingestellt)
Phase Zero - Port 555 (voreingestellt)
AttackFTP - Port 666 (voreingestellt)
Silencer - Port 1001 (voreingestellt)
Silencer2 - Port 1001 (voreingestellt)
WebEx - Port 1001 (voreingestellt)
Doly Trojan 1.30 (Subm.Cronco) - Port 1010 (voreingestellt)
Doly Trojan 1.1+1.2 - Port 1011 (voreingestellt)
CafINI - Port 420 (voreingestellt)
Canarson - Port 300 (voreingestellt)
u.v.a.
Tut mir leid,wenn du's nicht zum Dipl.-Informatiker geschafft hast mit 7000 DM Netto im Monat ...
Danke dafür, nun weiß ich wenigstens, daß ich mit meinem Stundensatz seit Jahren nicht zu hoch liege!
Ben Horne (Anonym) „Hallo Bärbel! Du stellst den IT-Kräftemangel hier im Lande nun endlich auch...“
>...nun weiß ich wenigstens, daß ich mit meinem Stundensatz seit
>Jahren nicht zu hoch liege!
Diese Skrupel, gegenüber den Festangestellten übervorteilt zu werden, mußt du als Freiberufler von vorne herein ablegen, sonst macht der Job keinen Spaß!
Den Trojanern wäre nöch hinzuzufügen, daß man im Trojan-Construction- Kit, sogar den Remote-Port und den Data-Port frei wählen,
also auch in den well-known(0-1023), registered(1024-49151) und dynamic(49152-65535) Bereich legen kann.
Wer Trojaner unters Volk bringt, wäre doch schön blöd diese auf Standardports laufen zu lassen, so das jeder Hansel der einen Scanner bedienen kann, diese potentiellen Opfer auch findet.
Max Dralle (Anonym) „In den ganz intelligenten 2. Poster mal wieder: Die meisten Progs halten sich an...“
Anonym_ (Anonym) „In den ganz intelligenten 2. Poster mal wieder: Die meisten Progs halten sich an...“
>zum Dipl.-Informatiker geschafft hast mit 7000 DM Netto im Monat
Jetzt verstehe ich auch warum die ganzen Dipl.Informatiker in den Projekten in denen ich tätig war, immer so neidisch auf uns Freiberufler waren. Das es aber in Deutschland so schlecht mit der Gehaltslage der IT-Angestellten ausschaut, konnte man ja nicht ahnen!
(Anonym) Anonym_ „ zum Dipl.-Informatiker geschafft hast mit 7000 DM Netto im Monat Jetzt verstehe...“
Du glaubst doch wohl nicht, daß eine Firma jemand fremdem mehr bezahlt als den eigenen Leuten!
Anonym_ (Anonym) „Du glaubst doch wohl nicht, daß eine Firma jemand fremdem mehr bezahlt als den...“
Das habe ich auch nicht behauptet, nur ich weiß ja was ich und viele meiner Mitstreiter verlangen und auch bekommen.
Beispiel: siehe den Auszug aus den öffentlichen Profilen hier!
http://www.gulp.de/profil/asg.html
http://www.gulp.de/profil/Sallach.html
http://www.gulp.de/profil/mueller.html
http://www.gulp.de/profil/tktec.html
http://www.gulp.de/profil/ahk.html
http://www.gulp.de/profil/moser.html
Rechnen sollte man jetzt eigentlich können!
Wenn man nun die Stundensätze sieht, liegen die im Bereich von 60 - 100 EURO, nehmen wir die Mitte von 80 EURO an:
80 EURO entsprechen ca. 156 DM
156 x 8 Stunden = 1248 DM
1248 x 20 Arbeitstage/Monat = 24960 DM
Dabei bleibt sogar noch was für das Unternehmen übrig, denn übliche Softwarehäuser nehmen z.B. für einen Tag Programmierleistung ca. 1500 DM pro Mann/Frau. Wenn man dann in ein Projekt eines Unternehmens kommt, wo dieser Dipl. Informatiker aus dem Thread hier tätig ist, dann drängt sich doch der Sachverhalt aus dem ersten Beitrag schon auf!
(Anonym) Nachtrag zu: „Inbound über Port 1214“
Also ich hab das auch! Ich benutz AtGuard und bekkomm immer, wenn ich was mit Morpheus mache (Anmelden, Suchen, etc...) Ne Verbindung mit diesem Port! Ich hab diesen Port guten gewissens freigegeben für alle IPs! Du wirst sehen, ohne Morpheus, wird dieser Port nicht mehr benutzt...
Greetz, Mülli
