Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Port-Scans

BloodyOsiris / 8 Antworten / Baumansicht Nickles

HI!

Ich habe ein echt ernsthaftes Problem! Seit kurzem werde ich von Port-Scans geplagt. Die IP-Adresse des Angreifers ändert sich zwar, habe aber aufgrund einer tracert-Abfrage Grund zur Annahme, dass es sich um eine Person/eine Gruppe von McBone.net handelt. Ist dies vielleicht irgendeine (Cr-)Hacker-Gruppe?
Ich habe auch Who-Is abfragen gemacht(mit Sygate-Firewall-Pro), mit folgendem Ergebnis:

///////////// 1. Port-Scan:

% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 80.184.0.0 - 80.184.255.255
netname: MOBILCOM-CITYLINE-NET
descr: freenet Cityline GmbH
Willstaetterstrasse 13
40549 Duesseldorf
Germany
country: DE
admin-c: FCL-RIPE
tech-c: NMC-RIPE
status: ASSIGNED PA
remarks: ****************************************************
remarks: * please report spam/abuse mailto:abuse@pppool.de *
remarks: * reports to other addresses will not be processed *
remarks: ****************************************************
mnt-by: ROKA-MNT
changed: abuse@pppool.de 20031216
source: RIPE

route: 80.184.0.0/16
descr: freenet Cityline GmbH
Willstaetterstrasse 13
40549 Duesseldorf
Germany
origin: AS5430
remarks: ****************************************************
remarks: * please report spam/abuse mailto:abuse@pppool.de *
remarks: * reports to other addresses will not be processed *
remarks: ****************************************************
mnt-by: ROKA-MNT
changed: abuse@pppool.de 20020514
source: RIPE

role: freenet Cityline Network Management
address: freenet Cityline GmbH
address: Hamburger Chaussee 2-4
address: 24114 Kiel
address: Germany
e-mail: tech-c@mcbone.net
admin-c: FCL-RIPE
tech-c: JR1741-RIPE
tech-c: KRD2
tech-c: SH-RIPE
tech-c: SW817-RIPE
nic-hdl: FCL-RIPE
remarks: ****************************************************
remarks: * please report spam/abuse mailto:abuse@pppool.de *
remarks: * reports to other addresses will not be processed *
remarks: ****************************************************
mnt-by: ROKA-MNT
changed: abuse@pppool.de 20040408
source: RIPE

role: Network Management
address: freenet Cityline GmbH
address: Network Managment Center
address: Juri Gagarin Ring 88
address: 99084 Erfurt
address: Germany
phone: +49 361 594 2961
fax-no: +49 361 594 2266
e-mail: nmc@freenet-ag.de
admin-c: NMC-RIPE
tech-c: FN507-RIPE
tech-c: RH6905-RIPE
tech-c: SR902-RIPE
tech-c: JP1259-RIPE
nic-hdl: NMC-RIPE
remarks: ****************************************************
remarks: * please report spam/abuse mailto:abuse@pppool.de *
remarks: * reports to other addresses will not be processed *
remarks: ****************************************************
mnt-by: ROKA-MNT
changed: tech-c@mcbone.net 20040329
source: RIPE

/////////// 2. Port-Scan:

% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 80.83.40.0 - 80.83.43.255
netname: Video2000-MAIN-NET
descr: Video2000 SA
descr: Neuchatel
country: CH
admin-c: FB10639-RIPE
tech-c: WM5132-RIPE
status: ASSIGNED PA
notify: lir-mnt@cablecom.ch
mnt-by: VIDEO2000-MNT
mnt-lower: VIDEO2000-MNT
changed: barny@net2000.ch 20020218
source: RIPE

route: 80.83.32.0/19
descr: Video2000
descr: Neuchatel CH
origin: AS8404
notify: lir-mnt@cablecom.ch
mnt-by: VIDEO2000-MNT
changed: felix.giger@cablecom.ch 20020611
source: RIPE

person: Fabrice Barny
address: Video 2000 SA
address: Av. de la Gare 15
address: CH-2000 Neuchatel
phone: +41 32 729 9878
e-mail: info@net2000.ch
nic-hdl: FB10639-RIPE
notify: info@net2000.ch
mnt-by: AS8404-MNT
changed: ludwig.molnar@cablecom.ch 20010206
changed: wilson.mehringer@cablecom.ch 20030626
source: RIPE

person: Wilson Mehringer
address: Cablecom GmbH
address: Foerrlibuckstrasse 181
address: CH-8005 Zurich
address: Switzerland
phone: +41 1 277 90 72
remarks: ***************************************************
remarks: For Spam/Abuse, please contact abuse@cablecom.ch
remarks: E-mails to the persons below will be IGNORED!!
remarks: ***************************************************
e-mail: wilson.mehringer@cablecom.ch
nic-hdl: WM5132-RIPE
notify: wilson.mehringer@cablecom.ch
mnt-by: AS8404-MNT
changed: wilson.mehringer@cablecom.ch 20020808
changed: wilson.mehringer@cablecom.ch 20021107
changed: wilson.mehringer@cablecom.ch 20040108
source: RIPE

Ach so und nach dem letzten Portscan befindet sich auf einmal eine Datei namens avserve2.exe in HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\ (also dem Autostart-Service)-natürlich gleich gelöscht!!- und im Windows-Stammverzeichnis.
Außerdem befindet sich im system32-Ordner eine Datei namens 1848_up.exe, die mir auch verdächtig vorkam! Sie nutzte als Destination-Port 445(also den microsoft-ds Dienst!?!?) und hat scheinbar einen Portscan durchgeführt.
Handelt es sich hierbei vielleicht um Trojaner?????? Mein Antivirenprogramm AntiVir(ich weiß ziemlich Noob) meldet nix!

Ich nutze SygateFirewall Pro 5.0, habe keinerlei Windows-XP Sicherheitsupdates und bin nicht bereit von Microsoft welche herunterzuladen!!!!

Ich vermute auch, dass die WhoIs-Informationen nur Fake sind!!!!

Die IP-Adressen dieser Port-Scans waren:

80.83.41.95
80.184.136.85
und 213.35.238.156
(von unten nach oben)

Ich hoffe ihr könnt mir in irgendeiner Weise mir weiterhelfen!!!!(Vielleicht auch mit irgendwelchen Sicherheitstipps - z.B. kann man Win-Xp-Updates irgenwo, aber nicht von Microsoft herunterladen??)
Vielen Dank im Voraus!!!!!

bei Antwort benachrichtigen
GarfTermy BloodyOsiris „Port-Scans“
Optionen

"...Ich habe ein echt ernsthaftes Problem! Seit kurzem werde ich von Port-Scans geplagt..."

du hast gar kein problem. portscans sind nichts böses.

"...habe keinerlei Windows-XP Sicherheitsupdates und bin nicht bereit von Microsoft welche herunterzuladen!!!! ..."

sorry - wie kann man nur so blauäugig sein? du trittst dir würmer ein und merkst es nicht mal...

"...Ich hoffe ihr könnt mir in irgendeiner Weise mir weiterhelfen!!!!(Vielleicht auch mit irgendwelchen Sicherheitstipps - z.B. kann man Win-Xp-Updates irgenwo, aber nicht von Microsoft herunterladen??)..."

warum nicht von ms? meinst du, das andere quellen andere patche haben? ...oder hast du eine raubkopie? ...kopfschüttel.
aber - was solls - bei winhelpline.de kannst du dir die gesammelten patche am stück saugen.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
xafford BloodyOsiris „Port-Scans“
Optionen

Herzlichen Glückwunsch zu deiner Firewall Sygate, hoffentlich ist die Bedienoberfläche wenigstens schön, genutzt hat sie nämlich nicht, Du hast dir den Wurm Sasser eingefangen wenn die Dateien tatsächlich auf deinem Rechner vorhanden waren. Ich weiß ja nicht, wie Du die Firewall eingestellt hast, aber so wie Du sie eingestellt hast kannst Du sie auch gleich deinstallieren, da sich dich zwar mit Meldungen über "Portscans" verrückt macht, deinen Port 445 aber sperrangelweit offen gelassen hat und Dank deiner Update-Verweigerung infizierst Du gerade andere Rechner im Internet.
Gehe auf http://vil.nai.com/vil/stinger/ und lade Dir das Programm herunter um den Wurm zu entfernen, tue anschließend Dir und dem Rest des Internet einen Gefallen und gehe http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx hier rauf und installier Dir den Patch und bei der Gelegenheit auch gleich alle SPs und Rollups, die Dir sonst noch fehlen.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
digixp BloodyOsiris „Port-Scans“
Optionen

Computerbild...

HILFEEEEEEEEEEEEEEEEEEEEEE (schnell wech lauf)


welcher Depp(sorry) liest so ein Scheiss???

bei Antwort benachrichtigen
fnmueller1 BloodyOsiris „Port-Scans“
Optionen

also win updates fuer deine vielleicht erstohlende version gibts glaube ich bei wintotal.de .
Allerdings ist deine einstellung (damit meine ich auch die sw technische) einfach scheisse und ueber portscans solltest du dich auch nicht aufregen , solange ein amen in der kirche noch was normales fuer dich ist.
Kauf dir lieber ein gutes Buch ueber nw technik oder so und lies das mal. Ich hoffe du hast keine freunde, die du in computerrelevanten sachen beraetst.

Informier dich mal richtig - auch mit nem guten Buch. Das ist mein ehrlicher, netter und nicht sarkastischer Rat an dich, bevor wieder jmd sagt das wir hier nur auf armen kleinen daus rumhacken!
Ich mein es ernst :-))

bei Antwort benachrichtigen
aldixx BloodyOsiris „Port-Scans“
Optionen

Es ist schon verwunderlich welch eine STASI Kultur auf diesem Board herrscht!
Wenn Jemand nicht zu Microsoft auf den Server will oder sein Windows mit einer Kopie
installiert, wird er pauschal als Raubkopierer hingestellt.
Miene Lebenserfahrung sagt mir: "Die am lautesten schreien, haben den meisten
Dreck am Stecken."


mnsfg aldixx

"Wer frei von Sünde ist werfe den ersten Stein"

make my day
bei Antwort benachrichtigen
xafford aldixx „Es ist schon verwunderlich welch eine STASI Kultur auf diesem Board herrscht!...“
Optionen

Wie würdest Du über jemanden denken, der Ärtzen mißtraut und deswegen monatelang mit einer hochansteckenden Krankheit durch die Gegend rennt und hunderte von Leuten ansteckt? Deine Liberalität in allen Ehren, aber es gibt Leute, die solchen Mist ausbaden dürfen. Ich kann Dir gerne ein paar Logfiles von Servern zukommen lassen die ich betreue, oder Du kannst mir einfach glauben, daß solche "ich-patche-nie" Egomanen teilweise 30% der Leitungsbandbreite mit ihren Wurmschleudern aufbrauchen. Das ist nicht nur ärgerlich, es kostet auch massig Zeit, Geld und Nerven und ist zudem unnötig. Vor Allem ist es schizophren. Updates holen Sie sich nicht, weil sie MS mißtrauen, die Software setzen sie aber ein. Wo ist da die Logik?
Im übrigen ist dein Vergleich mit Stasikultur eine ziemliche Beleidigung.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
fnmueller1 BloodyOsiris „Port-Scans“
Optionen

also um mich mal ein bisschen zu verteidigen: ich sagte ausdruecklich vielleicht
ausserdem zu garf: ich finds auch nicht immer gut was er sagt, aber er hat auch oft recht. Beides habe ich ihm gesagt und ich finde er hat beidesmal ganz passabel drauf reagiert

bei Antwort benachrichtigen
GarfTermy fnmueller1 „also um mich mal ein bisschen zu verteidigen: ich sagte ausdruecklich vielleicht...“
Optionen

...denn der ton macht die musik und für gute argumente bin ich jederzeit bereit konstruktiv zu diskutieren.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen