HI!
Ich habe ein echt ernsthaftes Problem! Seit kurzem werde ich von Port-Scans geplagt. Die IP-Adresse des Angreifers ändert sich zwar, habe aber aufgrund einer tracert-Abfrage Grund zur Annahme, dass es sich um eine Person/eine Gruppe von McBone.net handelt. Ist dies vielleicht irgendeine (Cr-)Hacker-Gruppe?
Ich habe auch Who-Is abfragen gemacht(mit Sygate-Firewall-Pro), mit folgendem Ergebnis:
///////////// 1. Port-Scan:
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html
inetnum: 80.184.0.0 - 80.184.255.255
netname: MOBILCOM-CITYLINE-NET
descr: freenet Cityline GmbH
Willstaetterstrasse 13
40549 Duesseldorf
Germany
country: DE
admin-c: FCL-RIPE
tech-c: NMC-RIPE
status: ASSIGNED PA
remarks: ****************************************************
remarks: * please report spam/abuse mailto:abuse@pppool.de *
remarks: * reports to other addresses will not be processed *
remarks: ****************************************************
mnt-by: ROKA-MNT
changed: abuse@pppool.de 20031216
source: RIPE
route: 80.184.0.0/16
descr: freenet Cityline GmbH
Willstaetterstrasse 13
40549 Duesseldorf
Germany
origin: AS5430
remarks: ****************************************************
remarks: * please report spam/abuse mailto:abuse@pppool.de *
remarks: * reports to other addresses will not be processed *
remarks: ****************************************************
mnt-by: ROKA-MNT
changed: abuse@pppool.de 20020514
source: RIPE
role: freenet Cityline Network Management
address: freenet Cityline GmbH
address: Hamburger Chaussee 2-4
address: 24114 Kiel
address: Germany
e-mail: tech-c@mcbone.net
admin-c: FCL-RIPE
tech-c: JR1741-RIPE
tech-c: KRD2
tech-c: SH-RIPE
tech-c: SW817-RIPE
nic-hdl: FCL-RIPE
remarks: ****************************************************
remarks: * please report spam/abuse mailto:abuse@pppool.de *
remarks: * reports to other addresses will not be processed *
remarks: ****************************************************
mnt-by: ROKA-MNT
changed: abuse@pppool.de 20040408
source: RIPE
role: Network Management
address: freenet Cityline GmbH
address: Network Managment Center
address: Juri Gagarin Ring 88
address: 99084 Erfurt
address: Germany
phone: +49 361 594 2961
fax-no: +49 361 594 2266
e-mail: nmc@freenet-ag.de
admin-c: NMC-RIPE
tech-c: FN507-RIPE
tech-c: RH6905-RIPE
tech-c: SR902-RIPE
tech-c: JP1259-RIPE
nic-hdl: NMC-RIPE
remarks: ****************************************************
remarks: * please report spam/abuse mailto:abuse@pppool.de *
remarks: * reports to other addresses will not be processed *
remarks: ****************************************************
mnt-by: ROKA-MNT
changed: tech-c@mcbone.net 20040329
source: RIPE
/////////// 2. Port-Scan:
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html
inetnum: 80.83.40.0 - 80.83.43.255
netname: Video2000-MAIN-NET
descr: Video2000 SA
descr: Neuchatel
country: CH
admin-c: FB10639-RIPE
tech-c: WM5132-RIPE
status: ASSIGNED PA
notify: lir-mnt@cablecom.ch
mnt-by: VIDEO2000-MNT
mnt-lower: VIDEO2000-MNT
changed: barny@net2000.ch 20020218
source: RIPE
route: 80.83.32.0/19
descr: Video2000
descr: Neuchatel CH
origin: AS8404
notify: lir-mnt@cablecom.ch
mnt-by: VIDEO2000-MNT
changed: felix.giger@cablecom.ch 20020611
source: RIPE
person: Fabrice Barny
address: Video 2000 SA
address: Av. de la Gare 15
address: CH-2000 Neuchatel
phone: +41 32 729 9878
e-mail: info@net2000.ch
nic-hdl: FB10639-RIPE
notify: info@net2000.ch
mnt-by: AS8404-MNT
changed: ludwig.molnar@cablecom.ch 20010206
changed: wilson.mehringer@cablecom.ch 20030626
source: RIPE
person: Wilson Mehringer
address: Cablecom GmbH
address: Foerrlibuckstrasse 181
address: CH-8005 Zurich
address: Switzerland
phone: +41 1 277 90 72
remarks: ***************************************************
remarks: For Spam/Abuse, please contact abuse@cablecom.ch
remarks: E-mails to the persons below will be IGNORED!!
remarks: ***************************************************
e-mail: wilson.mehringer@cablecom.ch
nic-hdl: WM5132-RIPE
notify: wilson.mehringer@cablecom.ch
mnt-by: AS8404-MNT
changed: wilson.mehringer@cablecom.ch 20020808
changed: wilson.mehringer@cablecom.ch 20021107
changed: wilson.mehringer@cablecom.ch 20040108
source: RIPE
Ach so und nach dem letzten Portscan befindet sich auf einmal eine Datei namens avserve2.exe in HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\ (also dem Autostart-Service)-natürlich gleich gelöscht!!- und im Windows-Stammverzeichnis.
Außerdem befindet sich im system32-Ordner eine Datei namens 1848_up.exe, die mir auch verdächtig vorkam! Sie nutzte als Destination-Port 445(also den microsoft-ds Dienst!?!?) und hat scheinbar einen Portscan durchgeführt.
Handelt es sich hierbei vielleicht um Trojaner?????? Mein Antivirenprogramm AntiVir(ich weiß ziemlich Noob) meldet nix!
Ich nutze SygateFirewall Pro 5.0, habe keinerlei Windows-XP Sicherheitsupdates und bin nicht bereit von Microsoft welche herunterzuladen!!!!
Ich vermute auch, dass die WhoIs-Informationen nur Fake sind!!!!
Die IP-Adressen dieser Port-Scans waren:
80.83.41.95
80.184.136.85
und 213.35.238.156
(von unten nach oben)
Ich hoffe ihr könnt mir in irgendeiner Weise mir weiterhelfen!!!!(Vielleicht auch mit irgendwelchen Sicherheitstipps - z.B. kann man Win-Xp-Updates irgenwo, aber nicht von Microsoft herunterladen??)
Vielen Dank im Voraus!!!!!
GarfTermy
