Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Hilfe was heist das!!!!!!

FUNZEL / 6 Antworten / Baumansicht Nickles

Eingesundes neues wünsche ich.

Ich benutze den Norton-Firwall und in letzter zeit passiert volgendes.

Der FW zeigt mir dieses Protokoll an :

Regel "Default Block SubSeven 2.1/2.2 Trojan" blockierte (62.54.208.15,27374). Details:
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (62.54.208.15,27374)
Remote-Adresse, Dienst ist (62.54.208.56,1101)
Prozeßname ist "N/A"

Ich habe jetzt mal mit Tracert mir die ganze sache angeschaut und es kam dies heraus.

C:\\>tracert 62.54.208.56

Route-Verfolgung zu rst2-3e36d038.pool.mediaWays.net [62.54.208.56]
über maximal 30 Abschnitte:

1 * * * Zeitüberschreitung der Anforderung.
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.
6 * * * Zeitüberschreitung der Anforderung.
7 * * * Zeitüberschreitung der Anforderung.
8 * * * Zeitüberschreitung der Anforderung.
9 * * * Zeitüberschreitung der Anforderung.
10 * * * Zeitüberschreitung der Anforderung.
11 * * * Zeitüberschreitung der Anforderung.
12 * * * Zeitüberschreitung der Anforderung.
13 * * * Zeitüberschreitung der Anforderung.
14 * * * Zeitüberschreitung der Anforderung.
15 * Ziel-Host nicht erreichbar.

Auch ein direktes aufrufen von 62.54.208.56 brachte immer " vom Server abgewiesen "

Ist das ganze hier ein Gag oder etwas ernsthaftes.
Diese 62.54...... taucht sehr oft bei meinem FW auf und ich wollte nun wissen was los ist.

Über eine Antwort würde ich mich freuen.

Dirk


bei Antwort benachrichtigen
FreddyK. FUNZEL „Hilfe was heist das!!!!!!“
Optionen

Da sucht ein "Depp"/script-Kiddie, der/das über einen Call-by-Call-
Provider,oder dessen Proxy-Server online ist, einfach nur nach
"offenen" Rechnern, auf denen der angegebene Trojaner installiert ist.
Deine Wall blockiert das. Lehne Dich zurück, und freue Dich, daß Deine Wall "dichthält".

Gruß FreddyK.

Dieser Beitrag wurde unter Debian GNU/Linux 7.1 Wheezy verbrochen. https://de.wikipedia.org/wiki/Vorratsdatenspeicherung
bei Antwort benachrichtigen
FUNZEL FreddyK. „Da sucht ein Depp /script-Kiddie, der/das über einen Call-by-Call-...“
Optionen

Gutem Morgen.

Danke für die Antwort.
Nun dann bin ich ja beruhigt.

Gruß Dirk

bei Antwort benachrichtigen
donaldtownsend FUNZEL „Gutem Morgen. Danke für die Antwort. Nun dann bin ich ja beruhigt. Gruß Dirk “
Optionen

Hier als Ergänzung ein Auszug aus dem Log meines Routers, damit man mal einen Eindruck bekommen, was an einem Abend so an Scans, bzw. Pings an meiner jeweiligen IP ankommt. Die Zeit vorne ist rückgerechnet von morgens 8:15.
Interessant ist, wie oft einzelne "Hacker" ihre Versuche wiederholen. 27374 ist der Standartport, auf dem sub_seven antwortet. 1243 steht fürbackdoor_g/sub_seven/sub_seven_apocalypse. Man sieht, es ist reges Scannen, bzw. Pingen im Gange. Die meisten der Scannenden kommen aus dem Netz von T-online (auch t-dialin.net)und hoffen, dass irgendwer einen Trojaner für sie auf den Zielrechner geschleußt hat, der nun eine Verbindung eröffnet, die nutzbar ist. Das Scannen von Port 5881 auf UDP Port 5882 kommt mehrfach vor, obwohl es meines Wissens kein bekannter Trojaner-Port ist. Erfahrenere Hacker ändern die Portnummer, die der Trojaner im System des Angegriffenen öffnet. Die IPs des Scannenden sind verschieden. Aber ich vermute, es ist eine Person, die sich zwischendurch neu eingewählt hat. Die Person, die von der IP 63.200.181.27 aus scannt, nutzt einen DSL Zugang und sucht nach offenen Netbios-Ports, über die man sich besonders leicht einklinken kann. Beim Durchschnittsbenutzer (sollte er lange genug online sein) eine Riesengefahr, da es oft standartmäßig mitinstalliert wird.

-13:30:32 Unrecognized access from 62.224.43.19:5881 to UDP port 5882
-13:25:14 Unrecognized access from 62.225.205.21:5881 to UDP port 5882
-13:03:41 Unrecognized access from 62.155.248.10:2865 to TCP port 27374
-12:45:08 Unrecognized access from 213.6.14.93:2967 to TCP port 1243
-12:45:05 Unrecognized access from 213.6.14.93:2967 to TCP port 1243
-12:41:48 Unrecognized access from 62.224.109.113:4487 to TCP port 27374
-12:41:45 Unrecognized access from 62.224.109.113:4487 to TCP port 27374
-12:37:05 Unrecognized access from 217.0.21.97:4326 to TCP port 27374
-12:37:02 Unrecognized access from 217.0.21.97:4326 to TCP port 27374
-12:34:43 Unrecognized access from 217.0.60.198:5881 to UDP port 5882
-12:29:25 Unrecognized access from 194.230.129.66:3435 to TCP port 27374
-12:29:20 Unrecognized access from 194.230.129.66:3435 to TCP port 27374
-11:28:49 Unrecognized access from 217.1.37.243:3245 to TCP port 27374
-11:23:53 Unrecognized access from 217.1.37.243:3300 to TCP port 27374
-11:15:21 Unrecognized access from 193.159.66.243:2279 to TCP port 27374
-11:02:21 Unrecognized access from 63.200.181.27:137 to UDP port 137
-11:02:20 Unrecognized access from 63.200.181.27:137 to UDP port 137
-11:02:18 Unrecognized access from 63.200.181.27:137 to UDP port 137
-11:02:17 Unrecognized access from 63.200.181.27:137 to UDP port 137
-11:02:15 Unrecognized access from 63.200.181.27:137 to UDP port 137
-11:02:14 Unrecognized access from 63.200.181.27:137 to UDP port 137
-11:00:35 Unrecognized access from 193.159.66.243:3672 to TCP port 27374
-10:56:26 Unrecognized access from 193.159.66.243:3958 to TCP port 27374
-10:51:55 Unrecognized access from 217.1.37.243:1331 to TCP port 27374
-10:49:38 Unrecognized access from 62.158.126.184:1891 to TCP port 27374


Das ist nur ein kleiner Auszug von einem durchschnittlichen Abend

Gruß,

donald

bei Antwort benachrichtigen
navigate FUNZEL „Hilfe was heist das!!!!!!“
Optionen

Nichts desto trotz solltest Du mit einem aktuellem Virenkiller mal dein System durchchecken und in der Registry mal nach "subseven" suchen.

Ciao

Jörn

bei Antwort benachrichtigen
:-)shark FUNZEL „Hilfe was heist das!!!!!!“
Optionen

Hallo,

die IP 62.54.208.56 liegt wahrscheinlich hinter dem Server 195.71.251.108 / srv41.rst2.mediaways.net

ciao :-)shark

bei Antwort benachrichtigen
:-)shark Nachtrag zu: „Hallo, die IP 62.54.208.56 liegt wahrscheinlich hinter dem Server 195.71.251.108...“
Optionen

Hallo,

fast hätte ich vergessen noch die genaueren Daten zu posten


Domaininhaber: mediaWays GmbH Internet Services
Huelshorstweg 30
D-33415 Verl
Germany
Nameserver: demdwu02.mediaways.net
Nameserver: ns-2.mediaways.net
Nameserver: ns-3.mediaways.net

Telefon: +49 0800 622 1701
Telefax: +49 5241 80 9629
E-Mail: hostmaster@mediaways.net


ciao :-)shark

bei Antwort benachrichtigen