Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Ständig ''angezapft'' ???

@ndy / 16 Antworten / Baumansicht Nickles

Hab jetzt ohne Erfolg viele Postings gelesen und geb entnervt auf - vermutl. blick ich nicht mehr durch, denn in meinem Protokoll vom Router stehen (für mich) unerklärliche Meldungen.


Ich benutze einen Digitus Router DN10001 (HPR4C0) mit aktueller Firmware, am LAN Port 1 steckt eine SWITCH, daran 2 WIN 98 PCs, 1 WIN 95 und ein WIN 2000 PC. Die WAN Anbindung erfolgt über ein Siemens DSL Modem. Auf den PCs ist nur TCP/IP installiert, eine Kiste läuft lange (Tag / Nacht) zum e-Mail abholen und als KaZaa Rechner + FritzFax, FritzFon + FritzDATA Station. Am Router ist die Firewall aktiviert und nur die eingetragenen MAC Adressen bekommen Zugriff zum Router, zusätzlich ist Norton Antivirus 2003 ist aktiv (allein schon wegen hässlichen Anhängen mancher e-Mails).


Am WIN 2000 Rechner hatte ich einen Tag lang eine WEBCAM mit dem Logitechprogramm am laufen, auf einem WIN 98 Rechner lief 12 h eine WEBCAM mit einem YAHOO Treiber, vom WIN 2000 PC aus habe ich mal 6 h lang per SHOUTCAST eine kleine WEBRADIO Station ausprobiert, hatte aber am nächsten Tag 6 oder 7 Viren (Würmer), die von Norton AV erkannt und entfernt wurden - heute habe ich ein auf dem WIN2000 PC aktives mIRC Programm entdeckt, was ständig Verbindungen aufbauen wollte (und dies immer noch probiert, während es sich mit einem anderen Programm unsichtbar macht - Prozess ''Expl32.exe'')


Mein Vorgängerrouter SMC 7004 VBR ist ständig abgestürzt (2 - 4 x am Tag) und brachte immer wieder SMURF und SYN Flood to Host Warnungen per e-Mail.


Der neue Router stürzt jetzt nicht mehr ab, aber heute morgen war meine Homepage für eine Stunde wegen zu hohem Traffic nicht erreichbar (Geocities Billig-Spielzeug).


Hier die Meldungen, die ich nicht kapiere:


Mittwoch, 30. April 2003 02:56:06 Unrecognized access from 217.153.125.67:1056 to UDP port 137
Mittwoch, 30. April 2003 02:56:06 C-800-b sent a job to printer
Mittwoch, 30. April 2003 02:56:07 job was done
Mittwoch, 30. April 2003 02:56:46 Unrecognized access from 219.130.14.136:1031 to UDP port 137
Mittwoch, 30. April 2003 03:00:23 Unrecognized access from 80.5.154.64:1026 to UDP port 137
Mittwoch, 30. April 2003 03:00:24 Unrecognized access from 65.92.43.98:65302 to UDP port 137
Mittwoch, 30. April 2003 03:00:48 Unrecognized access from 200.148.13.84:1030 to UDP port 137
*LOG: cannot connect 0.0.0.0:25 (-11)
Mittwoch, 30. April 2003 03:06:39 Unrecognized access from 202.28.46.8:57021 to TCP port 443
*LOG: cannot connect 0.0.0.0:25 (-11)


t-online vergibt doch dynamische IPs, d.h. bei jeder Anwahl darf das Hackerchen erneut nach meinem mp3 und VCD Archiv suchen oder ? - Ich trenne mich eigentlich regelmäßig vom Netz, um die IDE Platten nicht über die Maßen zu strapazieren, trotzdem bin ich wohl städige Zielscheibe.


Was kann ich dagegen unternehmen ? Oder habe ich irgendwas falsch eingestellt ? Laut Symantec Security Check (http://security.symantec.com/ssc/home.asp?j=1&langid=ge&venid=sym&plfid=20&pkj=VJPRPJUIYCZRWEJGSSK) sind meine Rechner von aussen sicher, nur am Browser meckert er wg. ActiveX und JAVA rum.

Ich habe viel Geld für Alkohol, Frauen und Autos ausgegeben... den Rest habe ich einfach verprasst. (George Best)
bei Antwort benachrichtigen
hasw @ndy „Ständig ''angezapft'' ???“
Optionen

Das sind nur versuchte Zugriffe auf die Windows-Ports (137,443). Das ist voellig normal und stoert nicht weiter solange man die entsprechenden Ports blockt. Und der Router sollte diese Ports defaultmaessig nicht durchlassen.

bei Antwort benachrichtigen
@ndy hasw „Das sind nur versuchte Zugriffe auf die Windows-Ports 137,443 . Das ist voellig...“
Optionen

Hmmm, das beruhigt vorerst,
aber allein die Vorstellung, daß ständig jemand am System kratzt um ggf. Passworte o.Ä. herauszufinden macht mich nicht wirklich happy - na ja, vermutlich erreiche ich erst mit Linux einen Level, der 85% der "üblichen" Versuche sicher blockiert - hab noch einen Pentium 233 MMX, der könnte ja theoretisch mit 2 Netzwerkkarten und der ISDN Karte die Rolle des Routers übernehmen und als Faxempfänger / Anrufbeantworter / privater Kleinserver dienen.
Falls ich jemals soweit komme - dann steht der Router zum Verkauf.

Danke Dir erst mal für dir rasche Analyse. (sorry, bin langsam echt entnervt) - @ndy

P.S. Spybot hat gestern noch Spuren eines 0190 Dialers entdeckt, der laut eigenem Log 2x für 7,5 € versucht hat anzuwählen, mein ISDN Log weist jedoch keinen Eintrag zur gegebenen Zeit auf, also blieb's vermutlich beim Versuch)

Ich habe viel Geld für Alkohol, Frauen und Autos ausgegeben... den Rest habe ich einfach verprasst. (George Best)
bei Antwort benachrichtigen
fangbo @ndy „Ständig ''angezapft'' ???“
Optionen

0190 Dealer. Las sie der Telekom sperren. Dann hats du wenigsten die sicherheit wenn er es versucht, das da nicht passiert.

bei Antwort benachrichtigen
@ndy fangbo „0190 Dealer. Las sie der Telekom sperren. Dann hats du wenigsten die sicherheit...“
Optionen

Habe gerade eine ISDN Anleitung heruntergeladen (http://www.telekom.de/dtag/downloads/t-isdn-bed.pdf), wie ich das sehe, kann ich's direkt von hier aus selbst sperren (0190 + 0900), wenn das nicht geht, werde ich genau das tun - Sexhotlines, Gewinnspiele etc. auf 0190 Basis brauche ich so sehr wie Bin Laden, Saddam oder Gerd S als Freund - Danke Dir für den TIP, vielleicht hilft dir diese Anleitung in anderer Form - hab einiges Neues herausgefunden (CCNR mögl. Meldung im ISDN Display)

Bye, @ndy

Ich habe viel Geld für Alkohol, Frauen und Autos ausgegeben... den Rest habe ich einfach verprasst. (George Best)
bei Antwort benachrichtigen
@ndy Nachtrag zu: „Ständig ''angezapft'' ???“
Optionen

Gerade ist mir noch was zum Thema Zugriffe auf PORTS eingefallen:

Ich habe wohl eine ganze Zeit lang als SUPERNODE bei KaZaa fungiert und versehentlich mein mp3 Archiv mit ca. 11 000 Titeln zur Verfügung gestellt - wenn jemand diese Titel zum download einträgt, wird durch KaZaa so lange danach gesucht, bis die Datei letztlich auf dem eigenen PC ist - das würde die Beharrlichkeit der Zugriffsversuche erklären - allerdings ist KaZaa derzeit aus ... ich beobachte es weiter, die IPs werden ja brav mitprotokolliert (falls die stimmen).

So macht DSL jedenfalls keinen rechten Spass, werde mal OFFLINE alle Systeme von org. CDs neu installieren und den Router Werks-Reset -en und neu konfigurieren.

Ich habe viel Geld für Alkohol, Frauen und Autos ausgegeben... den Rest habe ich einfach verprasst. (George Best)
bei Antwort benachrichtigen
Tyrfing @ndy „Ständig ''angezapft'' ???“
Optionen

1.) Kazaa hat aber andere Port(s), ich glaube 1214
2.) Du scheinst von der "Hacker-Panik" erfasst zu sein, die diverse Zeitschriften zur Zeit verbreitet, Tatsache ist, dass ein Zugriff auf irgendeinen Port kein Risiko darstellt, wenn der Port zu ist, und dich da kein "hacker" angreifen kann.


PS: Da der Test an ActiveX rummosert benutzt du offenbar den IE, dann darf man sich über den einen oder anderen Dialer nicht wundern ;)

bei Antwort benachrichtigen
@ndy Nachtrag zu: „Ständig ''angezapft'' ???“
Optionen

:-) ... weiß ich ja (kleinlaut gejammert) ... ab morgen versuche ich mit mit MANDRAKE 9.1 ... sollte der Download des ISOs heute nacht geklappt haben u. funktionieren.

Wie ich in den anderen POSTINGS lesen konnte, scheint man damit relativ sicher unterwegs zu sein - Filesharing gibt's auch unter LINUX, und um Treiber / Updates zu saugen braucht man kein MS-Betriebsystem.
Das Web nutze ich primär zum e-Mailen und Infos über Produkte / Preise einzuholen - und um Musikstücke, die mir einst als Vinyl geklaut wurden, Stück um Stück zurückzuholen - ist ja aber leider ab Freitag illegal ... seufz. Linux muß her, oder die Flat kann weg.

Habe da irgendwo hier im Forum etwas von FireWall 2 für LINUX gehört - ist das kommerziell, oder gibt es das nach gutem altem LINUX Prinzip?


Mann ich jammer hier rum, ich gebe gleich meine VIP Kennung ab - freiwillig.
Mit KnowHow aus dem ISA + SCSI Zeitalter habe ich 1997 noch glänzen können, aber heute habe ich nach 3 Jahren Internet Abstinenz total die Übersicht verloren und bin auch nicht weiter ambitioniert am Hardware Wettrüsten mitzumachen, ich verliere ja doch immer nach spätestens 2 Monaten.

Trotzdem Danke, @ndy

Ich habe viel Geld für Alkohol, Frauen und Autos ausgegeben... den Rest habe ich einfach verprasst. (George Best)
bei Antwort benachrichtigen
Tyrfing @ndy „Ständig ''angezapft'' ???“
Optionen

Meinst du SUSE Firewall 2?

Aber wenn du einfach nur einen Paketfilter brauchst, dürfte dir auch das gute, alte IPtables genügen

bei Antwort benachrichtigen
@ndy Tyrfing „Meinst du SUSE Firewall 2? Aber wenn du einfach nur einen Paketfilter brauchst,...“
Optionen

Hmmm ... hab mich noch nicht festgelegt, wäre mir jedoch egal, wenn ein ofiziell heruntergeladenes SUSE Linux ebenso frei "legal" verwendbar ist wie mein Mandrake (was ich stark vermute - open Source und so..) - wie es scheint sind jedoch LINUX User (noch) nicht so stark im Visier der scriptgeilen 12 jährigen Kids etc. - und es scheint auch weniger Anfällig gegen die üblichen Angriffe, da besser administrierbar - und eben (noch) nicht so weit verbreitet - merke: Schnelles Geld verdient man an der Masse (Sex, Schlagzeilen, unteres Niveau) - sonst hätte heute jeder ein echtes Kunstwerk und die Kunsthändler wären stärker vertreten als die Kioskbesitzer :-) - Du weißt was ich meine (natürlich nicht wörtlich gemeint - schließlich surfe ich auf Tage- und Nächtelang in der Werbewelt umeinander..)

Aber ich erinnere mich nur an den Begriff Firewall 2 ... die soll wohl was taugen.

Ich habe viel Geld für Alkohol, Frauen und Autos ausgegeben... den Rest habe ich einfach verprasst. (George Best)
bei Antwort benachrichtigen
greg-cu @ndy „Ständig ''angezapft'' ???“
Optionen

Hi @ndy,
hab´s nur überflogen... Ports 137 und 443 sind _definitv_ Ports, die Windows nutzt, um zu kommunizieren ("früher" Port 137 für NetBIOS, bei XP jetzt auch/stattdessen 443).
Grundsätzlich: Blocke die Ports für incoming/outgoing und Du kannst wieder ruhig schlafen (bzw. bei Verwendung von Linux oder einem anderen Unix-Derivat: afaik gibt es keinen exploit, der über diese Ports auf Unix-Systeme zuzugreifen versucht (...da kommt mir eine Idee ;-).... ).
Warum diese Zugriffe auftreten _kann_ aber _muss nicht_ ein Grund zur Beunruhigung sein; beim filesharing wird Deine aktuelle IP an einen ganzen Haufen Laute übermittelt; bei einer dynamischen IP ist es aber so, daß evtl der filesharing-user A (bzw sein client) glaubt, auf den filesharing-user B zuzugreifen, aber dessen IP hast Du gerade vor 20 Sekunden bekommen....

wie gesagt, Deinem logfile zufolge einfach Ports 137, 138, 139 und 443 auf TCP und UPD dicht machen und nicht mehr daran denken.

Gruß greg

mistakes are another opportunity to refine
bei Antwort benachrichtigen
@ndy greg-cu „Hi @ndy, hab s nur überflogen... Ports 137 und 443 sind _definitv_ Ports, die...“
Optionen

Das waren nur einige Zeilen... täglich habe ich ca. 6-7 A4 Seiten voll mit diesen Versuchen ... vor allem Ports wie Donnerstag, 1. Mai 2003 10:37:56 Unrecognized access from 81.56.219.8:3007 to TCP port 17300 oder ähnlich.

Ich habe viel Geld für Alkohol, Frauen und Autos ausgegeben... den Rest habe ich einfach verprasst. (George Best)
bei Antwort benachrichtigen
Tyrfing @ndy „Ständig ''angezapft'' ???“
Optionen

Portscans, um zu testen, ob du irgendwelche Trojaner hast, irgendwelche Scripkiddies, die schauen ob du die Dateifreigabe über TCP/IP aktiviert hast, Anfragen von Filesharingclients, weil der Vorbenutzer der IP Kazza und Co am Laufen hatte und die IP noch in der Quellenliste steht etc. etc.
Alles ganz normal und harmlos, solange keine Trojaner auf dem System sind und ein paar überflüssige Dienste deaktiviert hat, auch wenn diverse Personal Firewalls so etwas gerne als "Hackerangriff" verkaufen

bei Antwort benachrichtigen
@ndy Tyrfing „Portscans, um zu testen, ob du irgendwelche Trojaner hast, irgendwelche...“
Optionen

Hmmm, habe keine Desktop (Softwarelösung) im Betrieb, sondern nur die Firewall im Router so eingestellt, dass e-Mail empfangen / senden erlaubt ist und http sowie secure http. Zudem haben nur meine 4 MAC Adressen Zugriff auf den Router erhalten, NetBEUI als internes Netzwerkprotokoll und bei TCP/IP Netbios deaktiviert, ActiveX und Scripting müssen per Eingabeaufforderung bestätigt werden und Norton Antivirus blockt Windows Scripting Host ... die Logs (erneut auffälliges Scannen des Ports 4660 durch 80.131.190.174 und 213.23.39.211 ... eigentlich reichts mir so langsam. Wenn Hacken nicht als Computersabotage strafbar wäre, würde ich jetzt echt liebend gerne mal einige Tools von diversen Seiten auf ihre Tauglichkeit testen - von einem Internet Cafe aus, in dem ich nicht bekannt bin. :-( ... so long, rüste jetzt auf LINUX um und der Rest der WWW Welt kann mich mal.. Dank Dir trotzdem - @ndy

(Grins, wusste gar nicht, daß ich nach knapp 4 Wochen OnLine so wichtig geworden bin, daß der IP Tracer diese mich scannenden IPs nach Amerika, Holland und sogar Australien zurückverfolgen können)

Ich habe viel Geld für Alkohol, Frauen und Autos ausgegeben... den Rest habe ich einfach verprasst. (George Best)
bei Antwort benachrichtigen
Max Payne @ndy „Hmmm, habe keine Desktop Softwarelösung im Betrieb, sondern nur die Firewall im...“
Optionen

Port 4660 gehört zu eDonkey/eMule. Inzwischen sind massenhafte Anfragen auf diesem Port (leider) völlig normal - und harmlos (bis auf die Bandbreite, die dadurch verlorengeht).

The trouble with computers is that they do what you told them – not necessarily what you wanted them to do.
bei Antwort benachrichtigen
Tyrfing @ndy „Ständig ''angezapft'' ???“
Optionen

Viel Glück beim Unstieg, du wirst es nicht bereuen (wenn doch: ab in die Ecke und schämen), auch wenn es dir gegen die Scans nicht helfen wird, die werden gemacht, egal mit welchem OS du unterwegs bist

bei Antwort benachrichtigen
@ndy Tyrfing „Weise Entscheidung“
Optionen

Yo, sieht alles ganz gut aus, hab hier gerade ein SUSE Linux 8.1 vor mir liegen ... über die Portscans rege ich mich nicht mehr auf, allerdings hat sich früher unter KaZaa light alle 4-6h mein Router (SMC 7004VBR) aufgehängt, mein neuer Digitus macht klaglos alles mit. Wenn ich jetzt noch rausfinde, wie ich Ihm beibringen kann "Angriffe" per e-Mail an mein gmx Konto zu schicken ... ach wozu das alles.
SUSE 8.1 oder MANDRAKE 9.1 ... oder eine Mischung aus dem Besten von beiden ... mal sehen was die Nacht so bringt.
Danke Euch in jedem Fall für's KnowHow und Eure Zeit ..., wenn man Dialer findet und LOG Dateien dazu, und dann Viren und Würmer entdeckt und zusätzlich die Berichte in den PC-Magazinen liest (das lass ich künftig auch wieder, steht eh kaum was drin) dann kann einem zur Zeit schon bange werden. C U, @ndy

Ich habe viel Geld für Alkohol, Frauen und Autos ausgegeben... den Rest habe ich einfach verprasst. (George Best)
bei Antwort benachrichtigen