HI!
        
        Ich habe ein echt ernsthaftes Problem! Seit kurzem werde ich von Port-Scans geplagt. Die IP-Adresse des Angreifers ändert sich zwar, habe aber aufgrund einer tracert-Abfrage Grund zur Annahme, dass es sich um eine Person/eine Gruppe von McBone.net handelt. Ist dies vielleicht irgendeine (Cr-)Hacker-Gruppe?
        Ich habe auch Who-Is abfragen gemacht(mit Sygate-Firewall-Pro), mit folgendem Ergebnis:
        
        ///////////// 1. Port-Scan:
        
        % This is the RIPE Whois server.
        % The objects are in RPSL format.
        %
        % Rights restricted by copyright.
        % See http://www.ripe.net/ripencc/pub-services/db/copyright.html
        
        inetnum: 80.184.0.0 - 80.184.255.255
        netname: MOBILCOM-CITYLINE-NET
        descr: freenet Cityline GmbH
        Willstaetterstrasse 13
        40549 Duesseldorf
        Germany
        country: DE
        admin-c: FCL-RIPE
        tech-c: NMC-RIPE
        status: ASSIGNED PA
        remarks: ****************************************************
        remarks: * please report spam/abuse mailto:abuse@pppool.de *
        remarks: * reports to other addresses will not be processed *
        remarks: ****************************************************
        mnt-by: ROKA-MNT
        changed: abuse@pppool.de 20031216
        source: RIPE
        
        route: 80.184.0.0/16
        descr: freenet Cityline GmbH
        Willstaetterstrasse 13
        40549 Duesseldorf
        Germany
        origin: AS5430
        remarks: ****************************************************
        remarks: * please report spam/abuse mailto:abuse@pppool.de *
        remarks: * reports to other addresses will not be processed *
        remarks: ****************************************************
        mnt-by: ROKA-MNT
        changed: abuse@pppool.de 20020514
        source: RIPE
        
        role: freenet Cityline Network Management
        address: freenet Cityline GmbH
        address: Hamburger Chaussee 2-4
        address: 24114 Kiel
        address: Germany
        e-mail: tech-c@mcbone.net
        admin-c: FCL-RIPE
        tech-c: JR1741-RIPE
        tech-c: KRD2
        tech-c: SH-RIPE
        tech-c: SW817-RIPE
        nic-hdl: FCL-RIPE
        remarks: ****************************************************
        remarks: * please report spam/abuse mailto:abuse@pppool.de *
        remarks: * reports to other addresses will not be processed *
        remarks: ****************************************************
        mnt-by: ROKA-MNT
        changed: abuse@pppool.de 20040408
        source: RIPE
        
        role: Network Management
        address: freenet Cityline GmbH
        address: Network Managment Center
        address: Juri Gagarin Ring 88
        address: 99084 Erfurt
        address: Germany
        phone: +49 361 594 2961
        fax-no: +49 361 594 2266
        e-mail: nmc@freenet-ag.de
        admin-c: NMC-RIPE
        tech-c: FN507-RIPE
        tech-c: RH6905-RIPE
        tech-c: SR902-RIPE
        tech-c: JP1259-RIPE
        nic-hdl: NMC-RIPE
        remarks: ****************************************************
        remarks: * please report spam/abuse mailto:abuse@pppool.de *
        remarks: * reports to other addresses will not be processed *
        remarks: ****************************************************
        mnt-by: ROKA-MNT
        changed: tech-c@mcbone.net 20040329
        source: RIPE
        
        /////////// 2. Port-Scan:
        
        % This is the RIPE Whois server.
        % The objects are in RPSL format.
        %
        % Rights restricted by copyright.
        % See http://www.ripe.net/ripencc/pub-services/db/copyright.html
        
        inetnum: 80.83.40.0 - 80.83.43.255
        netname: Video2000-MAIN-NET
        descr: Video2000 SA
        descr: Neuchatel
        country: CH
        admin-c: FB10639-RIPE
        tech-c: WM5132-RIPE
        status: ASSIGNED PA
        notify: lir-mnt@cablecom.ch
        mnt-by: VIDEO2000-MNT
        mnt-lower: VIDEO2000-MNT
        changed: barny@net2000.ch 20020218
        source: RIPE
        
        route: 80.83.32.0/19
        descr: Video2000
        descr: Neuchatel CH
        origin: AS8404
        notify: lir-mnt@cablecom.ch
        mnt-by: VIDEO2000-MNT
        changed: felix.giger@cablecom.ch 20020611
        source: RIPE
        
        person: Fabrice Barny
        address: Video 2000 SA
        address: Av. de la Gare 15
        address: CH-2000 Neuchatel
        phone: +41 32 729 9878
        e-mail: info@net2000.ch
        nic-hdl: FB10639-RIPE
        notify: info@net2000.ch
        mnt-by: AS8404-MNT
        changed: ludwig.molnar@cablecom.ch 20010206
        changed: wilson.mehringer@cablecom.ch 20030626
        source: RIPE
        
        person: Wilson Mehringer
        address: Cablecom GmbH
        address: Foerrlibuckstrasse 181
        address: CH-8005 Zurich
        address: Switzerland
        phone: +41 1 277 90 72
        remarks: ***************************************************
        remarks: For Spam/Abuse, please contact abuse@cablecom.ch
        remarks: E-mails to the persons below will be IGNORED!!
        remarks: ***************************************************
        e-mail: wilson.mehringer@cablecom.ch
        nic-hdl: WM5132-RIPE
        notify: wilson.mehringer@cablecom.ch
        mnt-by: AS8404-MNT
        changed: wilson.mehringer@cablecom.ch 20020808
        changed: wilson.mehringer@cablecom.ch 20021107
        changed: wilson.mehringer@cablecom.ch 20040108
        source: RIPE
        
        Ach so und nach dem letzten Portscan befindet sich auf einmal eine Datei namens avserve2.exe in HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\ (also dem Autostart-Service)-natürlich gleich gelöscht!!- und im Windows-Stammverzeichnis.
        Außerdem befindet sich im system32-Ordner eine Datei namens 1848_up.exe, die mir auch verdächtig vorkam! Sie nutzte als Destination-Port 445(also den microsoft-ds Dienst!?!?) und hat scheinbar einen Portscan durchgeführt.
        Handelt es sich hierbei vielleicht um Trojaner?????? Mein Antivirenprogramm AntiVir(ich weiß ziemlich Noob) meldet nix!
        
        Ich nutze SygateFirewall Pro 5.0, habe keinerlei Windows-XP Sicherheitsupdates und bin nicht bereit von Microsoft welche herunterzuladen!!!!
        
        Ich vermute auch, dass die WhoIs-Informationen nur Fake sind!!!!
        
        Die IP-Adressen dieser Port-Scans waren:
        
        80.83.41.95
        80.184.136.85
        und 213.35.238.156
        (von unten nach oben)
        
        Ich hoffe ihr könnt mir in irgendeiner Weise mir weiterhelfen!!!!(Vielleicht auch mit irgendwelchen Sicherheitstipps - z.B. kann man Win-Xp-Updates irgenwo, aber nicht von Microsoft herunterladen??)
        Vielen Dank im Voraus!!!!!
      
 
      
 GarfTermy
GarfTermy xafford
xafford
