Viren, Spyware, Datenschutz 11.242 Themen, 94.693 Beiträge

Port-Scans

BloodyOsiris / 8 Antworten / Flachansicht Nickles

HI!

Ich habe ein echt ernsthaftes Problem! Seit kurzem werde ich von Port-Scans geplagt. Die IP-Adresse des Angreifers ändert sich zwar, habe aber aufgrund einer tracert-Abfrage Grund zur Annahme, dass es sich um eine Person/eine Gruppe von McBone.net handelt. Ist dies vielleicht irgendeine (Cr-)Hacker-Gruppe?
Ich habe auch Who-Is abfragen gemacht(mit Sygate-Firewall-Pro), mit folgendem Ergebnis:

///////////// 1. Port-Scan:

% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 80.184.0.0 - 80.184.255.255
netname: MOBILCOM-CITYLINE-NET
descr: freenet Cityline GmbH
Willstaetterstrasse 13
40549 Duesseldorf
Germany
country: DE
admin-c: FCL-RIPE
tech-c: NMC-RIPE
status: ASSIGNED PA
remarks: ****************************************************
remarks: * please report spam/abuse mailto:abuse@pppool.de *
remarks: * reports to other addresses will not be processed *
remarks: ****************************************************
mnt-by: ROKA-MNT
changed: abuse@pppool.de 20031216
source: RIPE

route: 80.184.0.0/16
descr: freenet Cityline GmbH
Willstaetterstrasse 13
40549 Duesseldorf
Germany
origin: AS5430
remarks: ****************************************************
remarks: * please report spam/abuse mailto:abuse@pppool.de *
remarks: * reports to other addresses will not be processed *
remarks: ****************************************************
mnt-by: ROKA-MNT
changed: abuse@pppool.de 20020514
source: RIPE

role: freenet Cityline Network Management
address: freenet Cityline GmbH
address: Hamburger Chaussee 2-4
address: 24114 Kiel
address: Germany
e-mail: tech-c@mcbone.net
admin-c: FCL-RIPE
tech-c: JR1741-RIPE
tech-c: KRD2
tech-c: SH-RIPE
tech-c: SW817-RIPE
nic-hdl: FCL-RIPE
remarks: ****************************************************
remarks: * please report spam/abuse mailto:abuse@pppool.de *
remarks: * reports to other addresses will not be processed *
remarks: ****************************************************
mnt-by: ROKA-MNT
changed: abuse@pppool.de 20040408
source: RIPE

role: Network Management
address: freenet Cityline GmbH
address: Network Managment Center
address: Juri Gagarin Ring 88
address: 99084 Erfurt
address: Germany
phone: +49 361 594 2961
fax-no: +49 361 594 2266
e-mail: nmc@freenet-ag.de
admin-c: NMC-RIPE
tech-c: FN507-RIPE
tech-c: RH6905-RIPE
tech-c: SR902-RIPE
tech-c: JP1259-RIPE
nic-hdl: NMC-RIPE
remarks: ****************************************************
remarks: * please report spam/abuse mailto:abuse@pppool.de *
remarks: * reports to other addresses will not be processed *
remarks: ****************************************************
mnt-by: ROKA-MNT
changed: tech-c@mcbone.net 20040329
source: RIPE

/////////// 2. Port-Scan:

% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 80.83.40.0 - 80.83.43.255
netname: Video2000-MAIN-NET
descr: Video2000 SA
descr: Neuchatel
country: CH
admin-c: FB10639-RIPE
tech-c: WM5132-RIPE
status: ASSIGNED PA
notify: lir-mnt@cablecom.ch
mnt-by: VIDEO2000-MNT
mnt-lower: VIDEO2000-MNT
changed: barny@net2000.ch 20020218
source: RIPE

route: 80.83.32.0/19
descr: Video2000
descr: Neuchatel CH
origin: AS8404
notify: lir-mnt@cablecom.ch
mnt-by: VIDEO2000-MNT
changed: felix.giger@cablecom.ch 20020611
source: RIPE

person: Fabrice Barny
address: Video 2000 SA
address: Av. de la Gare 15
address: CH-2000 Neuchatel
phone: +41 32 729 9878
e-mail: info@net2000.ch
nic-hdl: FB10639-RIPE
notify: info@net2000.ch
mnt-by: AS8404-MNT
changed: ludwig.molnar@cablecom.ch 20010206
changed: wilson.mehringer@cablecom.ch 20030626
source: RIPE

person: Wilson Mehringer
address: Cablecom GmbH
address: Foerrlibuckstrasse 181
address: CH-8005 Zurich
address: Switzerland
phone: +41 1 277 90 72
remarks: ***************************************************
remarks: For Spam/Abuse, please contact abuse@cablecom.ch
remarks: E-mails to the persons below will be IGNORED!!
remarks: ***************************************************
e-mail: wilson.mehringer@cablecom.ch
nic-hdl: WM5132-RIPE
notify: wilson.mehringer@cablecom.ch
mnt-by: AS8404-MNT
changed: wilson.mehringer@cablecom.ch 20020808
changed: wilson.mehringer@cablecom.ch 20021107
changed: wilson.mehringer@cablecom.ch 20040108
source: RIPE

Ach so und nach dem letzten Portscan befindet sich auf einmal eine Datei namens avserve2.exe in HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\ (also dem Autostart-Service)-natürlich gleich gelöscht!!- und im Windows-Stammverzeichnis.
Außerdem befindet sich im system32-Ordner eine Datei namens 1848_up.exe, die mir auch verdächtig vorkam! Sie nutzte als Destination-Port 445(also den microsoft-ds Dienst!?!?) und hat scheinbar einen Portscan durchgeführt.
Handelt es sich hierbei vielleicht um Trojaner?????? Mein Antivirenprogramm AntiVir(ich weiß ziemlich Noob) meldet nix!

Ich nutze SygateFirewall Pro 5.0, habe keinerlei Windows-XP Sicherheitsupdates und bin nicht bereit von Microsoft welche herunterzuladen!!!!

Ich vermute auch, dass die WhoIs-Informationen nur Fake sind!!!!

Die IP-Adressen dieser Port-Scans waren:

80.83.41.95
80.184.136.85
und 213.35.238.156
(von unten nach oben)

Ich hoffe ihr könnt mir in irgendeiner Weise mir weiterhelfen!!!!(Vielleicht auch mit irgendwelchen Sicherheitstipps - z.B. kann man Win-Xp-Updates irgenwo, aber nicht von Microsoft herunterladen??)
Vielen Dank im Voraus!!!!!

bei Antwort benachrichtigen
xafford aldixx „Es ist schon verwunderlich welch eine STASI Kultur auf diesem Board herrscht!...“
Optionen

Wie würdest Du über jemanden denken, der Ärtzen mißtraut und deswegen monatelang mit einer hochansteckenden Krankheit durch die Gegend rennt und hunderte von Leuten ansteckt? Deine Liberalität in allen Ehren, aber es gibt Leute, die solchen Mist ausbaden dürfen. Ich kann Dir gerne ein paar Logfiles von Servern zukommen lassen die ich betreue, oder Du kannst mir einfach glauben, daß solche "ich-patche-nie" Egomanen teilweise 30% der Leitungsbandbreite mit ihren Wurmschleudern aufbrauchen. Das ist nicht nur ärgerlich, es kostet auch massig Zeit, Geld und Nerven und ist zudem unnötig. Vor Allem ist es schizophren. Updates holen Sie sich nicht, weil sie MS mißtrauen, die Software setzen sie aber ein. Wo ist da die Logik?
Im übrigen ist dein Vergleich mit Stasikultur eine ziemliche Beleidigung.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen