Hallo Leute,
Mein Problem:
ich habe auf meinem Rechner immer wieder Hackversuche. Ich bin schon am verzweifeln. Ich benutze das Proggie ATguard und erkenne immer wieder "INBOUND UDP Communication" oder TCP an Port meist über 20000 und von IP Adresse 192.xxx" Kann mir jemand helfen was das ist? Wie werde ich die Störer los.
Die letzte Meldung war am 26.01 um 21.01 Uhr:
Inbound TCP Network communication
an Port 27374 von der IP 193.159.65.236
Ich gehe vorsichtshalber immer auf abblocken (atguard). Wie kann ich das Programm entfernen das von außen da angesprochen wird.
CU
onzo
PS: Neuinstallation von Windows incl. Formatieren bringt nichts
((Anonym))
Antwort:
Hi, in deinem letzten Beispiel versucht ein TOnline Cracker auf den Trojaner SubSeven 2.1 (bei default tcp port 27374) zuzugreifen (wenn Sub7 (MSREXE.exe) oder andere Trojans denn da waeren), es ist auch nicht immer derselbe Taeter, sondern der uebliche Trojanprobes-Traffic, setze mit Atguard feste Regeln auf (always block...) die das von vornerein unterbinden, dann nervt es dich nicht mehr (du kannst dir die Versuche spaeter noch in den Atguard Logs ansehen), du hast von diesen Versuchen nichs zu befuerchten, Atguard ist sehr wachsam ;)seeya_Carrie
(Carrie)
Antwort:
Heißt das jetzt das ich gar keinen Trojaner habe, sondern irgendwelche Freaks nur probieren ob einer da ist???
Wenn ja dann bin ich aber froh. Danke für die schnelle Hilfe.
In einem anderen Posting bist du auf das Proggie NOBO eingegangen. Da die Port Adresse 31.337 bei mir auch schon vorgekommen ist möchte ich das Progie gern benutzen. Dazu meine Frage: Wenn jemand diesen Port scannt blockt atguard ihn ab.
Die Vorgehensweise wäre demnach:
Port wird gescannt. -> Ich lasse es mit Atguard zu (nach abfrage und nur einmalig)-> NOBO meldet sich als Back Ofrice -> Cracker versucht es wieder -> NOBO meldet Regierungseigentum usw.
Toll. Schade das man dann das gesicht nicht sehen kann :-))
Danke nochmal.
CU
onzo
((Anonym))
Antwort:
ja, richtig, Freaks, kein Trojaner (sonst gaebe es outbound communication -ebenfalls von dir genehmigungspflichtig, ein wichtiges Feature einer Firewall ist es auch die nach draussen gehende Aktivitaet von internen Programmen zu ueberwachen) diese trojanprobes passieren laufend, deswegen lassen viele nach einiger Zeit genervt Atguard statt im Lernmodus (wo einzeln abgefragt wird) nur noch im Hintergrund laufen, er blockt dann automatisch alles fuer das er keine Regeln hat ab.
Was Nobo angeht laeuft es am besten so wie du geschrieben hast, AFAIK musst du fuer den Nobo Einsatz noch in den Atguard Regeln den default
inbound block gegen Back Orifice enthaken, da dies 31337 betrifft, du musst Nobo manuell starten, er wird dann 31337 oeffnen (in diesem Fall harmlos, lese dazu auch http://web.cip.com.br/nobo/faq_en.html ), bei allen inbound attempts (Angreifer pingt nach BO auf 31337) wirst du wie gehabt informiert und kannst ihm frei stellen mit Nobo zu kommunizieren, Nobo sendet falschen ping an ihn zurueck, Freak sendet (*siegessicher*) BO packet um Back Orifice zu aktivieren und Nobo antwortet ihm mit einer message (natuerlich jeden Text den du willst ), funktioniert weil Nobo eine Schwaeche im BO source ausnutzt. Auf die Art habt ihr dann beide Spass ;) enjoy_Carrie
(Carrie)
Antwort:
Danke für deine Hilfe Carrie
CU
onzo
((Anonym))