Regelmässige Zugriffe von einer bestimmten Adresse

Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at verwendet.
Forumsregeln
Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at

Regelmässige Zugriffe von einer bestimmten Adresse

Beitragvon c_brause » Di 20 Apr, 2004 12:39

Habe seit heute früh regelmäßige zugriffe von einer bestimten Inode-Adresse auf meinen Rechner die ich vorher noch nie hatte.
So alle 5 minuten 3 mal,jedesmal ein anderer Port-aber selbe IP.
Versucht laut Kerio auf "SYSTEM" zuzugreifen.
Ich weiß nicht ob ich die IP hier aufschreiben sollte deshalb tu ich es nicht.
Weiß wer was das sein soll?
c_brause
Neu im Board
Neu im Board
 
Beiträge: 21
Registriert: Di 20 Apr, 2004 12:34

Beitragvon TwIce » Di 20 Apr, 2004 12:42

lässt sich mit deinen infos nicht wirklich sagen... aber u.U. ist da ein kleiner trojaner am werk, oder was vergleichbares. im zweifelsfall die IP, von der zugegriffen wird, mal für 48h abdichten :D
Error 403:

Forbidden.
You don't have permission to access /signature on this server.
TwIce
Board-User Level 1
Board-User Level 1
 
Beiträge: 528
Registriert: Mo 19 Apr, 2004 16:21
Wohnort: Carinthia

Beitragvon c_brause » Di 20 Apr, 2004 12:48

leider kann ich nur das aufschreiben was die wall mir meldet,wobei eine derartige meldung noch nie da war...
sollte ich die ip aufschreiben von der das ausgeht?
c_brause
Neu im Board
Neu im Board
 
Beiträge: 21
Registriert: Di 20 Apr, 2004 12:34

Beitragvon TwIce » Di 20 Apr, 2004 13:00

bin ja kein fan von kerio, und kenn die nicht so gut.. aber man kann doch sicher irgendwo eine regel definieren, daß zugriffe einer bestimmten IP (oder eines IP-clusters) mal generell geblockt werden?
Error 403:

Forbidden.
You don't have permission to access /signature on this server.
TwIce
Board-User Level 1
Board-User Level 1
 
Beiträge: 528
Registriert: Mo 19 Apr, 2004 16:21
Wohnort: Carinthia

Beitragvon c_brause » Di 20 Apr, 2004 13:02

natürlich kann man das,und ich habe es auch getan.

allerdings interessiert mich mehr die frage WARUM diese zugriffe stattfinden,was es bedeuten soll.
c_brause
Neu im Board
Neu im Board
 
Beiträge: 21
Registriert: Di 20 Apr, 2004 12:34

Angriffe

Beitragvon drops » Di 20 Apr, 2004 18:15

Ich habe z.B. vorhin gerade einen Eintrag im Log gehabt:

Tue, 2004-04-20 08:25:46 - IP packet - Source:10.0.0.138,WAN - Destination:172.16.211.130,LAN [Drop] - [Fragment Attack]

Meine Firewall sagt mir freundlicherweise, worum es sich handelt. Hier eine versuchte DoS Attacke mit falsch fragmentierten Paketen.

mfg
drops
drops
Neu im Board
Neu im Board
 
Beiträge: 9
Registriert: Sa 17 Apr, 2004 17:43

Beitragvon TwIce » Mi 21 Apr, 2004 07:59

öh.. source 10.0.0.138? das sollt doch die IP von deinem modem sein, wenn auf nem adsl/xdsl unterwegs bist.... warum sollt dein modem dir nen DoS aufdrücken wollen? das sieht eher so aus, als ob von deinem PC aus da ein (D)DoS unterwges nach außen wäre...

check mal mit stinger und tauscan, ob ned einen freundlichen kleinen trojaner am pc hast. ergebnis würd mich interessieren!
Error 403:

Forbidden.
You don't have permission to access /signature on this server.
TwIce
Board-User Level 1
Board-User Level 1
 
Beiträge: 528
Registriert: Mo 19 Apr, 2004 16:21
Wohnort: Carinthia

Re: Angriffe

Beitragvon martin » Mi 21 Apr, 2004 08:43

drops hat geschrieben:Source:10.0.0.138,WAN - Destination:172.16.211.130
...
Hier eine versuchte DoS Attacke mit falsch fragmentierten Paketen.


vergiss den schmarrn mit DoS.

172.16.211.130 ist die (private) ip-adresse deines telekom wählamtes.
irgendwas an den datenpaketen passt manchen personal firewalls nicht, du kannst die "angriffe" aber getrost ignorieren.
martin
Moderator
Moderator
 
Beiträge: 1577
Registriert: Mo 23 Jun, 2003 16:56
Wohnort: Kremsmünster

Beitragvon c_brause » Do 22 Apr, 2004 11:47

diese zugriffe haben nach ziemlich genau 24stunden aufgehört.
hhhhm,strange :-?
die ip bleibt trotzdem in meiner blocklist.
c_brause
Neu im Board
Neu im Board
 
Beiträge: 21
Registriert: Di 20 Apr, 2004 12:34


Zurück zu ANTIVIRUS & SECURITY

Wer ist online?

Mitglieder in diesem Forum: Yandex [Crawler] und 16 Gäste