INODE - ständige Portscans

Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at verwendet.
Forumsregeln
Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at

Re: PREISFRAGE

Beitragvon erdie » Di 04 Mai, 2004 14:58

Arturo hat geschrieben: Also ich habe unter Garantie keines von erwähnten Würmern auf meinem Notebook! (Soweit mann F-Prot und Stinger vertrauen kann)!
Andere Frage: wie ist folg. zu erklären:

Ich surfe NUR im Stealth-Modus, was auch jedesmal bei online-scanns bestätigt wird (ShieldsUp! https://grc.com/x/ne.dll?bh0bkyd2
Symantec Security Check http://security.symantec.com/ usw...) und zwar ALLE(!) meine Ports sind Stealthed, NetBios ist DEAKTIVIERT und den POrt 139 scheint es NICHT zu geben!!!


irrelevant, die würmer generiern IP adressen zufällig, wobei dasselbe A bzw. B Netz mit größerer Wahrscheinlichkeit dabei ist, deshalb schauts auch so aus als würden die SYNs alle aus dem inode netz kommen
...
erdie
Board-User Level 3
Board-User Level 3
 
Beiträge: 1250
Registriert: Mo 23 Jun, 2003 17:29
Wohnort: Wien

Beitragvon martin » Di 04 Mai, 2004 15:08

mit einer ip adresse wäre den meisten wohl mehr geholfen als mit einer mac adresse.
da man ohne ip adresse kaum tcp/udp ports scannen kann, müsstest du auch wohl irgendwo eine haben...
martin
Moderator
Moderator
 
Beiträge: 1577
Registriert: Mo 23 Jun, 2003 16:56
Wohnort: Kremsmünster

Beitragvon duke » Di 04 Mai, 2004 15:16

Arturo hat geschrieben:
05/04/2004 13:27:48 Active Response Major Incoming None
Remote Host Remote MAC
81.223.242.169 20-53-52-43-00-00 05/04/2004 13:27:45 05/04/2004 13:27:45[/b]



hat er gepostet @martin....
duke
Alumni (Moderatoren)
Alumni (Moderatoren)
 
Beiträge: 231
Registriert: Mo 23 Jun, 2003 16:54
Wohnort: Austria(Styria)

Antwort

Beitragvon Arturo » Di 04 Mai, 2004 15:34

Ich wäre euch echt dankbar, würdet ihr auf DEUTSCH schreiben!
Ich verstehe beim besten willen NICHTS von den 2 letzten antworten, sorry! :-?
Arturo
Neu im Board
Neu im Board
 
Beiträge: 21
Registriert: Di 04 Mai, 2004 11:47

Re: Antwort

Beitragvon erdie » Di 04 Mai, 2004 15:37

Arturo hat geschrieben:Ich wäre euch echt dankbar, würdet ihr auf DEUTSCH schreiben!
Ich verstehe beim besten willen NICHTS von den 2 letzten antworten, sorry! :-?


tun auch nichts mehr zur sache. du hast schon bestätigt, dass die meisten auf port 135 und 445 kommen, und ich hab dir schon gesagt dass du dagegen nichts machen kannst
...
erdie
Board-User Level 3
Board-User Level 3
 
Beiträge: 1250
Registriert: Mo 23 Jun, 2003 17:29
Wohnort: Wien

Re: Antwort

Beitragvon Arturo » Di 04 Mai, 2004 15:46

erdie hat geschrieben:
Arturo hat geschrieben:Ich wäre euch echt dankbar, würdet ihr auf DEUTSCH schreiben!
Ich verstehe beim besten willen NICHTS von den 2 letzten antworten, sorry! :-?


tun auch nichts mehr zur sache. du hast schon bestätigt, dass die meisten auf port 135 und 445 kommen, und ich hab dir schon gesagt dass du dagegen nichts machen kannst


Ich versteh zwar immer noch nicht, doch versuchst du mir zu sagen, ich hätte TROTZ F-Prot & Stinger einen Wurm???????? :oops:
Arturo
Neu im Board
Neu im Board
 
Beiträge: 21
Registriert: Di 04 Mai, 2004 11:47

Beitragvon marvin42 » Di 04 Mai, 2004 15:48

- stealth ist reines Marketing-Geblubber
- Mac-Adressen gelten nur innerhalb eines lokalen Netzes, die Mac-Adresse in dem Firewall-Log ist also irrelevant; relevant ist die IP
- Machen kannst Du gegen die scans nichts, es sind zur Zeit wieder einige Würmer unterwegs, die gezielt nach Lücken in Windows suchen um sich zu verbreiten; Du brauchst also den inode Support nicht damit zu nerven
- Du solltest nur darauf achten, daß dein System gut gewartet ist, so daß es nicht angreifbar ist ...

MfG,
Marvin
marvin42
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 51
Registriert: Di 03 Feb, 2004 19:12

Re: PREISFRAGE

Beitragvon jutta » Di 04 Mai, 2004 15:50

Arturo hat geschrieben:
erdie hat geschrieben:l
grund: MSBlaster, Sasser

kannst du was machen: nein


Ist mir noch nicht aufgefallen, aber du scheinst Recht zu haben, die Ports 135 u. 445 sind meistens dabei. Also ich habe unter Garantie keines von erwähnten Würmern auf meinem Notebook!...

...
Ich surfe NUR im Stealth-Modus, ...
Wie, in Gottes Namen werde ich denn ständig gescannt?????? Wie ist so etwas möglich???
erdie hat geschrieben:



Vorab: ich bin keine Firewall-Spezialistin, aber ich versuche mal die Ergebnisse von ein bissl Rumsuchen im Web zusammen zu fassen:

Schoen fuer dich, dass du keine Viren und Wuermer auf deinem PC hast, hat aber eh keiner behauptet :)

http://www.ikarus-software.at/portal/modules.php?name=News&file=article&sid=81
Hat der Wurm einen PC erfolgreich infiziert startet er 128 Prozesse die alle nach zufällig generierten IP-Adressen suchen, an die sich der Wurm weiterverschicken möchte.

Da es bereits viele infizierte Rechner gibt, erfinden alle irgendwelche IP Adressen und probieren dort reinzukommen. Das ist sicher nicht "persoenlich" gemeint und stealth Mode verhindert AFAK auch nicht, dass irgendjemand die IP erraet. Und es ist kein Grund zur Panik, du hast dir ja die Firewall vermutlich deshalb zugelegt, damit du mehr darueber erfaehrst, was sich so zwischen dem Internet und deinem PC tut.

Ich habe auch einige incoming packets an Port 135 und 445, aber nicht aufregend viele (im vergangenen Sommer, als der Blaster wuetete, war das viel schlimmer).

Die angegebene MAC Adresse scheint gefaelscht zu sein - jedenfalls ist sie nicht einmalig, hab sie ein paarmal gefunden, allerdings *nicht* auf der Herstellerliste.

http://www.hildrum.com/arp.htm
http://www.experts-exchange.com/Operating_Systems/WinME/Q_20901423.html
http://www.pcs-service.de/service/macliste/fmacliste.htm

Es kann gut sein, dass die IP ebenfalls gefaelscht ist.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon Arturo » Di 04 Mai, 2004 15:51

marvin42 hat geschrieben:- stealth ist reines Marketing-Geblubber
- Mac-Adressen gelten nur innerhalb eines lokalen Netzes, die Mac-Adresse in dem Firewall-Log ist also irrelevant; relevant ist die IP
- Machen kannst Du gegen die scans nichts, es sind zur Zeit wieder einige Würmer unterwegs, die gezielt nach Lücken in Windows suchen um sich zu verbreiten; Du brauchst also den inode Support nicht damit zu nerven
- Du solltest nur darauf achten, daß dein System gut gewartet ist, so daß es nicht angreifbar ist ...

MfG,
Marvin


DAS WAR AUF DEUTSCH!!! :gotred:

Also bis jetzt hat meine FW alles abgefangen. Aber woher weiss ich, wenn sie´s nicht mehr tut???

Danke Martin.
Arturo
Neu im Board
Neu im Board
 
Beiträge: 21
Registriert: Di 04 Mai, 2004 11:47

Beitragvon marvin42 » Di 04 Mai, 2004 16:04

Arturo hat geschrieben:Also bis jetzt hat meine FW alles abgefangen. Aber woher weiss ich, wenn sie´s nicht mehr tut???

Danke Martin.


Lies doch mal:
http://www.heise.de/security/news/meldung/47063

MfG,
Marvin
marvin42
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 51
Registriert: Di 03 Feb, 2004 19:12

Re: PREISFRAGE

Beitragvon Arturo » Di 04 Mai, 2004 22:05

jutta hat geschrieben:
Schoen fuer dich, dass du keine Viren und Wuermer auf deinem PC hast, hat aber eh keiner behauptet :)

http://www.ikarus-software.at/portal/modules.php?name=News&file=article&sid=81


Laut Artikel auf obiger Seite sind nur XP & Win2000-Systeme befallen, ich jedoch habe -und jetzt BITTE nicht lachen - ME! :ok:

Also was jetzt??? Gruss Arturo :diabolic:
Arturo
Neu im Board
Neu im Board
 
Beiträge: 21
Registriert: Di 04 Mai, 2004 11:47

Re: PREISFRAGE

Beitragvon jutta » Mi 05 Mai, 2004 04:17

Arturo hat geschrieben:
Laut Artikel auf obiger Seite sind nur XP & Win2000-Systeme befallen, ich jedoch habe -und jetzt BITTE nicht lachen - ME! :ok:



Ich lach eh nicht - wir waren alle mal Anfaenger und sind es bei neuer Hard- und Software immer wieder.

*Du* bekommst die Anfragen an deine Ports 135, 445 etc, weil die Rechner von *anderen Leuten* infiziert sind. Das ist voellig unabhaengig von deinem Betriebssystem.

Daher kannst du auch nichts gegen die "Portscans" tun - ausser du ziehst durchs Land und desinfizierst alle Rechner.

Anderes Beispiel, das vielleicht verstaendlicher ist: Für Mac- und Linux-Rechner gibt es praktisch keine Mail-Wuermer. Trotzdem erhalten Mac- und Linux-User pausenlos verseuchte Mails von Windows-Rechnern.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

MAC & CO

Beitragvon Andreas2000 » Mi 05 Mai, 2004 09:13

Also ich würd mal das Zyxel Modem umdrehen und dort mal bei der MAC Adresse nachschauen - da pickt normalerweise auf der Unterseite ein Barcode mit der MAC Adresse drauf - aber wie gesagt: wenn du die MAC blockst und es geht gar nix mehr dann liegt die Vermutung nahe, daß es entweder Deine Netzwerkkarte oder dein ADSL Modem ist :?
STRESSFREI ROUTEN MIT FLI4L :ok:
Andreas2000
Board-Mitglied
Board-Mitglied
 
Beiträge: 150
Registriert: Di 06 Apr, 2004 12:54

Beitragvon TwIce » Mi 05 Mai, 2004 10:42

die beiden genannte würmer scannen sicher ned nur dich, keine sorge ^^

stell dir einfach nen zufallsgenerator vor, der IP-adressen ausspuckt, und bei denen scannen die beiden mistkäfer nach schwachstellen... wenn eh ne firewall hast und sogar von grc.com ne gute bewertung bekommst, brauchst dir an sich keine sorgen machen.
aber dann lass auch die jungs vom inode-support in ruh, die können ja nix dafür, daß einer ihrer user sich ein paar würmer eingesammelt hat ;)
Error 403:

Forbidden.
You don't have permission to access /signature on this server.
TwIce
Board-User Level 1
Board-User Level 1
 
Beiträge: 528
Registriert: Mo 19 Apr, 2004 16:21
Wohnort: Carinthia

Re: MAC & CO

Beitragvon Arturo » Mi 05 Mai, 2004 11:57

Andreas2000 hat geschrieben:Also ich würd mal das Zyxel Modem umdrehen und dort mal bei der MAC Adresse nachschauen - da pickt normalerweise auf der Unterseite ein Barcode mit der MAC Adresse drauf - aber wie gesagt: wenn du die MAC blockst und es geht gar nix mehr dann liegt die Vermutung nahe, daß es entweder Deine Netzwerkkarte oder dein ADSL Modem ist :?


Also, ich habe das Modemumgedreht! Da steht folg. 00A0C576C365. Falls dies die MAC# sein soll, dann kenne ich mich schon absolut nicht aus, weil: wenn ich winipcfg ausführe, steht dort unter "Netzwerkkartenadresse" dies: 00-A0-CC-C1-8A-34, und wenn ich mir den Sec.Log meiner Firewall anschaue, dort steht wiederum unter LocalMAC immer: 44-45-53-54-00-00

Wenn ich durch die FW den MAC blocke (NUR incoming), dann kann ich schon surfen, jedoch viellangsamer. Wenn ich beide Richtungen blocke, dann geht nichts mehr.

Also WAS??? jetzt???

Grußan alle :-?
Arturo
Neu im Board
Neu im Board
 
Beiträge: 21
Registriert: Di 04 Mai, 2004 11:47

VorherigeNächste

Zurück zu ANTIVIRUS & SECURITY

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste