Ein Server versucht, mit meinem Rechner zu kommunizieren

Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at verwendet.
Forumsregeln
Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at

Ein Server versucht, mit meinem Rechner zu kommunizieren

Beitragvon littlety » So 23 Okt, 2005 10:11

Hi!
Ich bekomme des öfteren Meldungen von meiner FireWall,
daß von der IP 66.28.202.153 (server976.idealbandwidth.com, Washington D.C., U.S. of A.)
aus versucht wird, auf meinen Rechner zuzugreifen.

Könnte das etwas mit Inode zu tun haben (der Zugriff erfolgt direkt auf den Innsbrucker Backbone),
und soll ich das zulassen oder nicht?
littlety
Board-Mitglied
Board-Mitglied
 
Beiträge: 175
Registriert: Do 22 Sep, 2005 12:52
Wohnort: Absam

Beitragvon max_payne » So 23 Okt, 2005 10:19

zugreifen?
inwiefern zugreifen?
ping?
max_payne
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4982
Registriert: Mo 30 Aug, 2004 12:25

Beitragvon Tom-Wien » So 23 Okt, 2005 10:30

info zu dieser ip:
Code: Alles auswählen
OrgName:    Cogent Communications
OrgID:      COGC
Address:    1015 31st St NW
City:       Washington
StateProv:  DC
PostalCode: 20007
Country:    US

ReferralServer: rwhois://rwhois.cogentco.com:4321/

NetRange:   66.28.0.0 - 66.28.255.255
CIDR:       66.28.0.0/16
NetName:    COGENT-NB-0000
NetHandle:  NET-66-28-0-0-1
Parent:     NET-66-0-0-0-0
NetType:    Direct Allocation
NameServer: AUTH1.DNS.COGENTCO.COM
NameServer: AUTH2.DNS.COGENTCO.COM
Comment:    ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
Comment:    Reassignment information for this block can be found at
Comment:    rwhois.cogentco.com 4321
RegDate:    2000-10-12
Updated:    2001-12-05

TechHandle: ZC108-ARIN
TechName:   Cogent Communications
TechPhone:  +1-877-875-4311
TechEmail:  [email protected]

OrgAbuseHandle: COGEN-ARIN
OrgAbuseName:   Cogent Abuse
OrgAbusePhone:  +1-877-875-4311
OrgAbuseEmail:  [email protected]

OrgNOCHandle: ZC108-ARIN
OrgNOCName:   Cogent Communications
OrgNOCPhone:  +1-877-875-4311
OrgNOCEmail:  [email protected]

OrgTechHandle: IPALL-ARIN
OrgTechName:   IP Allocation
OrgTechPhone:  +1-877-875-4311
OrgTechEmail:  [email protected]

imho handelt es sich um einen isp in usa, die anfrage stammt aus pasing (südostasiatischer raum)
würd eher tippen das du auf eine website von denen zugegriffen hast.
LG

Tom
TA KOMBI
Tom-Wien
Advanced Power-User
Advanced Power-User
 
Beiträge: 3559
Registriert: So 07 Mär, 2004 11:02
Wohnort: Wien / LA

Beitragvon jutta » So 23 Okt, 2005 11:06

und welche art von server? in meinem auth.log hab ich jede menge von fernoestlichen ip adressen, die die sonderbarsten user ausprobieren. reingekommen ist aber noch keiner ;-p
schau noch einmal nach, was genau in den logfiles deiner firewall steht.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon lordpeng » So 23 Okt, 2005 11:50

>die die sonderbarsten user ausprobieren. reingekommen ist aber noch keiner ;-p
wenn einer rein kommt und root rechte erlangen sollte wirst dass dann auch nicht mehr in den logs sehen, da sind dann vielleicht ein paar zeilen die komisch aussehen, das wars dann aber auch schon ...

am besten prophylaktisch regelmässig chkrootkit oder ähnliche tools drüber laufen zu lassen
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Beitragvon littlety » So 23 Okt, 2005 11:59

Tom-Wien hat geschrieben:würd eher tippen das du auf eine website von denen zugegriffen hast.

Eben nicht,
zu dem Zeitpunkt war ich zwar online, aber nicht aktiv im net,
kein Browser oder sonst etwas geöffnet.

@jutta,
keine logfiles, weil ich das mitloggen deaktiviert hatte,
die FW meldete nur einen Kommunikationsversuch.
littlety
Board-Mitglied
Board-Mitglied
 
Beiträge: 175
Registriert: Do 22 Sep, 2005 12:52
Wohnort: Absam

Beitragvon jutta » So 23 Okt, 2005 12:23

dann aktivier halt die logfiles. eine firewall ohne logs ist eh ziemlich sinnlos, denn was ein gefaehrlicher angriff ist, kann nur ein mensch entscheiden.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon medice » So 23 Okt, 2005 13:15

oder norton - weil da is alles was von draußen reinkommt eine gefährliche Attacke ;)
Mfg
Medice

Wir in Bayern brauchen keine Opposition, weil wir sind schon Demokraten. (c) Gerhard Polt
medice
Advanced Power-User
Advanced Power-User
 
Beiträge: 3288
Registriert: Fr 13 Mai, 2005 10:32
Wohnort: Graz

Beitragvon littlety » So 23 Okt, 2005 15:12

Das Protokolle-Lesen ist eine abendfüllende Lektüre.... :D
Was den oben angeführten Vorfall angeht, der ist nicht wieder aufgetreten und sowieso blockiert.

Was mir aber ganz und gar spanisch vorkommt:

netbios TCP local:85.124.50.30 MICROSOFT_DS 85.225.6.215 2018 NetBIOS-Datenverkehr blockieren EIN ABGELEHNT 16:02:05 10 Sekunde(n) 0 Byte 0 Byte 0 Bps ---

n/a TCP local:85.124.50.30 DCOM 85.124.109.200 2599 Block Remote Procedure Call (TCP) EIN ABGELEHNT 16:02:55 04 Sekunde(n) 0 Byte 0 Byte 0 Bps ---

n/a TCP local:85.124.50.30 DCOM 85.124.15.111 1256 Block Remote Procedure Call (TCP) EIN ABGELEHNT 16:03:43 07 Sekunde(n) 0 Byte 0 Byte 0 Bps ---

netbios TCP local:85.124.50.30 MICROSOFT_DS 85.124.24.202 3729 NetBIOS-Datenverkehr blockieren EIN ABGELEHNT 16:04:02 04 Sekunde(n) 0 Byte 0 Byte 0 Bps ---

Sowohl DCOM als auch NetBIOS über TCP sind lokal deaktiviert,
anscheinend kommen mit Ausnahme der ersten Eintrags alle anderen von der Inode-IP-Range.
Ich bin ein bißchen ratlos - verwendet Inode noch NetBIOS über TCP??
littlety
Board-Mitglied
Board-Mitglied
 
Beiträge: 175
Registriert: Do 22 Sep, 2005 12:52
Wohnort: Absam

Beitragvon jutta » So 23 Okt, 2005 15:21

littlety hat geschrieben:netbios TCP local:85.124.50.30 MICROSOFT_DS 85.124.24.202 3729 NetBIOS-Datenverkehr blockieren EIN ABGELEHNT 16:04:02 04 Sekunde(n) 0 Byte 0 Byte 0 Bps ---

Sowohl DCOM als auch NetBIOS über TCP sind lokal deaktiviert,
anscheinend kommen mit Ausnahme der ersten Eintrags alle anderen von der Inode-IP-Range.
Ich bin ein bißchen ratlos - verwendet Inode noch NetBIOS über TCP??

das sind die viren/wurm-verseuchten pcs von inode-kunden.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon littlety » So 23 Okt, 2005 15:27

Noch eine letzte Frage (ein wenig off topic):
Bei Inode Private Large war unter Eigenschaften => Netzwerk => ....(PPPoe) => Einstellungen
die Softwarekomprimierung aktiv geschaltet.

Bei Inode Private Medium 4096 / 768 ist das unter ... (PPPoE) ebenso, ist die Einstellung korrekt?
littlety
Board-Mitglied
Board-Mitglied
 
Beiträge: 175
Registriert: Do 22 Sep, 2005 12:52
Wohnort: Absam

Beitragvon littlety » So 23 Okt, 2005 15:31

jutta hat geschrieben:das sind die viren/wurm-verseuchten pcs von inode-kunden.

Danke für die Auskunft - ein Kommentar dazu würde möglicherweise etwas sarkastisch ausfallen... :D
littlety
Board-Mitglied
Board-Mitglied
 
Beiträge: 175
Registriert: Do 22 Sep, 2005 12:52
Wohnort: Absam

Beitragvon jutta » So 23 Okt, 2005 15:32

wenn das der win xp-default ist, wird es schon passen (bei mir jedenfalls auch aktiv). mit der bandbreite hat es jedenfalls nichts zu tun, die einwahl funktioniert bei jeder bandbreite gleich.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon littlety » So 23 Okt, 2005 15:39

Dankeschön! :ok: :)
littlety
Board-Mitglied
Board-Mitglied
 
Beiträge: 175
Registriert: Do 22 Sep, 2005 12:52
Wohnort: Absam

Re: Ein Server versucht, mit meinem Rechner zu kommunizieren

Beitragvon hotze_com » So 23 Okt, 2005 19:13

littlety hat geschrieben:Hi!
Ich bekomme des öfteren Meldungen von meiner FireWall,
daß von der IP 66.28.202.153 (server976.idealbandwidth.com, Washington D.C., U.S. of A.)
aus versucht wird, auf meinen Rechner zuzugreifen.

Könnte das etwas mit Inode zu tun haben (der Zugriff erfolgt direkt auf den Innsbrucker Backbone),
und soll ich das zulassen oder nicht?


welche Firewall? (Hersteller, ...)

warum soll es etwas mit Inode zu tun haben? es ist ja eine IP die nicht von Inode ist.

und vom welchen Innsbrucker Backbone sprichst du? Es gibt in Innsbruck ein paar Hunder km LWL und Kupfer verschiedener Eigentümer ... aber das soll ein Backbone sein?

lg, martin
hotze_com
 

Nächste

Zurück zu ANTIVIRUS & SECURITY

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 19 Gäste