[HaBo]

SiRRiuS

Anzeige

Jedes mal, wenn ich zur zeit ins i-net gehe, kommt folgende meldung von meiner firewall (norton-personal firewall 2002): Ein Remote Programm versucht auf Ihren Computer zuzugreifen und dann

Backdoor Trojan/ Sub Seven
oder manchmal steht da auch
Backdoor Trojan/Netbus

S******* denk ich mir da!!! Wie kann ich jetz die Ip von dem Typen rausbekommen? Kann man die Ip eigentlich auch aus ner e-mail rausbekommen? Den Scheiß mit netstat -a, oder so hab ich schon oft ausprobiert, aber da stehen so viele adressen! Hab mal versucht jemanden über icq eine message zu senden und dann über den genannten befehl seine ip rauszubekommen, nur um zu sehen, obs funzt, aber da stehen so viele adressen, was ist da die richtige? Auf was muss ich dabei achten was davorsteht, oder so????? Is wirklich dringend!!!!!


THX

ph0x

wenn du eine email von dem typ hast, ist es einfach.
schau im header der mail nach. dort findest du einen punkt

X-Originating IP:

und danach steht in klammern eine ip. wenn das eine email von dem typ ist und er keinen router oder proxy benutzt, hast du seine ip.


so long, gruß mcrack

nook

Sieht so aus als ob du nen Sub7 und Netbut-server auf deinem Rechner hast Scann mal mit einem Troj.scanner und entferne sie!

Wenn du ueber netstat eine ip rausfinden willst, dann mach einmal netstat bevor und einmal nachdem du deinem opfer die msg. geschickt hast (dein opfer wieder zurueck geschrieben hat)! dann vergleiche, welche ip vorher auf "abhoeren" stand und welche nun angezeigt wird. (wenn das jmd. versteht, bin ich stolz auf ihn )

Tec

ich glaube eher du wirst nur gescannt. norton heult doch schon auf wenn dich jemand anpingt.

falls du doch infiziert sein solltest, lasse dich mal hier scannen.

DocZimmermann

P.s.
Wenn deine Firewall diesen angriff meldet steht da auch der Angreifer mti bei !!!!! ( Und die IP ) Einfach mal genauer hinschauen!
Und nun sag bitte nicht das die da nicht steht! Es giebt keine FW die das nicht anzeigt!!!!
So nun haste die IP .... UND ????
Kannst ja deine gesamte Internt Zeit damit verbringen mails an Abuse@t-online.de zu schreiben. Und die nehmen deine Mail sowieso nicht ernst da das reine Scannen nicht strafbar ist!
P.S. vieleicht soltest du dir mal eine FW besorgen die nicht alle 30 Sec aufspringt und rumschreit: Hey schau mal wie gut ich bin den ich habe das geblockt!

Eine gute FW solte das ohne meldung blocken können damit ich in Ruhe Arbeiten kann und nicht alle 2 Min damit beschäftigt bin Meldungen wegzudrücken.
Und dann wenn ich mal lust habe will ich die Log sehen um zu sehen was los war!

TheDoc

antcool

Sieh mal in der Log von der FW nach!! Oder im Prog selber!?

SiRRiuS

Da steht nur was von häufigster angreifer bei meiner Firewall!
Und als mich einer von denen das erste mal angegriffen hat, hab ich nicht die nötige courage gehabt, mir gleich die iP aufzunotieren! *Sorry*

Angriffe: 32
Häufigster Agreifer: 142.253.71.129
Und noch das datum!

Jetz zuvor gerade kam folgende meldung:

blablabla, ein remote, blablabla, backdoor trojan names "Deep throat" Kennt ihr den? Was soll das denn schon wieder sein? Ich werd noch verrückt!!!

@tha nookie
Das mit netstat hat übrigens geklappt! Aber welchen Parameter setzt du eigentlich immer hinter das netstat? a, oder was?

Nur das mit der e-mail und der ip hab ich noch nicht so ganz gecheckt!



Übrigens, was ich noch wissen wollte: Hab ich die ip, die z.b. bei netstat angezeigt wird immer, oder kann ich die irgendwie ändern, oder wird die irgendwann geändert?


THX für eure schnellen antworten!!!!!!! :-)

nook

Deep Throat ist ebenfalls ein Trojaner...
Ich wuerde dir wirklich raten, dir The Cleaner zu saugen und mal nach Trojanern zu scannen!

ich nehm netstat -a oder -n is mir relativ egal...

Was deine IP angeht, die wird bei jeder NEUEN Internetconnection geaendert

DocZimmermann

Hey thaNookie,
er hat keinen Trojaner. er hat bloß seine FW auf ultra scharf gestellt und mit ultra viele Meldungen!
vermutlich lässt er noch File-Share progs laufen und wundert sich das so viele Ports im Oberen bereich auf sind......
Sorry SiRRiuS aber lese dir doch mal einfach das handbuch durch!
Dort wirst du auch alle antworten finden.

TheDoc


Oh Internet verzeihe ihnen den sie wissen nicht was sie tun.

nook

Hmm aber man koennte ja mal vorsichtshalber scannen, dass /me zumindest noch eine kleine Chance hat, Recht zu haben

SiRRiuS

Erst mal THX für eure schnellen antworten!!!!


*hab übrigens meine fw nich auf ultrascharf, sondern auf mittel gestellt! Was würdest du mir denn für ein fw empfehlen @doc zimmermann! Was benutzt du denn für eine? Oder benutzt du portwächter?

ph0x

Return-path: <test@test.de>
Envelope-to: webmaster@mcrackp.de
Delivery-date: Wed, 09 Jan 2002 02:01:03 +0100
Received: from [147.208.166.11](helo=################.com) by mxng05.kundenserver.de with esmtp (Exim 3.22 #2) id 16O76y-0001RI-00 for webmaster@mcrackp.de; Wed, 09 Jan 2002 02:01:00 +0100
Received: from i01sv4139 (unverified [10.81.26.12]) by ###############.com (Rockliffe SMTPRA 4.5.4) with SMTP id <B3012227326@################.com> for <webmaster@mcrackp.de>; Wed, 9 Jan 2002 01:00:56 +0000
Message-ID: <B3012227326@################.com>
X-Originating-IP: [80.132.106.246]
X-MSMail-Priority: Normal
X-mailer: AspMail 4.0 4.02 (SMT4DD4B4F)
Content-Type: text/plain; charset="us-ascii"
Content-Transfer-Encoding: 7bit
From: Name Nachname <test@test.de>
Date: Wed, 09 Jan 2002 2:00:56 +0100
Subject: g'sundes neues!
To: "webmaster@mcrackp.de" <webmaster@mcrackp.de>

alles klar?


so long, gruß mcrack

Flou

Es würde vielleicht nichts schaden diese Beiträge mal in aller Ruhe durchzulesen ==>> keine DF (meine Meinung)

mfg. Odin

Chris

Zum Thema Firewall:

Kennt jemand ZoneAlarm? Was haltet ihr davon.
Also, viel Meldungen ausgeben tut die nit... (hoffentlich schützt sie... *bang* )

Rushjo

@Chris

Bitte lies mal den Link oben von Odin!
... und dann überleg mal!!!!!

Desweiteren nutze mal einfach die Suchfunktion
des Boardes!

MfG Rushjo