[HaBo]

Gizmo · 11.03.06, 13:18

Hallo.

ich habe vorhin meine Log Dateien kurz überflogen und dabei ist mir bei den Port Scan Attacken jemand mit der IP 60.11.xxx.xx ins Auge gestochen.

Er/Sie scannt seit 4 Wochen täglich immer wieder unter dieser IP 60.11.xxx.xx bei mir die gleichen Ports: 1029, 1032, 1027, 1030 und 1031.

Normal interessiert mich sowas nicht aber 4 Wochen jeden Tag interessiert mich nun doch.

Ich will die Person bei seinem Provider melden, mein Problem ist das ich bei IP´s ausserhalb Europas keine Provder rausbekomm. Gibt es dafür eine einfache online Hilfe, normal gehts mit Schwarzl.at, nur dort wird alles ausserhalb Europas nur noch in Länder kategorisiert, die Mail Anschrift des Providers steht dann also nicht mehr dabei ist aber genau das was ich benötige.

Edit: IP editiert.

Imrahil · 11.03.06, 13:22

Ripe.net ist deine Addresse

http://www.ripe.net/fcgi-bin/whois?f...&submit=Search

Anzeige

- Anzeige -

srji · 11.03.06, 13:34

http://rafb.net/paste/results/pbG6gi28.html

hrhr, in china, viel spaß

ivegotmail · 11.03.06, 14:21

das sind wohl eher keine Port Scan Attacken, sondern du bekommst von dem rechner bestimmt spam via windows nachrichtendienst. das sind nämlich die typischen ports.

Imrahil · 11.03.06, 19:02

schreib deinen ISP/Provider an und sag was vorliegt.
Im Regelfall sind die in der Lage die IP-Addresse zu sperren dass sie nimmer nervt

Imrahil

Maddin · 18.03.06, 20:13

hast du ne stat. ip? wie kann er/sie dich dann permanent scannen, ich glaube das ist etwas unwahrscheinlich, da müsste er/sie ja den ganzen tag scanne, also ist das ausgeschlossen, ich denke auch das es was mit dem windoof nachrichten(spamservice wie oben genannt wurde zu tun hat.

MFG Maddin

Oi!Alex · 18.03.06, 21:26

*lach*
scheisse ist das geil - die gleiche ip hat mich heute 4 mal nach den gleichen ports gescannt

sabine26 · 20.05.06, 14:14

Hallo,

die Frage "hast du ne stat. ip? wie kann er/sie dich dann permanent scannen, ich glaube das ist etwas unwahrscheinlich,..." ist gut!

Geht es hier wirlich um Portscan von außen? Ich werde zwar auch von außen gescannt, aber auch mein Rechner erzeugt auch ausgehenden Traffic zu dieser IP-Adresse (und anderen Adressen).

Auf meinem Rechner läuft Traffic über die NETBIOS-Ports, obwohl ich NETBIOS über TCP/IP schon vor längerem deaktiviert habe. Das wirkich spannende daran ist, dass der Traffice regelmäßig ALLE 10 MINUTEN auf folgende IP-Adressen geht:

15:56:40 UDP 192.168.121.255 NETBIOS_DGM

Hier ein Beispiel für die Regelmäßigkeit:

15:45:08 NETBIOS AUSGEHEND ABGELEHNT UDP 60.11.xxx.xx NETBIOS_NS

--- Das geht so über Stunden ---

Jemand der helfen kann?

Danke,
Sabine

IP editiert.

SUID:root · 20.05.06, 23:16

Bitte postet hier keine IP-Adressen. Muss ja nicht zu einem Du-scanst-mich-Ich-scan-dich-Wettbewerb werden.

Sonst kommen Leute auf die Idee, diese IP "anzugreifen".

Zu eurem Problem:
Es ist kein Problem. Was stört euch an den Scans? Da sitzt irgendwo jemand der offensichtlich zu viel Zeit hat. Lasst ihn doch scannen. Macht die Warnungen bei euren PFWs aus und ihr habt Ruhe.
Wenn es der Router loggt, ist es ja auch egal. Manchmal können es auch infizierte Systeme sein, die bspw mit einem Wurm versucht sind, der wiederum versucht, sich durch offene Ports/Sicherheitslücken einzuschleusen.

Falls ihr es dem Provider melden wollt:
Gute Chancen IP-Adressen zuzuorden hat man auf der Website von SamSpade. Dort kann man alle Registierungsbehörden/Datenbanken abfragen.
www.samspade.org

Gruss

root

01 · 21.05.06, 07:47

Ich denke auch, dass das ein Zombie ist. DIe Frage ist, ob ich mich dazu durchringen könnte den ISP zu benachrichtigen. Gescant haben wir doch alle mal ;-)

In der c't hatten Sie sich auch mal darüber ausgelassen, dass durch P2P Systeme bei IP Wechsel mitlerweile recht häufig Verbindungsversuche auf die eMule,... Ports stattfinden, weil das Netz noch denkt, das sich unter der IP ein Client befindet.

sabine26 · 21.05.06, 09:03

Hallo Zusammen,

bei mir ist es nicht das Probelm, dass ich gescannt werde.

Mein Rechner selbst versucht diese IP-Adressen über NETBIOS zu erreichen.

Ich habe aber alles schon mit diversen Virenscannern und der sonstigen Software gescannt. Habe sogar schon auf einem anderen Rechner eine bootfähige DOS-CD erstellt, den neuesten F-Prot für DOS drauf gebrannt, den Rechner damit gestartet und komplett gescannt. Kein Virus gefunden. NETBIOS ist bei mir auch schon seit längerem deaktiviert.

Jetzt blockiere ich über meine Outpost Firewall diese IP-Adressen, aber irgendwas ist auch meinem Rechner im Gange, das ich nicht unter Kontrolle kriege.

Hat jemand irgendeinen Vorschlag?

Sabine.

01 · 21.05.06, 13:51

Von www.sysinternals.com würde ich mir mal TCPView besorgen und schauen welcher Prozess da am werkeln ist. Alternativ geht auch der Konsolenbefehl netstat -a.

Ich glaube aber hier gibt es extra ein Tutorial zum entfernen von Spyware also am besten da anfangen...

SUID:root · 21.05.06, 13:54

Du könntest mal einen Sniffer installieren (Ethereal, SpyNet) und gucken, was da so über deine Karte ins WWW geht. Ob du dann aus den Paketen was entnehmen kannst, ist eine andere Frage. Ein Versuch wäre es aber mal wert.

Gruss

root

sabine26 · 30.05.06, 12:00

Hallo Zusammen,

TCP-View zeigt diese Verbindungen nur als Systemprozess an, so dass nicht ersichtlich ist, welcher Prozess im Detail dahinter steckt. Um mit einem Sniffer in den Protokollen zu wühlen, hat mir die Energie gefehlt.

Stattdessen habe ich in der Registry nach Auffälligkeiten bei den Netzverbindungen gesucht, da nach Neuinstallation des letzten ServicePack4 für Windows 2000 und des zugehörigen Sicherheitsrollups weiterhin der Prozess versuchte nach außen zu kommen. Meine Theorie war, dass es dann nicht eine der wichtigen Systemdateien sein konnten, mit der sich ein Rootkit tarnen würde.

Interessanterweise änderten sich die IP-Adressen zu denen die ausgehende Verbindung aufgebaut werden sollte nach ca. 1 Woche. Jetzt sind es nur noch zwei Adressen, die erreicht werden sollen: 192.168.121.255 und 195.225.xxx.xx

In der Registry fand sich neben dem Schlüssel für den LAN-Adapter auch noch Einträge für einen weiteren LAN-Adapter, der aber nicht bei den Netz- und DFÜ-Verbindungen angezeigt wird:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{ 61E2ABEE-8B6F-415E-92AB-DD6FB39120FB}\Parameters\Tcpip]
"EnableDHCP"=dword:00000001
"IPAddress"=hex(7):30,00,2e,00,30,00,2e,00,30,00,2 e,00,30,00,00,00,00,00
"SubnetMask"=hex(7):30,00,2e,00,30,00,2e,00,30,00, 2e,00,30,00,00,00,00,00
"DefaultGateway"=hex(7):00,00
"DhcpIPAddress"="169.254.0.0"
"DhcpSubnetMask"="255.255.0.0"
"DhcpServer"="255.255.255.255"
"Lease"=dword:00000000
"LeaseObtainedTime"=dword:44144da9
"T1"=dword:44144da9
"T2"=dword:44144da9
"LeaseTerminatesTime"=dword:7fffffff

und

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{ C46D2EAA-A7E7-4886-9B89-62A3F52D0969}\Parameters\Tcpip]
"EnableDHCP"=dword:00000000
"IPAddress"=hex(7):31,00,39,00,32,00,2e,00,31,00,3 6,00,38,00,2e,00,31,00,32,00,\
31,00,2e,00,32,00,35,00,34,00,00,00,00,00
"SubnetMask"=hex(7):32,00,35,00,35,00,2e,00,32,00, 35,00,35,00,2e,00,32,00,35,\
00,35,00,2e,00,30,00,00,00,00,00
"DefaultGateway"=hex(7):00,00
"DhcpIPAddress"="0.0.0.0"
"DhcpSubnetMask"="255.0.0.0"
"DhcpServer"="255.255.255.255"
"Lease"=dword:00000e10
"LeaseObtainedTime"=dword:4013caeb
"T1"=dword:4013d1f3
"T2"=dword:4013d739
"LeaseTerminatesTime"=dword:4013d8fb

Diese Einträge habe ich sowohl im CotrollSet001, 002, als auch im CurrentControllSet umgenannt. (Also unter: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ und unter: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es)

Jetzt gibt es einen ausgehenden NETBIOS-Verkehr mehr, der versucht irgendwelche IP-Adressen zu erreichen. Damit ist das Problem zwar noch nicht vollständig behoben, denn den Prozess der die IP-Adressen zu erreichen versucht, habe ich nicht gefunden. Ich habe eigentlich nur den Kommunikationskanal blockiert.

Alle Virenscanner haben sonst bisher bei mir nichts gefunden. Sfc.exe hat auch alle Windows-Dateien geprüft und repariert.

Soweit zum Ergebnis.

Sabine

heinzelJacKy · 17.06.06, 15:10

also fuer mich sieht das sehr nach nem rootkit oder nem bösartigen treiber aus, also wuerd ich dir mal diverse rootkit-detection-software empfehlen (den rootkit-revealer von sysinternals oder icesword [kann allerdings probleme verursachen, ist auch nur sinnvoll wenn du dich mit dem zeug auskennst..] )
oder einfach mal alle installierten treiber durchgehen (geräte-manager->ausgeblendete geräte anzeigen) und alle verdächtige mal probeweise deaktivieren..
ansonsten der standard-tip: formatieren, da du nie sicher sein kannst, dass du die komplette malware gekillt hast und immer noch irgend etwas am laufen sein kann..

Anzeige

- Anzeige -

11.03.06, 13:18	#1 (permalink)
Gizmo Registriert seit: 20.10.02 Likes: 0	Permanenter Portscan, ich bräuchte Hilfe Anzeige Hallo. ich habe vorhin meine Log Dateien kurz überflogen und dabei ist mir bei den Port Scan Attacken jemand mit der IP 60.11.xxx.xx ins Auge gestochen. Er/Sie scannt seit 4 Wochen täglich immer wieder unter dieser IP 60.11.xxx.xx bei mir die gleichen Ports: 1029, 1032, 1027, 1030 und 1031. Normal interessiert mich sowas nicht aber 4 Wochen jeden Tag interessiert mich nun doch. Ich will die Person bei seinem Provider melden, mein Problem ist das ich bei IP´s ausserhalb Europas keine Provder rausbekomm. Gibt es dafür eine einfache online Hilfe, normal gehts mit Schwarzl.at, nur dort wird alles ausserhalb Europas nur noch in Länder kategorisiert, die Mail Anschrift des Providers steht dann also nicht mehr dabei ist aber genau das was ich benötige. Edit: IP editiert.

11.03.06, 14:21	#4 (permalink)
ivegotmail Member of Honour Registriert seit: 28.05.03 Likes: 1	das sind wohl eher keine Port Scan Attacken, sondern du bekommst von dem rechner bestimmt spam via windows nachrichtendienst. das sind nämlich die typischen ports. __________________ http://livehabo.hackerboard.de \| http://livebb.sourceforge.net

20.05.06, 14:14	#8 (permalink)
sabine26 Registriert seit: 20.05.06 Likes: 0	Bei mir ist AUSGEHDNER Traffic das Probelm. Hallo, die Frage "hast du ne stat. ip? wie kann er/sie dich dann permanent scannen, ich glaube das ist etwas unwahrscheinlich,..." ist gut! Geht es hier wirlich um Portscan von außen? Ich werde zwar auch von außen gescannt, aber auch mein Rechner erzeugt auch ausgehenden Traffic zu dieser IP-Adresse (und anderen Adressen). Auf meinem Rechner läuft Traffic über die NETBIOS-Ports, obwohl ich NETBIOS über TCP/IP schon vor längerem deaktiviert habe. Das wirkich spannende daran ist, dass der Traffice regelmäßig ALLE 10 MINUTEN auf folgende IP-Adressen geht: 15:56:40 UDP 192.168.121.255 NETBIOS_DGM Hier ein Beispiel für die Regelmäßigkeit: 15:45:08 NETBIOS AUSGEHEND ABGELEHNT UDP 60.11.xxx.xx NETBIOS_NS --- Das geht so über Stunden --- Jemand der helfen kann? Danke, Sabine IP editiert.

21.05.06, 09:03	#11 (permalink)
sabine26 Registriert seit: 20.05.06 Likes: 0	Nicht Scan, sondern ausgehender Traffic Hallo Zusammen, bei mir ist es nicht das Probelm, dass ich gescannt werde. Mein Rechner selbst versucht diese IP-Adressen über NETBIOS zu erreichen. Ich habe aber alles schon mit diversen Virenscannern und der sonstigen Software gescannt. Habe sogar schon auf einem anderen Rechner eine bootfähige DOS-CD erstellt, den neuesten F-Prot für DOS drauf gebrannt, den Rechner damit gestartet und komplett gescannt. Kein Virus gefunden. NETBIOS ist bei mir auch schon seit längerem deaktiviert. Jetzt blockiere ich über meine Outpost Firewall diese IP-Adressen, aber irgendwas ist auch meinem Rechner im Gange, das ich nicht unter Kontrolle kriege. Hat jemand irgendeinen Vorschlag? Sabine.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

11.03.06, 13:22	#2 (permalink)
Imrahil Registriert seit: 09.01.05 Likes: 0	Ripe.net ist deine Addresse http://www.ripe.net/fcgi-bin/whois?f...&submit=Search

11.03.06, 13:34	#3 (permalink)
srji Registriert seit: 05.11.05 Likes: 0	http://rafb.net/paste/results/pbG6gi28.html hrhr, in china, viel spaß

11.03.06, 19:02	#5 (permalink)
Imrahil Registriert seit: 09.01.05 Likes: 0	schreib deinen ISP/Provider an und sag was vorliegt. Im Regelfall sind die in der Lage die IP-Addresse zu sperren dass sie nimmer nervt Imrahil

18.03.06, 20:13	#6 (permalink)
Maddin Registriert seit: 18.03.06 Likes: 0	hast du ne stat. ip? wie kann er/sie dich dann permanent scannen, ich glaube das ist etwas unwahrscheinlich, da müsste er/sie ja den ganzen tag scanne, also ist das ausgeschlossen, ich denke auch das es was mit dem windoof nachrichten(spamservice wie oben genannt wurde zu tun hat. MFG Maddin

18.03.06, 21:26	#7 (permalink)
Oi!Alex Registriert seit: 17.01.06 Likes: 7	lach scheisse ist das geil - die gleiche ip hat mich heute 4 mal nach den gleichen ports gescannt

20.05.06, 23:16	#9 (permalink)
SUID:root Member of Honour Registriert seit: 04.09.04 Likes: 0	Bitte postet hier keine IP-Adressen. Muss ja nicht zu einem Du-scanst-mich-Ich-scan-dich-Wettbewerb werden. Sonst kommen Leute auf die Idee, diese IP "anzugreifen". Zu eurem Problem: Es ist kein Problem. Was stört euch an den Scans? Da sitzt irgendwo jemand der offensichtlich zu viel Zeit hat. Lasst ihn doch scannen. Macht die Warnungen bei euren PFWs aus und ihr habt Ruhe. Wenn es der Router loggt, ist es ja auch egal. Manchmal können es auch infizierte Systeme sein, die bspw mit einem Wurm versucht sind, der wiederum versucht, sich durch offene Ports/Sicherheitslücken einzuschleusen. Falls ihr es dem Provider melden wollt: Gute Chancen IP-Adressen zuzuorden hat man auf der Website von SamSpade. Dort kann man alle Registierungsbehörden/Datenbanken abfragen. www.samspade.org Gruss root

21.05.06, 07:47	#10 (permalink)
01 Registriert seit: 16.05.06 Likes: 0	Ich denke auch, dass das ein Zombie ist. DIe Frage ist, ob ich mich dazu durchringen könnte den ISP zu benachrichtigen. Gescant haben wir doch alle mal ;-) In der c't hatten Sie sich auch mal darüber ausgelassen, dass durch P2P Systeme bei IP Wechsel mitlerweile recht häufig Verbindungsversuche auf die eMule,... Ports stattfinden, weil das Netz noch denkt, das sich unter der IP ein Client befindet.

21.05.06, 13:51	#12 (permalink)
01 Registriert seit: 16.05.06 Likes: 0	Von www.sysinternals.com würde ich mir mal TCPView besorgen und schauen welcher Prozess da am werkeln ist. Alternativ geht auch der Konsolenbefehl netstat -a. Ich glaube aber hier gibt es extra ein Tutorial zum entfernen von Spyware also am besten da anfangen...

21.05.06, 13:54	#13 (permalink)
SUID:root Member of Honour Registriert seit: 04.09.04 Likes: 0	Du könntest mal einen Sniffer installieren (Ethereal, SpyNet) und gucken, was da so über deine Karte ins WWW geht. Ob du dann aus den Paketen was entnehmen kannst, ist eine andere Frage. Ein Versuch wäre es aber mal wert. Gruss root

30.05.06, 12:00	#14 (permalink)
sabine26 Registriert seit: 20.05.06 Likes: 0	Hallo Zusammen, TCP-View zeigt diese Verbindungen nur als Systemprozess an, so dass nicht ersichtlich ist, welcher Prozess im Detail dahinter steckt. Um mit einem Sniffer in den Protokollen zu wühlen, hat mir die Energie gefehlt. Stattdessen habe ich in der Registry nach Auffälligkeiten bei den Netzverbindungen gesucht, da nach Neuinstallation des letzten ServicePack4 für Windows 2000 und des zugehörigen Sicherheitsrollups weiterhin der Prozess versuchte nach außen zu kommen. Meine Theorie war, dass es dann nicht eine der wichtigen Systemdateien sein konnten, mit der sich ein Rootkit tarnen würde. Interessanterweise änderten sich die IP-Adressen zu denen die ausgehende Verbindung aufgebaut werden sollte nach ca. 1 Woche. Jetzt sind es nur noch zwei Adressen, die erreicht werden sollen: 192.168.121.255 und 195.225.xxx.xx In der Registry fand sich neben dem Schlüssel für den LAN-Adapter auch noch Einträge für einen weiteren LAN-Adapter, der aber nicht bei den Netz- und DFÜ-Verbindungen angezeigt wird: [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{ 61E2ABEE-8B6F-415E-92AB-DD6FB39120FB}\Parameters\Tcpip] "EnableDHCP"=dword:00000001 "IPAddress"=hex(7):30,00,2e,00,30,00,2e,00,30,00,2 e,00,30,00,00,00,00,00 "SubnetMask"=hex(7):30,00,2e,00,30,00,2e,00,30,00, 2e,00,30,00,00,00,00,00 "DefaultGateway"=hex(7):00,00 "DhcpIPAddress"="169.254.0.0" "DhcpSubnetMask"="255.255.0.0" "DhcpServer"="255.255.255.255" "Lease"=dword:00000000 "LeaseObtainedTime"=dword:44144da9 "T1"=dword:44144da9 "T2"=dword:44144da9 "LeaseTerminatesTime"=dword:7fffffff und [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{ C46D2EAA-A7E7-4886-9B89-62A3F52D0969}\Parameters\Tcpip] "EnableDHCP"=dword:00000000 "IPAddress"=hex(7):31,00,39,00,32,00,2e,00,31,00,3 6,00,38,00,2e,00,31,00,32,00,\ 31,00,2e,00,32,00,35,00,34,00,00,00,00,00 "SubnetMask"=hex(7):32,00,35,00,35,00,2e,00,32,00, 35,00,35,00,2e,00,32,00,35,\ 00,35,00,2e,00,30,00,00,00,00,00 "DefaultGateway"=hex(7):00,00 "DhcpIPAddress"="0.0.0.0" "DhcpSubnetMask"="255.0.0.0" "DhcpServer"="255.255.255.255" "Lease"=dword:00000e10 "LeaseObtainedTime"=dword:4013caeb "T1"=dword:4013d1f3 "T2"=dword:4013d739 "LeaseTerminatesTime"=dword:4013d8fb Diese Einträge habe ich sowohl im CotrollSet001, 002, als auch im CurrentControllSet umgenannt. (Also unter: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ und unter: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es) Jetzt gibt es einen ausgehenden NETBIOS-Verkehr mehr, der versucht irgendwelche IP-Adressen zu erreichen. Damit ist das Problem zwar noch nicht vollständig behoben, denn den Prozess der die IP-Adressen zu erreichen versucht, habe ich nicht gefunden. Ich habe eigentlich nur den Kommunikationskanal blockiert. Alle Virenscanner haben sonst bisher bei mir nichts gefunden. Sfc.exe hat auch alle Windows-Dateien geprüft und repariert. Soweit zum Ergebnis. Sabine

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Bräuchte Hilfe beim Crackme	crx1	Hacks & Crackmes	1	05.02.09 19:27
Bräuchte ein Programm für das Formellösen.	Ollli	Applikationen	13	22.02.08 15:34

17.06.06, 15:10	#15 (permalink)
heinzelJacKy Registriert seit: 11.09.05 Likes: 0	also fuer mich sieht das sehr nach nem rootkit oder nem bösartigen treiber aus, also wuerd ich dir mal diverse rootkit-detection-software empfehlen (den rootkit-revealer von sysinternals oder icesword [kann allerdings probleme verursachen, ist auch nur sinnvoll wenn du dich mit dem zeug auskennst..] ) oder einfach mal alle installierten treiber durchgehen (geräte-manager->ausgeblendete geräte anzeigen) und alle verdächtige mal probeweise deaktivieren.. ansonsten der standard-tip: formatieren, da du nie sicher sein kannst, dass du die komplette malware gekillt hast und immer noch irgend etwas am laufen sein kann..

[HaBo]

Permanenter Portscan, ich bräuchte Hilfe