[HaBo]

orangenhaut

Hallo Leute!

Ich habe mich angemeldet weil ich eine absolute Niete bin und eure Hilfe brauche :D

Seit einigen Wochen bin ich in mehreren Foren unterwegs um den Tod eines Politikers zu diskutieren. Dieser Politiker starb offiziell bei einem Unfall, seine letzten Stunden sind jedoch nicht vollständig geklärt. Er starb am 11.10.2008. Auf seiner Sargplakette war das Todesdatum mit 11.10.10.2008 eingraviert. Warum das so eingraviert wurde lass ich jetzt mal offen.

Jetzt zum Problem:

Ich bekomme seit geraumer Zeit folgende Meldung v meiner Firewall:

Jemand scannt Ihren Computer.
Ihre UDP ports:
3040, 3041, 3043, 3044 und 3071 wurden von 10.101.1.1 gescannt.

Traffic von IP-Adresse 10.101.1.1 ist blockiert von 12/16/2008 22:34:58 bis 12/16/2008 22:44:58.

Active Antwort, welche bei 12/16/2008 22:34:58 startet ist ausgelöst. Der Traffic von IP-Adresse 10.101.1.1 wurde für 600 Sekunden blockiert.

Jemand scannt Ihren Computer.
Ihre UDP ports:
1064, 1065, 1073, 1086 und 1087 wurden von 10.101.1.1 gescannt.

usw usf.

Das interessante daran ist dass die ip Adresse die mich scannt Ähnlichkeiten mit dem Sterbedatum dieses Politikers aufweist.

Auch andere User, die in diesen Foren unterwegs sind, berichteten ähnliche "Symptome"

Fragen:

Kann man feststellen wer mich scannt?
Was heisst das für meinen PC wenn ich gescannt werde?
Ist diese IP Adresse und das Todesdatum des Politikers Zufall?
Habe ich mir einen "Staatstrojaner" eingefangen ?
Was kann ich gegen diese Art von Belästigung tun ?


Vielen Dank für eure Hilfe im Voraus!

simsim

Das ist jetzt aber echt ein Witz oder?

__________________

xeno

Ja, es ist die 10.101.1.1. tracert/whois sollte dir Aufschluss über den Provider geben.

Nichts, solange hinter den jeweilgen Ports nicht läuft, was unter Umständen angreifbar wäre. Du kennst deinen Rechner, wir nicht

Ja, oder ein dummer Scherz von einem dummen, gelangweilten Hempel.

Nein.

Die IP bannen.

__________________
http://www.thehappy.de/~xeno/
http://www.blogthon.de/

orangenhaut

Who is: Bachtrace

KEINE AHNUNG WAS ICH DAMIT ANFANGEN SOLL

% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '10.0.0.0 - 10.255.255.255'

inetnum: 10.0.0.0 - 10.255.255.255
netname: IANA-ABLK-RESERVED1
descr: Class A address space for private internets
descr: See http://www.ripe.net/db/rfc1918.html for details
country: EU # Country is really world wide
org: ORG-IANA1-RIPE
admin-c: RFC1918-RIPE
tech-c: RFC1918-RIPE
status: ALLOCATED UNSPECIFIED
remarks: Country is really worldwide
remarks: This network should never be routed outside an enterprise
remarks: See RFC1918 for further information
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: RIPE-NCC-HM-MNT
source: RIPE # Filtered

organisation: ORG-IANA1-RIPE
org-name: Internet Assigned Numbers Authority
org-type: IANA
address: see http://www.iana.org
remarks: The IANA allocates IP addresses and AS number blocks to RIRs
remarks: see http://www.iana.org/ipaddress/ip-addresses.htm
remarks: and http://www.iana.org/assignments/as-numbers
e-mail: bitbucket@ripe.net
admin-c: IANA1-RIPE
tech-c: IANA1-RIPE
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered

role: RFC1918 Role
address: Singel 258
address: 1016 AB Amsterdam
address: The Netherlands
e-mail: rfc1918@ripe.net
remarks: trouble: See http://www.ripe.net/db/rfc1918.html
admin-c: RFC1918-RIPE
tech-c: RFC1918-RIPE
nic-hdl: RFC1918-RIPE
mnt-by: RFC1918-MNT
source: RIPE # Filtered


Wie kann ich die ip bannen?


Und danke für die schnelle prompte Antwort! Wirklich klasse!

Inliferty

Verbessere mich wenn ich falsch liege aber 10.x.x.x liegt doch im privaten Addressraum als Tracen wird da wohl nicht sehr viel bringen.

Mfg Inliferty

xeno

wenn man zuschnell antwortet... natürlich ist das ein prvater bereich wie 172.16-172.33 und 192.168.
wäre also durchaus denkbar, daß sich da was installiert hat was man nicht haben will. hier sind dann wohl die kill-the-ugly-trojan-in-windows leute gefragt

danke für den hinweis.

__________________
http://www.thehappy.de/~xeno/
http://www.blogthon.de/

echo

hi du

Das scheint ein windows-service zu sein der von deiner nicht windows-Firewall blockiert wierd,wenn du alles im internet machen kannst ohne Einschrenkungen dann versuch die Meldung zu unterdrücken,glaub unter Options in deiner firewall geht es.
Wie gesagt,teste noch mal alles was im netz laufen soll.
Hab auch eine andere fw und die meldet auch schon mal winservice..

lightsaver

Ok, ich würde sagen, fangen wir mal damit an, dass du dein System mit Hijackthis scannst und das Log hier postest, dann sehen wir mal weiter

mu_

Warum können manche Leute einfach nicht wahrhaben, dass auch berühmte Menschen wie der Jörg einfach mal zu schnell auf glatten Straßen unterwegs sind und es gut sein lassen, da sie letztendlich nur der Familie des Verstorbenen schaden.

Hey, was ein Zufall, dass im Binärsystem auch 10 und 11 vorkommt und 10.0.0.0 ein reservierter Bereich ist *scrn*

Aber um ernst zu bleiben: Schau nach, was auf diesen Ports bei dir lauscht. Laut Google ist 3040 der Standardport für ein Programm mit dem gleichnamigen Protokoll "tomato-springs".
3041 -> di-traceware
3042 -> journee
3043 -> brp
3044 -> N/A
3071 -> opsec-sam

Ich wage mal ein kleines Fazit: Solange du kein Netzwerk hinter einer "10er-IP-Range" hast, ist es völlig egal. Ich tippe darauf, dass sich jemand, der eure IP Adressen kennt (Forenadmins, -mods, icq user) einen Spaß erlaubt und mit gefälschten Source-Adressen einen Scan auf euch ausübt.
Dies jedoch sicher herauszufinden kann hier keiner für dich übernehmen. Ein Netzwerkdump (z.b. mittels tcpdump ) wäre eine Methode herauszufinden über welches Interface welche Packete eintreffen.

Um deine Fragen also zu beantworten:

> Kann man feststellen wer mich scannt?
Nein, sofern es keiner aus dem eigenen Netzwerk ist. 10er-Adressbereiche werden im Inet afaik nicht geroutet.

> Was heisst das für meinen PC wenn ich gescannt werde?
Sofern oben genanntes zutrifft nichts.

> Ist diese IP Adresse und das Todesdatum des Politikers Zufall?
Spaß, Zufall, whatever.192.168.42.42 rulez the wörld!

> Habe ich mir einen "Staatstrojaner" eingefangen ?
Vermutlich. Lass nen Profi ran, der kann dir mehr dazu sagen. Mit großer Wahrscheinlichkeit aber eher nein.

> Was kann ich gegen diese Art von Belästigung tun ?
Einfache Antwort: garnichts. Sowas kommt nunmal im Internet vor. Zieh den Stecker, wenn du es nicht mehr willst.

Achja: Und lass mal einen Virenscanner durchlaufen. Sicher ist sicher

hamill

hallo Orangenhaut,

die Portnummern haben wahrscheinlich keine Aussagekraft; da scannt jemand einfach nur numerisch aufeinanderfolgende ports.
die IP Nummer hat wahrscheinlich keine Aussagekraft; 10.x.x.x ist, wie ja auch in dem Text zu lesen ist, den Du gepastet hat, reserviert für private Netze, ist also nicht routingfähig.
soll heißen, er kommt nicht von außen, sondern aus Deinem eigenen Netz.
Vorausgesetzt natürlich, daß Dein router das macht, was er soll, und nicht ein geiz-war-geil Modell ist und 10.x.x.x trotzdem routet.

wie geht es jetzt weiter?

Du könntest uns erstmal verraten, worum es eigentlich geht. ist das ein einzelstehender Rechner an einer DSL Leitung, oder steht er in einem LAN, ist es ein "Windows" und falls ja welches und welche "Zusatzsoftware" hast du installiert

Du könntest Dein Windows prüfen lassen, mit Hijackit, Knoppicillin usw.

Du könntest Dir diese (nicht sehr ergiebige aber sehr zeitfressende) Arbeit sparen und Windows neu aufsetzen (mußt du eh, wenn Du Dir malware eingefangen hast, und oder wenn Du zuverlässige Antworten von Deiner firewall haben willst)

Du könntest die "Angriffe" auch einfach ignorieren: wenn von 10.1.2.3 ein TCP Paket an Deinen Rechner geht an Port 1234 (nur als Beispiel) und Dein Rechner das Paket traurig wieder löscht, weil an Port 1234 (nur als Beispiel) halt kein Programm auf ein Paket gewartet hat, dann war es das schon, mehr gibt es mit dem Paket nicht zu tun. Normales Verhalten, also.

Du könntest aber auch der aktuellen Paranoia hinterherlaufen und zB einen Bundes- oder Landestrojaner vermuten oder einen Spionageangriff eines Mitbewerbers vermuten oder eine wilde Verschwörungstheorie verfolgen (jemand ist im Oktober gestorben? Merkwürdig! und der Oktober ist der 10. Monat! und dabei ist doch Okt nicht zehn sondern acht! Da ist bestimmt eine fremde Macht am Werk. und so weiter)

Du könntest einen Profi holen und Dein Windows auf Bonussoftware wie Trojaner und Bundestrojaner untersuchen lassen. Das kostet Dich am wenigsten Zeit, von all den Vorschlägen aus dieser Liste hier (kostet dafür aber auch am meisten)

und sicher noch weitere Optionen.

mfG

Chromatin

Die IP Adresse laesst sich natuerlich als Quelle in einer ganzen Reihe von Programmen einstellen.

Und sehr vermutlich hat sich jemand mit administrativen Rechten ein paar User aus dem Board geschnappt und sich mit euch einen kleinen Scherz erlaubt.

Die Aussage dasz du gescannt wirst bedeutet ja nicht zwangsweise dass es wirklich ein Scan war.

__________________
Wenn ein Gesetz nicht gerecht ist, dann geht die Gerechtigkeit vor dem Gesetz!

Habo Blog - http://blog.hackerboard.de/

[starfoxx]

Ich kenne ich zu wenig aus um hier gross mitmischen zu wollen, aber wäre es nicht auch irgendwie wichtig herauszufinden, ob er (der angegriffene) eine statische IP hat, und wenn nicht, sich zu fragen woher der angreiffer immer wieder sein Ziel hat?

Nur so eine Idee.

prEs

ausführen -> cmd -> ipconfig :
befindest du dich nicht in einem 10.x.x.x netwerk , was wahrscheinlich der fall sein wird ist die source-ip einfach gespooft ...(gespooft == gefälscht);
whois auf 192.168.0.0/16 | 172.16... | 10.0.0.0/8 zu machen ist wirklich sinnfrei.
Wenns ein Windowsupdate wär, dann würd sich dein Computer zu ihrem Server verbinden : / . Ausserdem ist 10.0.0.0/8 keine gültige addresse im Internet.

zb.
nmap -sU -p1064,1065,1073,1086,1087 -S (hier beliebiger todestag) <hier deine ip>
das is auch schon der ganze hokuspokus ....
wenn du dich in nem 10.0.0.0 netzwerk befindest, dann mach nen Sniffer an oder schau ob in den Logs die MAC addresse steht.(die im scanner, bzw im os auch manipuliert werden kann )

dann zu der sache mit dem trojaner...
warum sollte ein trojaner der sich auf deinem pc befindet, dich scannen? da gibts einfachere möglichkeiten offene Ports zu finden.Ausserdem würden die Scans dann von 127.0.0.1 ausgehen, was deine Firewall wahrscheinlich nicht blocken würde.
Oder du hast auf der IP 10.0.1.100 einen FTP-Server, denn der Scanner per FTP-Bounce(weis nicht ob das die richtige Bezeichnung ist) misbraucht.Letzteres ist zu 99,9% nicht der Fall .

warum sollte man denn wegen so einer kleinigkeit windows neu aufsetzten?

Wenn du keine statische IP besitzt, keinen Trojaner oder andere Maleware auf dem PC hast, und keine Dienste wie dyn.DNS/noip beanspruchst , würd ich einfach mal ne Zeit lang die Seite nicht besuchen.
Denn dann muss derjenige der dich scant die IP zb aus dem accesslog o.ä. beziehen.

Alles in allem keine Bedrohung weil er ja keine Antwort auf denn Scan bekommt wenn er die IP spoofet.

PS:ich hoffe die Beispiele bzg. nmap verletzen keine Regel.
mfg prEs

orangenhaut

Hallo Leute!

Bin zurück!

Danke für die zahlreichen Antworten. Ich denke ich werde mir, da ich keine Ahnung habe den Rat von hamill zu Herzen nehmen und einen Profi beauftragen, der meinen PC so sicher wie möglich macht.

Alles andere ist bei mir sinnlos, weil ich mich zuwenig auskenne.