Hilfe [Scotty] hat mich gescannt!!

[Easyrider]

Hey ihr da draussen!

Ich bin Gerade Online und plötzlich schreit meine Firewall es wurde ein Portscanning-Versuch getätigt. Das sah etwa so aus:


Jemand scannt Ihren Computer.
Ihre TCP ports:
1080, 8080, 3128, 80 und 23 wurden von 217.160.180.132 gescannt.


Und da vor kam noch eine andere Meldung:

Traffic von IP-Adresse 217.160.180.132 ist blockiert

Sowie:

Active Antwort ist ausgelöst. Der Traffic von IP-Adresse 217.160.180.132 wurde für 600 Sekunden blockiert.

Was ist da genau passiert? das sagt mir bisher nur das meine Firewall einen Scann geblockt hat. Was Haben die beiden anderen Meldungen zu bedeuten?

Nächste Frage--- Nach dieser Attacke habe ich mir einen Portscanner geladen und ihn an der IP ausporbiert.
das Ergebniss sah dann so aus:


* + 217.160.180.132 s-und-t-linnich.de
|___ 22 SSH Remote Login Protocol
|___ *****************************
|___ 25 Simple Mail Transfer
|___ *****************************
|___ 53 Domain Name Server
|___ 80 World Wide Web HTTP
|___*****************************
|___ 110 Post Office Protocol - Version 3
|___ *****************************
|___ 113 Authentication Service
|___ 143 Internet Message Access Protocol
|___ *****************************
|___ 199 SMUX
|___ 515 spooler
|___ *****************************
|___ 1723 pptp
|___ 7000 file server itself
|___ *****************************
*(hier hab ich natürlich zensiert was ich für vertraulich gehalten hab)

Was macht man denn dann mit solchen Infos und was verraten diese mir über meinen Gegenüber?
Kann ich über diese Infos an eine Email adresse kommen?



Bin ziemlicher newbie wenn ihr schlaubies mir alles erklären könntet wäre ich euch zu viel dank verpflichtet.

 

[CubiC]

Active Antwort ist ausgelöst. Der Traffic von IP-Adresse 217.160.180.132 wurde für 600 Sekunden blockiert.

Das heißt imo dass deine Fw jedes Paket von besagter Absenderadresse in den nächsten 10min verwirft.

Das was du weiter unten siehst sind offene Ports.
Will sagen : auf dem Rechner den du gescannt hast liefen Dienste die nach aussen hin über diese Ports (22 für SSH z.B.) zu erreichen waren. Es gibt insgesamt 65536 Ports / Host die von den verschiedensten Diensten / Anwendungen benutzt werden können. Ports im Bereich von 1- 1024 sind die sog. "privilegierten" Ports. Dieser Begriff stammt aus den Zeiten als das INet noch größtenteils mit UNIXmaschinen bevölkert war, denn auf diese Ports darf für gewöhnlich nur der Benutzer "root" zugreifen. Dieser Bereich ist für Systemdienste wie z.B. SMTP, HTTPD o.ä. reserviert.
Alles jenseits von 1024 dahingegen ist der Wilde-Westen ^^

Hier eine Übersicht über "Ports"

Gruß,

CubiC

 

[Tec]

Installiert sich ne Desktop Firewall und hat keinen Plan was dieses Stück Software tut...

Die Meldungen sind ganz normal. Allerdings würde ich mal dafür sorgen einige Ports zu schliesen.

 

[Easyrider]

Bisher hat noch keiner meine Frage eindeutig beantworten können.
Ist es möglich über die Ports die bei mir Gescannt wurden eine Verbindung in mein System zu bekommen? und Was steckt hinter genau diesen Ports?

 

[keymaker]

Original von Easyrider
Jemand scannt Ihren Computer.
Ihre TCP ports:
1080, 8080, 3128, 80 und 23 wurden von 217.160.180.132 gescannt.

port 8080: Proxyport
Port 80: HTTP Ports.
Port 23: Telnet
Port 1080: Socks*
port 3128: Squid*
*=laut quelle[1]

quelle[1]: http://www.iss.net/security_center/advice/Exploits/Ports/default.htm

--Keymaker

 

[poiin2000]

socks 1080/tcp # Socks
socks 1080/udp # Socks
http-alt 8080/tcp # HTTP Alternate (see port 80)
http-alt 8080/udp # HTTP Alternate (see port 80)
ndl-aas 3128/tcp # Active API Server Port
ndl-aas 3128/udp # Active API Server Port
http 80/tcp # World Wide Web HTTP
http 80/udp # World Wide Web HTTP
www 80/tcp # World Wide Web HTTP
www 80/udp # World Wide Web HTTP
www-http 80/tcp # World Wide Web HTTP
www-http 80/udp # World Wide Web HTTP
telnet 23/tcp # Telnet
telnet 23/udp # Telnet

 

[Nijopeon]

Hi!
Aus dem Grund damit niemand auf deinen Computer zugreifen kann, hast du die Firewall ja gerade laufen, und so lange die Firewall aktiv ist, wird es für ein Angreifer nicht einfach sein auf dein System zuzugreifen.
MFG
/\/ijopeo/\/ 8)

 

[FaktorPi]

das es nicht einfach ist stimmt schon so.

ich will eigentlich auch nur noch dazu fügen das es ganz bestimmt nicht unmöglich ist dieses zu umgehen.
windows und firewalls haben schwächen die man ausnutzen kann.
die firewall wir sich bei diesen schwächen wenn man sie aus nutzt nicht melden.

was mich allerdings wundert ist das anscheinend versucht wurde immer auf der gleichen ip (das ist dein) und von der gleichen ip gescannt wurde.

das hört sich für mich eher so an als ob irgend jemand deine ip kannte und unbedingt auf deinen rechner wollte.

 

[Elderan]

Hallo,
scanns sind was ganz "normales", aber leider hast du eine Firewall die gleich nach Hilfe schreit...... wahrscheinlich auch wenn man deinen PC anpingt.

Also mit einem Scan guckt man, welche Ports bei dir geöffnet sind. Der "Angreiffer" (hehe) hat bei dir die Ports 1080, 8080, 3128, 80 und 23 abgeklopft, ob sie offen sind.

Deine Firewall hat den vermeindlichen Angreifer für 600 gesperrt.

 

[sieben]

Original von ElderanDeine Firewall hat den vermeindlichen Angreifer für 600 gesperrt.

Was macht $Panicware(tm) eigentlich wenn ich Portscanne und sag ich bin der Nameserver vom ISP oder etwas vergleichbar bedeutendes? Wundert sich $geprellter_kunde dann?

 

[wolfi2k4]

Moin.
Stecke hinter nem Router. Kann ich auch rausfinden wenn jmd meine Ports gescannt hat? Ich meine die die offenen Ports sind zwar sowieso stealth, aber bin ich damit wirklich sicher? Was gibts da für möglichkeiten einzudringen? Hab mal was von telnet gehört, aber wie funktioniert sowas? 8o
Könnte jetzt jeder der n bisschen was kann sich übern telnet auf meinem Rechner umsehen? help ?(

 

[4future]

Original von sieben

Original von ElderanDeine Firewall hat den vermeindlichen Angreifer für 600 gesperrt.

Was macht $Panicware(tm) eigentlich wenn ich Portscanne und sag ich bin der Nameserver vom ISP oder etwas vergleichbar bedeutendes? Wundert sich $geprellter_kunde dann?

coole idee gehört echt mal ausprobiert, überprüft die Firewall was sie da sperrt, oder sperrt die mal einfach so den dns server... ??? X( X( X( X(

 

[D.Mon]

hallo zusammen,

und sag ich bin der Nameserver vom ISP oder etwas vergleichbar bedeutendes?

wenn ich einen Portscan mit der Quelladresse eines Nameservers mache (ich nehme an, so war das gemeint), dann werden die Antworten wohl auch an diesen geschickt, oder ?
Nervt zwar evtl. $geprellter_kunde ist aber wohl eher harmlos.

Stecke hinter nem Router. Kann ich auch rausfinden wenn jmd meine Ports gescannt hat? Ich meine die die offenen Ports sind zwar sowieso stealth, aber bin ich damit wirklich sicher? Was gibts da für möglichkeiten einzudringen? Hab mal was von telnet gehört, aber wie funktioniert sowas?

telnet ist ein Standardclient für Netzwerkdienste. Das heisst, man kann mit Servern auf beliebigen Ports kommunizieren.
Sinn macht das aber nur bei textbasierten Protokollen (z. B. http, smtp, pop etc);
Außerdem kann man damit (soweit ein entsprechender Server läuft) auf Unix und Linux Rechnern einen Fernzugriff zur Kommandozeile herstellen (unsicher, da nicht verschlüsselt)

Da Du hinter einem Router steckst, wird zunächst mal nur der WAN-Port des Routers gescannt.
Dies ist dann bedenklich, wenn Du bei Deinem Router die Möglichkeit der Fernwartung auf der WAN Seite (z. B. über ein Webinterface oder per telnet) aktiv hast..

Anders sieht´s wieder aus, wenn Du NAT bzw. PAT eingerichtet hast.
Diese Technik dient dazu, Anfragen auf bestimmten Ports der WAN Schnittstelle des Routers an Rechner im lokalen Netz weiterzuleiten.
Das wird dann eingesetzt, wenn Du zB einen Webserver auf einem Rechner in Deinem lokalen Netz betreiben möchtest.
Wenn der Port 80 Deines Routers auf den Port 80 Deines Rechners umgeleitet wird, ist dieser natürlich über einen Portscan zu entdecken.

Wenn Die interessiert, was für Ports bei Dir zum Internet hin offen sind, nutze doch einen der Portscan Dienst, die im internet angeboten werden oder lass Dich von einem Freund scannen.

Hier ein Link des Landesbeauftragen für Datenschutz in Niedersachsen.
Dort gibt´s nen Link zum PC Selbsttest und ne Reihe von Informationen.
http://www.lfd.niedersachsen.de/master/0,,C2000260_N1999995_L20_D0_I560,00.html

gehört echt mal ausprobiert, überprüft die Firewall was sie da sperrt, oder sperrt die mal einfach so den dns server... ???

Es gibt DoS Angriffe die genau diese Möglichkeit bei entsprechen konfigurierten Systemen ausnutzen und damit verhindern, dass Zugriffe auf das Internet möglich sind (zumindest solche Zugriffe, die eine Namensauflösung erfordern).

 

[leeps]

Original von Easyrider
Jemand scannt Ihren Computer.
Ihre TCP ports:
1080, 8080, 3128, 80 und 23 wurden von 217.160.180.132 gescannt.

ach, wie nett

ich weise grade auf folgenden sachverhalt hin:
1. der portscan ist beabsichtigt gewesen
2. du bist damit sogar einverstanden!

anmerkungen:
die ip-adresse des 'scanners' ist einer der irc-server des german-freakz.net. bei einem verbindungsversuch wird der sich verbindene auf offene proxies ueberprueft, um missbrauch zu vermeiden.
mit dem verbindungsaufbau hast du diesem verfahren explizit zugestimmt.

rueckfragen koennen im #german-freakz gestellt werden, selbiges irc-netzwerk

 

[beko]

...eigentlich steht das SOOOO groß und SOOOOO breit auf deinem Bildschirm, wenn du dich in dieses IRC-Netz einloggst X(

Nettes Spielzeug ist übrigens "Portsentry". Das kann man ruhig wörtlich übersetzen

 

[DelumaX]

@D.Mon

wenn ich einen Portscan mit der Quelladresse eines Nameservers mache (ich nehme an, so war das gemeint), dann werden die Antworten wohl auch an diesen geschickt, oder ?

Der Kommentar von sieben war eher sarkastischer Natur.. Wir haben hier den typischen Fall eines DoS-Angriffs der erst durch die DFW möglich wird. Handelt es sich nämlich um eine IP eines wichtigen Dienstes so wird auch diese für 600 Sek. geblockt, und aus die Maus...

 

[TDM]

Was kann den der der gescannt hat mit den Ports die offen sind anfangen was bringen die einem dem...oer wie nutzt er sie für sdihc aus ??!!!!


TDM