Portscan Prob.

[Gizmo]

am 6.1.03 bekomm ich von meiner firewall ne scann-meldung, da hat jemand unter der ip 151.27.181.2 meinen rechner auf die ports 81, 8081, 3128, 80 u. 8080 gescannt. firewall blockt, soweit alles o.k. am 9.1.03 dann wieder ein angriff mit der ip 151.27.183.8 scannt wieder jemand die gleichen ports die oben stehen. allmählich fängt die sache an zu nerven. der provider dieser ip ist libero.it. weiß jemand wo ich mich dort beschweren kann? überhaupt, weiß jemand wie ich den parasiten wieder loswerde und kann mir jemand sagen wieso der immer wieder meinen rechner scannt???

währe für jeden tipp od. hilfe dankbar.
mfg
giz.

 

[DelumaX]

weiß jemand wo ich mich dort beschweren kann?

abuse@libero.it

überhaupt, weiß jemand wie ich den parasiten wieder loswerde und kann mir jemand sagen wieso der immer wieder meinen rechner scannt???

Durch die gescannten Ports ist ersichtlich das derjenige der da scannt nach offenen Proxys sucht. Unter Umständen auch noch nach Webservern, was mir aber eher unwahrscheinlich erscheint. Loswerden tust du ihn über die genannte Adresse. Allerdings möchte ich dich vorher Fragen ob du eine Standleitung hast?! Wenn nicht hat sich deine IP beim zweiten Scan bereits geändert gehabt womit es sehr unwahrscheinlich wird das es derselbe war, da er deine IP nicht kennen konnte (Es sei den du verwendest DynDNS etc.). Zudem sind Scans dieser Art alltäglicher Natur und stellen in sich kein Risiko dar bzw. gehören einfach dazu. Also Überleg dir ob du dir den Aufwand wirklich machen willst. Ich persönlich denke du bist zufällig Opfer zweier Massenscans geworden.

 

[Armitage]

@Gizmo

Das Dein Rechner gescannt wird muss nicht zwingend heiszen das ein Mensch versucht Dich anzugreifen.

Viele groessere IRC netze scannen Dich z.B. beim joinen...
Auszerdem kursieren staendig irgendwelche Wuermer die auch solche scans unternehmen.

Die Tatsache dasz du auch immer eine neue IP bekommst macht es "relativ" unwahrscheinlich das eine Person dich immer wieder erwischt..(es sei denn du hast Dir "irgendwas" eingefangen).

Scanne selber einfach mal den Rechner und schau nach was das fuer eine Kiste ist.
Wenn jeder wegen eines portscans eine mail an die provider schicken wuerde, wuerden wir ne Menge arbeitsplaetze schaffen ich zb registriere taeglich 20-30 scans.

mfg
:wq!

 

[Chris]

Wie schon erwähnt, sucht da jemand nach Proxies, da obiges typische HTTP-Proxy-Ports sind.

Es ist jedoch davon auszugehen, dass der Scanner nicht Dich scant (und übrigens: Das ist bestimmt kein Angriff...) sondern wahrscheinlich ganze IP-Bereiche, z.B. 123.456.789.xxx oder so. Meist kann man so alle User eines bestimmten Providers absuchen, wenn man die IP-Bereiche eines ISP kennt (z.B. T-Online).

Diese Scans sind weiter nicht schlimm. Überhaupt ist ein Scan nichts schlimmes. Das ist so wie wenn Dich jemand auf der Straße anschaut.
Schlecht ist es nur, wenn Du auf Deinem PC einen Trojaner hast, der dann einen bestimmten Port freigibt, und der Port dann von einem Scanner gefunden wird. In diesem Fall könnte Dich dann jemand über diesen Trojan angreifen. Das ist dann so, als würde Dich auf der Straße einer anschauen, sehen, dass Dein Ferrari-Autoschlüssel aus der Arschtasche baumelt und er ihn dann einfach mitnimmt. Das Ansehen ist nicht weiter schlimm.

Und der Provider des "Angreifers" wird dagegen auch vermutlich nichts tun, da das Scannen von Ports afaik nicht verboten ist und das dem dortigen ISP wahrscheinlich auch zu dumm ist...

 

[Gizmo]

erstmal danke für euere hilfe :] ,
also ich habe einfach mal die log-daten meiner firewall an die mail adresse geschickt ( p.s. danke für die adresse DelumaX ). mal sehen was die damit anfangen. in deutschland gibt es ja provider wie z.b. t-online die beim port-scannen fremder rechner den vertrag kündigen.
was hat es eigentlich mit diesen port-scanns auf sich? die suche nach trojaner und dem damit eventuellen zugriff auf meinen rechner ist klar, aber kann der meinen rechner falls er eine lücke findet und durch die wall kommt auch als proxyserver nutzen um so anonym im netz rumzupfuschen? ich nutze momentan sygate als firewall, wie sicher bin ich mit diesem progamm vor solchen scanns? dieser scann scheint ja so wie ich euere beiträge interpretiere eher harmloser natur gewesen zu sein, aber wie gut ist sygate bei richtigen angriffen, hat jemand erfahrung damit?

mfg
giz.

 

[Chris]

Also als Proxy kann er Dich nur verwenden, wenn Du auch einen Proxy Server auf dem Computer der gescannt wird, installiert hast (z.B. Sambar o.ä.). Andernfalls ist ja auch kein Proxy-Port offen...

Ist das wirklich wahr, dass T-Online leute kickt, die Portscans machen? ?( Glaub ich irgendwie nicht so ganz...

 

[DelumaX]

Also generell können nur laufende Dienste angegriffen werden, falls nicht zufällig ein Bug auf dem TCP/IP-Stack existiert.

wie sicher bin ich mit diesem progamm vor solchen scanns?

Vor Scans ist keiner sicher. Man kann sie registrieren und evtl. präventive Massnahmen ergreifen.

aber wie gut ist sygate bei richtigen angriffen

Eine Desktopfirewall ist nutzlos und allerhöchstens als Teil eines Sicherheitskonzeptes zu sehen. Such doch einfach mal in dem Board nach dem Stichwort Firewall und du wirst zahlreiche Threads zu diesem Thema finden.

 

[basic]

Original von Gizmo
am 6.1.03 bekomm ich von meiner firewall ne scann-meldung, da hat jemand unter der ip 151.27.181.2 meinen rechner auf die ports 81, 8081, 3128, 80 u. 8080 gescannt. firewall blockt, soweit alles o.k. am 9.1.03 dann wieder ein angriff mit der ip 151.27.183.8 scannt wieder jemand die gleichen ports die oben stehen. allmählich fängt die sache an zu nerven. der provider dieser ip ist libero.it. weiß jemand wo ich mich dort beschweren kann? überhaupt, weiß jemand wie ich den parasiten wieder loswerde und kann mir jemand sagen wieso der immer wieder meinen rechner scannt???

währe für jeden tipp od. hilfe dankbar.
mfg
giz.

Eine ganz normale Sache im Netz. Nichts worum man sich sorgen sollte und schon gar nichts in das man seine Energie unnötig verschwenden sollte. Wie meine Vorredner schon äusserten handelt es sich der Symtomatik nach nicht um gezielte "Angriffe" sondern um irgendwelche Menschen die das Netz nach offenen Proxys absuchen.

Selbst wenn es sich um Angriffe handeln würde stehst du weniger gut da. Ich denke nicht das du das Geld für einen internationalen Rechtstreit (über Instanzen) hast und libero.it ist für sein sehr magelhaftes Abuse-Managment bekannt. Im Zweifelsfalle filtere sie dir komplett weg.

it.iol (Italia Online SpA)
19970303 195.210.64/19 ALLOCATED PA
19980612 212.52.64/18 ALLOCATED PA

Paranoia ist reiner Wahnsinn.
Werner Mitsch (*1936), deutscher Aphoristiker

 

[Gizmo]

hallo,
auf eine antwort-mail von libero.it zu warten ist denke ich mal genauso sinnlos, wie das portscannen meines speziellen neuen italienischen freundes. also habe ich mich entschieden beim nächsten scann mal einen hausbesuch bei ihm/ihr zu machen. dies bringt einige fragen mit sich und ich währe für hilfe dankbar. da ich mehr oder weniger diesbezgl. newbie bin und nich dumm sterben möchte, mal eine frage vorab.

zitat
__________________________________________
Durch die gescannten Ports ist ersichtlich das derjenige der da scannt nach offenen Proxys sucht, unter Umständen auch noch nach Webservern.
__________________________________________

proxys ist klar aber was meinst du mit nach webservern suchen? was hat er/sie davon?

so, nun zum hausbesuch bei meinem neuem freund:
ich hab die ip nach seinem scannen. um zu wissen mit wem ich es da zu tun habe heißt das ja, so denke ich mal, ich muß mich in seinen rechner logen. da ich sowas normalerweise nicht mache, weiß ich auch nicht genau wie ich dabei vorgehen muß? wenn dies nicht gegen die regeln des boards spricht, währe ich dankbar über ein paar tips wie ihr dabei vorgehen würdet.

mfg
giz.

 

[DelumaX]

proxys ist klar aber was meinst du mit nach webservern suchen? was hat er/sie davon?

Wie gesagt können im allgemeinen nur laufende Dienste angegriffen werden, zu welchen der Webserver gehört. Erstens stellt der Webserver den ersten Angriffspunkt dar. Es werden z. B. bekannte Bugs oder Konfigurationsfehler ausgenutzt um den Server zu kompromitieren und von dem übernommenen Server aus neue Angriffe auf andere Rechner zu starten. Oder der Server dient als Speicherplatz für illegale Inhalte. Was den Webserver aber wohl am interessantesten für Cracker wirken lässt ist die Tatsache das z. B. eine veränderte Website für alle Welt sichtbar ist und somit der Bekanntheitsgrad des entsprechenden Crackers anwächst.

ich muß mich in seinen rechner logen.

Du stellst dir das alles zu einfach vor.

wenn dies nicht gegen die regeln des boards spricht, währe ich dankbar über ein paar tips wie ihr dabei vorgehen würdet.

Doch es verstösst gegen die Boardregeln, zumal es meist Schwachsinn ist sich auf die Jagd zu begeben. Du hast doch bestimmt beseres zu tun als Scriptkiddies zu jagen. Ansonsten kommt jetzt der Standardsatz schlecht hin: Beschäftige dich mit der Materie, in erster Linie TCP/IP.

 

[Rushjo]

@Gizmo

Was willst du Uns hiermit sagen?

also habe ich mich entschieden beim nächsten scann mal einen hausbesuch bei ihm/ihr zu machen.

Du willst bei Ihm zu Hause vorbeifahren und Ihm das
Gesicht verbeulen? Mal abgesehen davon, das ich
physische Gewalt ablehne, frage ich mich, woher Du
weisst, wo der Typ wohnt? --> ausser in Italien!!

Oder verstehe Dich falsch und Du willst Dich als
"Dankeschön" bei Ihm in den Rechner hacken? Ist
genauso schwachsinnig, mal abgesehen davon, das
Du scheinbar nicht das nötige Wissen dafür hast!!!

Und mal eine "kleine" Ergänzung zu DelumaX, also
seit die Warez und FXP-Scene auch massiv PubStro's
nutzt, gibt es auch noch andere Gründe nach
WebServern zu scannen!

MfG Rushjo

 

[basic]

Original von Gizmo
also habe ich mich entschieden beim nächsten scann mal einen hausbesuch bei ihm/ihr zu machen.

Also wenn dieser verfluchte Googlebot das nächste mal auf meinen Servern vorbeischaut dann werd ich aber auch richtig sauer und hau dem das Rechenzentrum klein.

Man, hab dich doch nicht so sensibel.

so, nun zum hausbesuch bei meinem neuem freund:
ich hab die ip nach seinem scannen. um zu wissen mit wem ich es da zu tun habe heißt das ja, so denke ich mal, ich muß mich in seinen rechner logen. da ich sowas normalerweise nicht mache, weiß ich auch nicht genau wie ich dabei vorgehen muß?

Du erwartest beim brechen von Gesetzen Hilfe, gefärdest damit ein solches ebenfalls (noch) vollkommen legales Forum, weil du dich von einer ebenfalls vollkommen legalen und normalen Aktivität im Netz gestört fühlst?

Das einzige was anzuraten sei, ist mehr Konsum von beruhigenden Wirkstoffen wie z.B. in Baldrian vorhanden.

Alternativ könntest du auch einfach offline bleiben, dann musst du keine Angst haben mit Bits die du als böse empfindest in Kontakt zu kommen.

Willst du eigentlich jeden Hausbesuchen der Portscans praktiziert, oder ähnliche Dinge tut? Das erinnert mich dann ein wenig an einen gewissen Künstler der damit drohte jeden zu verprügeln der seine Musik bei Napster bezog. Mehr als eine Lebensaufgabe.


Die Faszinationskraft des Autos beruht auf der Illusion, Raum und Zeit beherrschbar werden zu lassen.
Lothar Schmidt (*1922), deutscher Politologe, Aphoristiker und Schriftsteller

 

[Armitage]

1 ) t-online kickt niemanden weil er mal scannt ..
2 ) ist ein scan auch nicht strafbar..zumindest nicht eindeutig

@gizmo
vielleicht solltest Du die Beitaere hier mal lesen...

Es gibt eine ganze Menge software die solche scans von ganz allein durchfuehrt..von Trojans bis hin zu Serverbetreibern die, um sich zu schuetzen deinen rechner etwas untersuchen..das ist nicht verwerflich und auch nicht weiter tragisch...
ERGO: nur weil du irgendeine IP bekommst heisst das nicht dasz da ein Typ sitzt und deine ip seinem scanner uebergeben hat..

desweiteren bleibt es jeden selber ueberlassen sich zu schuetzen..wer da auf anstaedigkeit der mituser hofft, selbst schuld...

Und wenn Du meinst, dann scann doch einfach zurueck, mach einen fingerprint und such die ein paar sploits und greif ihn halt an....
Aber : das wird nicht als "notwehr" gewertet, solltest du da zufaellig einen isp behaken, der einen wurm oder ae. hat, von dem er selber nichts weisz.....

btw..wenn du win benutzt schuetzt dich gar nicht wirklich vor erfahrenen Angreifern..allein schon weil deins system einen mehr als saeuischen TCP/IP stack hat.....

Fazit: scheisz drauf und nerv nicht die admins mit solchem krempel...

:wq!

 

[Gizmo]

sorry wenn ich jemandem mit meinem prob. genervt hab ... (war nicht meine absicht)

fazit:
ein paar erfahrungen mehr gesammelt, einiges grundlegendes neues gelernt und mein spezieller neuer freund (wer das auch immer ist) kann mich mal

eigentlich bin ich ja weitestgehend geschützt und nach eueren beiträgen ist klar das portscannen eben ein fader beigeschmack des surfen ist und ich damit leben muß.

ich bedanke mich für die ausführlichen und verständlichen beiträge und melde mich diesbsgl. erst wieder falls die sache wirklich ernst werden sollte. also thanx a lot @all ...

mfg
giz. :]

 

[tracert]

hi giz.,

sorry wenn ich jemandem mit meinem prob. genervt hab ... (war nicht meine absicht)

wozu entschuldigst du dich? du hast ein problem und stellst eine frage. dafür ist ja dieses board gedacht. ich hatte das gleiche problem auch und war ähnlich sauer wie du. auch wenn ich nicht so reagiert habe wie du es vorhattest. bye the way danke für die anfänglichen erklärungen. ich habe meine fragern damit gelöst.

Fazit: scheisz drauf und nerv nicht die admins mit solchem krempel...

Man, hab dich doch nicht so sensibel.

Du willst bei Ihm zu Hause vorbeifahren und Ihm das Gesicht verbeulen

also mal davon abgesehen das du mit deinem beitrag

so, nun zum hausbesuch bei meinem neuem freund

nicht sonderlich geistreich auf die situation handeln woltest gizmo. finde ich die letzten beiträge von seth, basic und rushjo noch wesentlich weniger geistreich!!!
dies ist ein board, gizmo hat probleme und euere letzten antworten sind genauso kinderkake wie der beitrag auf den ihr diese geschrieben habt.
wenn die admins genervt sind werden die einen beitrag schon selber löschen. hab dich nicht so sensibel ist purer mist, was soll das? gesicht verbeulen? wo hat er das bitte erwähnt.

wie währe es anstatt humorlosen sarkasmus an den tag zu legen, gar nicht zu antworten sportsfreunde!!!

X( i.a. der recher der ungerecht geknechteten