xDSL.at

[littlety]

Hi!
Ich bekomme des öfteren Meldungen von meiner FireWall,
daß von der IP 66.28.202.153 (server976.idealbandwidth.com, Washington D.C., U.S. of A.)
aus versucht wird, auf meinen Rechner zuzugreifen.

Könnte das etwas mit Inode zu tun haben (der Zugriff erfolgt direkt auf den Innsbrucker Backbone),
und soll ich das zulassen oder nicht?

[max_payne]

zugreifen?
inwiefern zugreifen?
ping?

[Tom-Wien]

info zu dieser ip:

Code: Alles auswählen

OrgName:    Cogent Communications
OrgID:      COGC
Address:    1015 31st St NW
City:       Washington
StateProv:  DC
PostalCode: 20007
Country:    US

ReferralServer: rwhois://rwhois.cogentco.com:4321/

NetRange:   66.28.0.0 - 66.28.255.255
CIDR:       66.28.0.0/16
NetName:    COGENT-NB-0000
NetHandle:  NET-66-28-0-0-1
Parent:     NET-66-0-0-0-0
NetType:    Direct Allocation
NameServer: AUTH1.DNS.COGENTCO.COM
NameServer: AUTH2.DNS.COGENTCO.COM
Comment:    ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
Comment:    Reassignment information for this block can be found at
Comment:    rwhois.cogentco.com 4321
RegDate:    2000-10-12
Updated:    2001-12-05

TechHandle: ZC108-ARIN
TechName:   Cogent Communications
TechPhone:  +1-877-875-4311
TechEmail:  [email protected]

OrgAbuseHandle: COGEN-ARIN
OrgAbuseName:   Cogent Abuse
OrgAbusePhone:  +1-877-875-4311
OrgAbuseEmail:  [email protected]

OrgNOCHandle: ZC108-ARIN
OrgNOCName:   Cogent Communications
OrgNOCPhone:  +1-877-875-4311
OrgNOCEmail:  [email protected]

OrgTechHandle: IPALL-ARIN
OrgTechName:   IP Allocation
OrgTechPhone:  +1-877-875-4311
OrgTechEmail:  [email protected]


imho handelt es sich um einen isp in usa, die anfrage stammt aus pasing (südostasiatischer raum)
würd eher tippen das du auf eine website von denen zugegriffen hast.

[jutta]

und welche art von server? in meinem auth.log hab ich jede menge von fernoestlichen ip adressen, die die sonderbarsten user ausprobieren. reingekommen ist aber noch keiner ;-p
schau noch einmal nach, was genau in den logfiles deiner firewall steht.

[lordpeng]

>die die sonderbarsten user ausprobieren. reingekommen ist aber noch keiner ;-p
wenn einer rein kommt und root rechte erlangen sollte wirst dass dann auch nicht mehr in den logs sehen, da sind dann vielleicht ein paar zeilen die komisch aussehen, das wars dann aber auch schon ...

am besten prophylaktisch regelmässig chkrootkit oder ähnliche tools drüber laufen zu lassen

[littlety]

würd eher tippen das du auf eine website von denen zugegriffen hast.

Eben nicht,
zu dem Zeitpunkt war ich zwar online, aber nicht aktiv im net,
kein Browser oder sonst etwas geöffnet.

@jutta,
keine logfiles, weil ich das mitloggen deaktiviert hatte,
die FW meldete nur einen Kommunikationsversuch.

[jutta]

dann aktivier halt die logfiles. eine firewall ohne logs ist eh ziemlich sinnlos, denn was ein gefaehrlicher angriff ist, kann nur ein mensch entscheiden.

[medice]

oder norton - weil da is alles was von draußen reinkommt eine gefährliche Attacke

[littlety]

Das Protokolle-Lesen ist eine abendfüllende Lektüre....
Was den oben angeführten Vorfall angeht, der ist nicht wieder aufgetreten und sowieso blockiert.

Was mir aber ganz und gar spanisch vorkommt:

netbios TCP local:85.124.50.30 MICROSOFT_DS 85.225.6.215 2018 NetBIOS-Datenverkehr blockieren EIN ABGELEHNT 16:02:05 10 Sekunde(n) 0 Byte 0 Byte 0 Bps ---

n/a TCP local:85.124.50.30 DCOM 85.124.109.200 2599 Block Remote Procedure Call (TCP) EIN ABGELEHNT 16:02:55 04 Sekunde(n) 0 Byte 0 Byte 0 Bps ---

n/a TCP local:85.124.50.30 DCOM 85.124.15.111 1256 Block Remote Procedure Call (TCP) EIN ABGELEHNT 16:03:43 07 Sekunde(n) 0 Byte 0 Byte 0 Bps ---

netbios TCP local:85.124.50.30 MICROSOFT_DS 85.124.24.202 3729 NetBIOS-Datenverkehr blockieren EIN ABGELEHNT 16:04:02 04 Sekunde(n) 0 Byte 0 Byte 0 Bps ---

Sowohl DCOM als auch NetBIOS über TCP sind lokal deaktiviert,
anscheinend kommen mit Ausnahme der ersten Eintrags alle anderen von der Inode-IP-Range.
Ich bin ein bißchen ratlos - verwendet Inode noch NetBIOS über TCP??

[jutta]

netbios TCP local:85.124.50.30 MICROSOFT_DS 85.124.24.202 3729 NetBIOS-Datenverkehr blockieren EIN ABGELEHNT 16:04:02 04 Sekunde(n) 0 Byte 0 Byte 0 Bps ---

Sowohl DCOM als auch NetBIOS über TCP sind lokal deaktiviert,
anscheinend kommen mit Ausnahme der ersten Eintrags alle anderen von der Inode-IP-Range.
Ich bin ein bißchen ratlos - verwendet Inode noch NetBIOS über TCP??

das sind die viren/wurm-verseuchten pcs von inode-kunden.

[littlety]

Noch eine letzte Frage (ein wenig off topic):
Bei Inode Private Large war unter Eigenschaften => Netzwerk => ....(PPPoe) => Einstellungen
die Softwarekomprimierung aktiv geschaltet.

Bei Inode Private Medium 4096 / 768 ist das unter ... (PPPoE) ebenso, ist die Einstellung korrekt?

[littlety]

das sind die viren/wurm-verseuchten pcs von inode-kunden.

Danke für die Auskunft - ein Kommentar dazu würde möglicherweise etwas sarkastisch ausfallen...

[jutta]

wenn das der win xp-default ist, wird es schon passen (bei mir jedenfalls auch aktiv). mit der bandbreite hat es jedenfalls nichts zu tun, die einwahl funktioniert bei jeder bandbreite gleich.

[littlety]

Dankeschön!

[hotze_com]

Hi!
Ich bekomme des öfteren Meldungen von meiner FireWall,
daß von der IP 66.28.202.153 (server976.idealbandwidth.com, Washington D.C., U.S. of A.)
aus versucht wird, auf meinen Rechner zuzugreifen.

Könnte das etwas mit Inode zu tun haben (der Zugriff erfolgt direkt auf den Innsbrucker Backbone),
und soll ich das zulassen oder nicht?

welche Firewall? (Hersteller, ...)

warum soll es etwas mit Inode zu tun haben? es ist ja eine IP die nicht von Inode ist.

und vom welchen Innsbrucker Backbone sprichst du? Es gibt in Innsbruck ein paar Hunder km LWL und Kupfer verschiedener Eigentümer ... aber das soll ein Backbone sein?

lg, martin