Hacker unterwegs???

Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at verwendet.
Forumsregeln
Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at

Hacker unterwegs???

Beitragvon Fenix » Sa 16 Aug, 2003 02:57

Hi, es passt nicht vielleicht grad ins ADSL forum, aber gibt ja keines, dass noch besser dazu passen wĂĽrde!

Hab seit 2 Tagen schon die ärgsten Meldungen bei meiner Firewall (Sygate Personal Firewall Pro), dass mich wer hacken will! Oder kA was das ist, die blinkt nur immer verrückt und zeigt mir das Attacken-Protokoll an!

-HILFE- wer auch immer das ist, er hört nicht auf!

08/16/2003 03:45:01 Active Response Disengaged Information Unknown Unknown 62.45.181.28 0.0.0.0 1 08/16/2003 03:44:52 08/16/2003 03:44:52

Traffic from IP address 62.45.176.185 is blocked from 08/16/2003 03:55:23 to 08/16/2003 04:05:23.


Aber es sind immer verschiedene IP's....was kann ich tun, dass das aufhört? Den Typen verklagen???

Ich hoffe der schafft es nicht durch die Firewall! Könnte das auch von einem Trojaner auf meinem PC stammen? Ahja, die Attacken würden häufiger, seit ich auf die C: Festplatte Linux installiert hab, keine Ahnung ob das einen zusammenhang hat, aber naja....

*angsthab* Lg, Fenix
Fenix
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 55
Registriert: Di 24 Jun, 2003 00:02
Wohnort: St. Pölten

Beitragvon Andisan » Sa 16 Aug, 2003 04:50

Hast DU schon mal nachgeschaut, ob "62.45.181.28 " nicht Deine eigene IP war? Firewall ist richtig konfiguriert?
EUnet 768/128 :) Flex+10
Andisan
Senior Board-Mitglied
Senior Board-Mitglied
 
Beiträge: 280
Registriert: Mi 23 Jul, 2003 08:54
Wohnort: 48,2742N 13,7264E [Dirgu Mures]

Beitragvon Ulukay » Sa 16 Aug, 2003 07:47

o gott ein zonealarm dau :lol: :lol:

lies mal das:

Warum PFWs MIST sind:
http://www.team-cauchy.de/personal/
http://www.fefe.de/pffaq/
http://www.stud.tu-ilmenau.de/~trae...m#Konfiguration

http://w3studi.informatik.uni-stutt...rotrf/mpdshfaq/

Sonstige Infos:

Personal Firewall FAQs:

http://w3studi.informatik.uni-stutt...rotrf/mpdshfaq/
http://rokop-security.de/main/article.php?sid=307
http://visualgrafyx.com/publications/pffaq/
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
http://www.tu-ilmenau.de/~traenk/dcsm.htm
http://www.pflock.de/computer/za_faq.htm
www.urz.uni-heidelberg.de/Netzdiens...s-firewall.shtm
l

Allgemeine PFW-Infos:

http://www.team-cauchy.de/personal
http://home.arcor.de/nhb/pf-austricksen.html
http://home.arcor.de/nhb/pf-umgehen.txt
http://www.theparallax.com/security/firewallecke.html
http://www.bsi.de/gshb/deutsch/m/m2073.htm
http://www.dslreports.com/forum/rem...ity,1~mode=flat
http://www.samspade.org/d/persfire.html

Firewall-Konzepte:

http://www.oreilly.de/catalog/fire2ger/chapter/ch06.htm

Leak Test:

http://www.pcflank.com/art21.htm
http://www.computerbetrug.de/firewall/tunnel.php

SicherheitslĂĽcken in PFWs:

http://cert.uni-stuttgart.de/ticker/article.php?mid=888
http://www.securityfocus.com/archive/1/244026
http://www.securitytracker.com/aler...ug/1005149.html

Beispiele anhand von ZA:

http://www.rz.tu-ilmenau.de/~traenk/zaweg.htm
http://my-forum.netfirms.com/zone/zcode.htm

Trojanische Pferde:

http://de.geocities.com/pseueq/y3k.htm
http://www.heise.de/newsticker/data/pab-18.05.01-001

Sonstiges:

http://www.phrack.org/phrack/49/P49-14
http://sites.inka.de/sites/lina/fre...grc-letter.html

IPSec als Paketfilter:

http://cert.uni-stuttgart.de/os/ms/...paketfilter.php

bitte LESEN dabei DENKEN und dann erst wieder POSTEN

mal sehn wieviel Leute es dann tatsächlich kapieren
Ulukay
Neu im Board
Neu im Board
 
Beiträge: 16
Registriert: Fr 08 Aug, 2003 10:48

Beitragvon fLuffY » Sa 16 Aug, 2003 11:28

Telekom IP Adressen sind 62.47.x.x

also die selbe kanns ned gwesen sein ;)
http://www.TV-NET.at 25.600 Kbit/ 2.048 KBit Flat

Bild
fLuffY
Board-Mitglied
Board-Mitglied
 
Beiträge: 187
Registriert: Mi 23 Jul, 2003 16:21
Wohnort: 4020 Linz

Beitragvon Fenix » Sa 16 Aug, 2003 14:53

kenn meine IP, die wars nicht, ich denke, dass das vielleicht auf Grund des Lovesan Virus sein könnte, weil der ja von anderen Leuten übertragen wird! Und weil ich den Patch installiert hab und immer die Firewall eingeschalten hab, kann es sein, dass der mich halt wie jeden anderen x-beliebigen attackiert, aber ja nicht durch kann, wenn er es mal schaffen würde, könnte er sowieso nix hin machen!
Fenix
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 55
Registriert: Di 24 Jun, 2003 00:02
Wohnort: St. Pölten

Beitragvon penguinforce » Sa 16 Aug, 2003 18:10

bevor du solche vermutungen tätigst, wäre es interessant, zu wissen, welchen port es betroffen hat... ;)

ohne portangabe kann es sein, das es ein harmloser portscan war, oder (was meistens zutrifft), eigene angeforderte daten...

:mrgreen:
penguinforce
 

Beitragvon tomahawk » Sa 16 Aug, 2003 22:15

tach,

hab dasselbe bei meiner Firewall (McAfee 4.0) auch....

hab die IP's zurĂĽckverfolgt....

1x eine IP aus Brasilien
1x aus Amerika
1x von der Telekom (ohne schei**) :rofl:

lg
tomahawk
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 49
Registriert: So 29 Jun, 2003 10:36
Wohnort: Linz

Beitragvon Fenix » So 17 Aug, 2003 05:38

Hab jetzt durch die funktion: Trace zurĂĽckverfolgen herausgefunden, wer das war:

1xEngland
2xAmerika
5xdeutschland
3xösterreich
2xschweiz
4xschweden

^^ svchost.exe ist immer der auslöser! (jede 2te attacke ist ursache durch diese exe-datei, bei den anderen schreibt er nix hin)
Fenix
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 55
Registriert: Di 24 Jun, 2003 00:02
Wohnort: St. Pölten

Beitragvon penguinforce » So 17 Aug, 2003 12:22

woher willst du wissen, dass bei den anderen (den "angreifern") immer wieder svchost der auslöser sei?

eine personal firewall kann immer nur wissen, was auf deinem pc geschieht.

das heisst: wenn bei dir svchost gelistet ist, dann ist das dein eigener pc, der wo hin wollte (was er wollte kann man mit einer portnummer erahnen)... :D

und nur zur erbauung: svchost kann so ziemlich alles sein (dass ist die vermittlungstelle der services nach aussen). es kann sein, dass du die seiten angesurft hast, und diese beim zurĂĽckliefern von infos tw. von der pfw geblockt wurden.

hast du ein filesharing-programm am laufen? auch dass könnte die ursache sein.

die meisten der sogenannten "angriffe" sind portscans von kiddies. portscans selbst sind grundsätzlich harmlos. sie verraten, welche dienste du anbietest (mit dienst sind serverdienste gemeint, die du zur verfügung stellst, nt-basierende systeme machen das standardmässig).

biete so wenig wie möglich an, dann ist auch die gefahr eines eindringens gering.

das dumme an pfw: die meisten haben als feature dieses "stealth". das ist IMO eine marketingmasche. statt dass dein rechner ohne pfw antwortet: "hier gibts keinen dienst!", antwortet er gar nicht. das heisst aber nicht (obwohl die werbung das sagt), dass du unsichtbar bist (die pakete werden vom letzten router ja an deine ip weitergeleitet, und dieser letzte router verrät dich).

der "clou" beim "nichtantworten" (neudeutsch: stealth): hätte das skriptkiddie-tool eine antwort bekommen (nämlich: "hier is nix!"), dann wäre es von dannen gezogen und hätte sich eine andere ip gesucht. so aber glaubt es (aufgrund der informationen des letzten routers), dass hier etwas sein muss, und probiert es erst recht, um es nach einem voreingestellten timeout aufzugeben.

und was hat es gebracht?

der anwender ist teilweise verunsichert ("boah, da wollte mich einer hacken"), kombiniert mit einer trügerischen sicherheit ("ohne die firewall wäre ich aufgeschmissen gewesen").

weiteres zum thema pfw habe ich hier geschrieben (das thema trojaner wird dort auch angesprochen):
http://xDSL.at/phpbb2/viewtopic.php?t=20542

=)
penguinforce
 

Beitragvon Ulukay » So 17 Aug, 2003 13:57

hmmm

das hat jemand die gleiche meinung wie ich .. obs am OS liegt :D
Ulukay
Neu im Board
Neu im Board
 
Beiträge: 16
Registriert: Fr 08 Aug, 2003 10:48

Beitragvon Moltofill » So 17 Aug, 2003 15:16

Was bringt das die ip´s nachzuverfolgen? Was machst du dann mit den Informationen? Es gibt da jede Menge Tool´s die dir sogar grafisch auf einer Landkarte anzeigen wo die Server oder was weis ich auch immer stehen. Aber wozu?

Gegen einen direkten Angriff hast du mit einer PF keine Chance, aber überleg mal was dir passieren kann? Ich nehme an du bist eine Privatperson und keine Firma. Also hast du wohl nur Fotos, Spiele, Filme und Musik auf deiner Platte. Das ist nicht´s weltbewegendes, unwiederbringliches. Wer wird sich wohl die mühe machen deine Urlaubsfotos auszuspionieren?

Und um deinen PC für sowas wie ne DoS-Attacke zu verwenden musst du schon selber was aktiv dazu beitragen. Nämlich auf was klicken das du nicht kennst. Und da hilft dir keine PF, auch keine die die NASA oder der FBI entwickelt hat.

Kauf dir einen guten Virenscanner, mach alle Updates bei Scanner und Betriebssystem, mach alle Freigaben und Dienste zu die du entbehren kannst und ĂĽberlegs dir zweimal bevor du wo draufklickst. Mit dem ersparten Geld kannst dich ein Wochenende mit Bier versorgen. :)
mfg.
Moltofill
Moltofill
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 42
Registriert: Sa 28 Jun, 2003 09:03

Beitragvon Ulukay » So 17 Aug, 2003 19:23

Moltofill hat geschrieben:Was bringt das die ip´s nachzuverfolgen? Was machst du dann mit den Informationen? Es gibt da jede Menge Tool´s die dir sogar grafisch auf einer Landkarte anzeigen wo die Server oder was weis ich auch immer stehen. Aber wozu?

Gegen einen direkten Angriff hast du mit einer PF keine Chance, aber überleg mal was dir passieren kann? Ich nehme an du bist eine Privatperson und keine Firma. Also hast du wohl nur Fotos, Spiele, Filme und Musik auf deiner Platte. Das ist nicht´s weltbewegendes, unwiederbringliches. Wer wird sich wohl die mühe machen deine Urlaubsfotos auszuspionieren?

Und um deinen PC für sowas wie ne DoS-Attacke zu verwenden musst du schon selber was aktiv dazu beitragen. Nämlich auf was klicken das du nicht kennst. Und da hilft dir keine PF, auch keine die die NASA oder der FBI entwickelt hat.

Kauf dir einen guten Virenscanner, mach alle Updates bei Scanner und Betriebssystem, mach alle Freigaben und Dienste zu die du entbehren kannst und ĂĽberlegs dir zweimal bevor du wo draufklickst. Mit dem ersparten Geld kannst dich ein Wochenende mit Bier versorgen. :)


am liebsten sind aber die kids die sich Stolz auf ihre PFW sind, beim nächsten mal Kaza/Emule oder CS GAMEN dann die fpw mal abdrehn damit man gamen kann, und tzack is der Blaster drauf, auf port 129,445 und 5000 kommt jeder und jedes scriptkiddy kann mit smb.c einfach das windoof bluescreenen :)
Ulukay
Neu im Board
Neu im Board
 
Beiträge: 16
Registriert: Fr 08 Aug, 2003 10:48

Beitragvon kirschi » Do 09 Okt, 2003 18:34

also dass eine firewall absolut und ĂĽberhaupt nix bringt find ich nicht richtig...
klar, es sind keine 100%ig sicheren digitalen pc-kondome, aber ein gewisses maĂź an schutz ist sicher vorhanden.

diese testproggies FireHole und TooLeaky hab ich getestet...

interessant dieses TooLeaky: via internet explorer (port 80) eine verbindung aufbauen... :ok:
tjo, wozu hab ich dann eigentlich einen internetzugang wenn ich eh mit nichts ins inet will bzw. die firewall _ALLES_ sperren soll...?

dämliche argumentation!! - deinstallier iexplorer und installier mozilla, dann ist deine firewall laut dieser tools sicher :lol: :lol: :lol:

@Moltofill
Moltofill hat geschrieben:Gegen einen direkten Angriff hast du mit einer PF keine Chance...

wieso nicht?
kirschi
Board-Mitglied
Board-Mitglied
 
Beiträge: 129
Registriert: Fr 11 Jul, 2003 14:45
Wohnort: Graz

Beitragvon penguinforce » Do 09 Okt, 2003 19:49

kirschi hat geschrieben:also dass eine firewall absolut und ĂĽberhaupt nix bringt find ich nicht richtig...


fw != dtfw ;)

eine firewall (damit ist bei mir eine dedicated firewall gemeint) bringt sehr wohl was, jedoch ist diese ohne ein lan fast zu gross dimensioniert...

eine dtfw ist IMO deshalb nicht ratsam, da es - wie jedes programm - manipuliert bzw. beendet werden kann.

es ist IMO wesentlich gscheiter, statt einen wächter - der nicht wirklich als wächter fähig ist - auf eine löchrige mauer aufpassen zu lassen, dass diese löchrige mauer gestopft wird... ;)

aber viele stehen ja auf die mehr oder minder bunten dtfw-meldungen, die einfache portscans als angriff titulieren, wodurch ja wiederum die installation der dtfw bestärkt wird... *g*

=)
penguinforce
 


ZurĂĽck zu ANTIVIRUS & SECURITY

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 15 Gäste