Backdoor/SubSeven durch Telekom?

#1 ich bekomme immer öfter eine warnmeldung von meiner firewall über einen Backdoor/Subseven-versuch von 217.8xx.xxx.xxx .
nach einer whois-anfrage bei ripe.net ergab sich folgendes:

% This is the RIPE Whois server.
% The objects are in RPSL format.
% Please visit http://www.ripe.net/rpsl for more information.
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 217.80.0.0 - 217.89.31.255
netname: DTAG-DIAL14
descr: Deutsche Telekom AG
country: DE
admin-c: DTIP-RIPE
tech-c: ST5359-RIPE
status: ASSIGNED PA
remarks: ************************************************************
remarks: * ABUSE CONTACT: abuse@t-ipnet.de IN CASE OF HACK ATTACKS, *
remarks: * ILLEGAL ACTIVITY, VIOLATION, SCANS, PROBES, SPAM, ETC. *
remarks: ************************************************************
notify: auftrag@nic.telekom.de
notify: dbd@nic.dtag.de
mnt-by: DTAG-NIC
changed: auftrag@nic.telekom.de 20020108
source: RIPE

route: 217.80.0.0/12
descr: Deutsche Telekom AG, Internet service provider
origin: AS3320
mnt-by: DTAG-RR
changed: rv@NIC.DTAG.DE 20001027
source: RIPE

person: DTAG Global IP-Adressing
address: Deutsche Telekom AG
address: Postfach 900110
address: D-90492 Nuernberg
address: Germany
phone: +49 911 68909856
e-mail: ripe.dtip@telekom.de
nic-hdl: DTIP-RIPE
mnt-by: DTAG-NIC
changed: auftrag@nic.telekom.de 20020311
source: RIPE

person: Security Team
address: Deutsche Telekom AG
address: Technikniederlassung Schwaebisch Hall
address: D-89070 Ulm
address: Germany
phone: +49 731 100 84055
fax-no: +49 731 100 84150
e-mail: abuse@t-ipnet.de
nic-hdl: ST5359-RIPE
notify: auftrag@nic.telekom.de
notify: dbd@nic.dtag.de
mnt-by: DTAG-NIC
changed: auftrag@nic.telekom.de 20010321
source: RIPE


da dies ziemlich oft vorkommt und sich ein Backdoor/SubSeven nicht gerade prickelnd anhört, würde es mich schon interessieren, was es mit diesem zugriffsversuch durch ein Security-Team der Deutschen Telekom auf sich hat.
bei einer suche bei google nach anderen "opfern" oder erklärungen, stiess ich nur auf zwei englische foren, die das thema behandelten, aber die auch nicht gerade zu einem entschluss kamen.
hat jemand schon die selbe erfahrung gemacht und/oder weiss, was es damit auf sich hat? he?

#2 Hi,
Hast du die ZoneAlarm drauf oder Norton PFW?
Wenn ja, ist das nur ein User der versucht den Trojaner Backdoor/Subseven anzusprechen oder eben nur diesen Port und deine FW wertet das als Angriff. Nicht weiter tragisch wenn du ihn nicht hast .
Schon mal zur Vorsicht einen Viren/Trojanerscanner laufen lassen?
Ich glaube nicht, dass das das Security Team der Telekom war, ist, denn das sind nur Infos an wen man sich wenden kann. Wechselt die IP bei den häufigen Versuchen?
Greetz
Smaggmampf

#3 klingt logisch ...
wenn ich's richtig verstehe, dann ist das jemand der über t-online surft ?!?!
trojaner oder sonstige sind absolut ausgeschlossen ... dafür habe ich zuviele tests durchlaufen ... und ansonsten hab' ich neben der norton firewall auch norton antivirus installiert und leistete mir bis jetzt treue dienste (hoff' ich doch).
nun.. angefangen hat's mit der erwähnten ip ... inzwischen sind's weit aus mehr und verschiedene, die wiederum bei Backdoor/Subseven-Warnungen angezeigt werden. nur seltsam, dass norton sich immer auf den einen trojaner fixiert. laut firewall-statistik, erkennt NPFW noch einige weitere trojaner, die er mit entsprechender warnung melden kann .. wie z.B: Back Orifice, Girlfriend und wie sie alle heissen.
ich kann es mir nur so erklären, dass ich vor nicht all zu langer zeit, als ich noch nix mit 'ner firewall am hut hatte, sich ein trojaner alá SubSeven bei mir eingenistet hatte. zwischenzeitlich habe ich schon zig mal formatiert ... (weil's doch soviel spass macht) ... und das pferdchen sicher kein chance zum überleben hatte
somit versuchen meine früheren uneingeladenen gäste (hoffentlich) erfolglos bei mir asyl zu ersuchen.
alles nur vermutungen ... habe gerne ein offenes ohr für weitere thesen
(logisch...)

#4 Mach Dir nichts weiter draus. Solange die Leute draussen bleiben ist es doch ok. Bei mir versuchen täglich duzenden über Port:4662/3290 uvm Verbindung aufzunehmen. Ich weiss das 4662 Edonkey ist, aber aber keins EDONKEY drauf und noch nie drauf gehabt. Aber solange die draussen bleiben ist es schon OK. Aber merkwürdiger Weise sind es zu 99% Leute von T-Online.

#5 ....is möglich, wenn Du ne IP bekommst, die kurz zuvor noch von jemadem
mit filesharing-client benutzt wurde. Die Gegenseite versucht möglicherweise nen abgebrochenen Download wiederaufzunehmen.
Wäre meine 7Uhr14-These
Was die Trojaner betrofft, so denke ich nicht an "frühere" Gäste, denn auch
deine IP wechselt warscheinlich viel zu oft. Ich denke hier laufen eher breit-
gefächerte Scans auf der Suche nach nem infizierten Rechner.
Schönen Tag noch, Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#6 Was Trojaner angeht würde ich mir echt keine Sorgen machen, denn die sich mitlerweile augestorben. Auser vielleicht ein Paar kurze VB Skripte die leicht erkennbar sind und noch lange nicht so viel können wie z.B. der Sub7 usw.

Welche FW habt ihr eigentlich von NORTON?
Hatte früher die 2001 auf ME und die gleichen Efeckte.
Jede 20min. hatt die sich gemeldet.
Mitlerweile habe XP mit der 2002FW.
Ich meine wenn man die vernünftig konfiguriert, dann ist das wirklich ein Problem da durch zu kommen. Ein Restrisiko bleibt natürlich, aber was ist heut zutage schon sicher.
Das Intranet?! *g*

MFG

#7 Ich hab eine tolle idee ihr deinstalliert die scheisse von Norton und macht Tiny oder Kerio drauf und ihr werdet nicht gleich bei einen ICMP paket über Häckerangriffe informiert

Soweit ich weis meldet Norton bei jeden portscann auf die Trojan ports einen angriff das kann echt nerven

Zu den Edonkey zeug gebe ich Joschi recht liegt wohl daran, da ich ein hausnetzwerk hab und so 24 Stunden lang eingewählt bin passiert es oft dass ich am Nachmittag edonkey laufen hab und am nächsten Mittag noch anfragen bekomme also ist das mit den wechsel der ip denkbar

#8 Hi,

wie oft man von NIS alarmiert wird, kann sich jeder selbst einstellen, zusätzlich noch den Marketing Gag namens Alert Tracker abstellen sowie die Trojaner Regeln löschen und durch eine neue Regel ersetzen. Die besten Regelvorgaben für Tiny und Norton habt ihr ja vor der Haustür

http://faq.at/firewalls

#9 Ich habe mit ZoneAlarm den selben Eindringversuch gemeldet bekommen:

ZoneAlarm Pro prevented access to port 27374 on your computer

ZoneAlarm Pro stopped Internet or local network traffic from reaching your computer. No breach in your security has occurred. Your computer is safe
ZoneAlarm Pro blocked what was most likely a port scan by a remote computer trying to find out if a Trojan horse is located on your machine. The scan attempted to communicate with port 27374 on your computer, which is rarely used by legitimate programs. Rest assured, ZoneAlarm Pro has determined that there is no Trojan horse listening on 27374 of your computer

Whois Report from Zone Labs
Detailed information about 217.225.XX.XXX, the IP address of the computer that caused the alert you received from Zone Alarm Pro, is provided in the Whois Report below. The information in the Whois Report comes from the Regional Internet Registry (RIR) responsible for the geographic region where 217.225.XX.XXX is located: ARIN, RIPE, or APNIC. The name of that RIR appears in the Whois report.
The Whois Report includes the name, address and contact information for the Internet Service Provider (ISP) who administers the block of IP addresses that includes 217.225.XX.XXX. The report probably does not list the actual administrator of the computer whose IP address is 217.225.XX.XXX. You should not assume that individuals listed in this report are responsible for the alert you received on your computer.

IP whois of pD9E5CAB0.dip.t-dialin.net
ipw: Connecting to server: whois.arin.net:43
ipw: Query: net 217.229.202.XXX
ipw: Connecting to server: whois.ripe.net:43
ipw: Query: 217.229.202.XXX
inetnum: 217.224.0.0 - 217.237.161.47
netname: DTAG-DIAL15
descr: Deutsche Telekom AG
country: DE
admin-c: DTIP-RIPE
tech-c: ST5359-RIPE
status: ASSIGNED PA
remarks: ************************************************************
remarks: * ABUSE CONTACT: abuse@t-ipnet.de IN CASE OF HACK ATTACKS, *
remarks: * ILLEGAL ACTIVITY, VIOLATION, SCANS, PROBES, SPAM, ETC. *
remarks: ************************************************************
notify: auftrag@nic.telekom.de
notify: dbd@nic.dtag.de
mnt-by: DTAG-NIC
changed: auftrag@nic.telekom.de 20020108
source: RIPE

route: 217.224.0.0/11
descr: Deutsche Telekom AG, Internet service provider
origin: AS3320
mnt-by: DTAG-RR
changed: bp@nic.dtag.de 20010405
source: RIPE

person: DTAG Global IP-Adressing
address: Deutsche Telekom AG
address: Postfach 900110
address: D-90492 Nuernberg
address: Germany
phone: +49 911 68909856
e-mail: ripe.dtip@telekom.de
nic-hdl: DTIP-RIPE
mnt-by: DTAG-NIC
changed: auftrag@nic.telekom.de 20020311
source: RIPE

person: Security Team
address: Deutsche Telekom AG
address: Technikniederlassung Schwaebisch Hall
address: D-89070 Ulm
address: Germany
phone: +49 731 100 84055
fax-no: +49 731 100 84150
e-mail: abuse@t-ipnet.de
nic-hdl: ST5359-RIPE
notify: auftrag@nic.telekom.de
notify: dbd@nic.dtag.de
mnt-by: DTAG-NIC
changed: auftrag@nic.telekom.de 20010321
source: RIPE


Ich denke, man sollte dies mal gründlich recherchieren!

#10 Das Resultat der Whois-Abfrage bedeutet doch nicht, dass die Telekom bzw. T-online selbst die Surfer auf SubSeven abscannt .....
Du kannst dem lediglich entnehmen, dass es sich bei der IP um jemanden handelt, der zu diesem Zeitpunkt über T-online eingewählt war und eine IP-Adresse aus derem Adresspool bekommen hat. Darüber hinaus eben die Adressen, falls man Beschwerden oder sonstige Anliegen hat, und sonstiges, was ich auch nicht deuten kann. Natürlich bekommt man bei einem "Whois" nicht die Daten über eine Privatperson, welche die IP zu diesem Zeitpunkt verwendet hat. Also keine Panik......meist sind das auch eher breitgefächerte
Scans, also nicht wirklich auf dich bezogen
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#11 Hi!

Wie wärs, wenn du diese ganze Grübelei einfach vergisst und das nächste Mal wenn dich einer scannt Uhrzeit,Datum und IP des potenziellen Angreifers an eben dieses Security Team der dTag mailst. Sollen die sich doch darum kümmern, sind ja schließlich dafür zuständig.........

MfG RYX

#12 Oder du installierst dir die Smoothwall auf 'nem alten 486er oder P1 und schaltest das ganze noch mal zwischen WAN und deinen Rechner . .. Dann können die dich scannen bis die nächste Eiszeit kommt, aber Norton kriegt das nicht mehr mit!!!!!

Also, ... mfg RYX

#13 ? NPF erweckt bereits beim scannen eines Ports den Eindruck man hätte einen Trojaner?
Ich habe das selbe Problem, und weiß jetzt nicht ob ich den Warnhinweis noch ernst nehmen brauch.

#14 NPF schreibt ins log anstatt der Portnummer den Namen des Trojaners, der diesen Port als Standardport verwendet. Somit wird jeder Verbindungsversuch auf diesen Ports als "Angriff" geloggt - das ist Unsinn!

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#15 Schon ne Weile nicht mehr hier gewesen. Es ist richtig Norton ist einfach nicht das Pralle. Es stimmt schon warum soviel Gedanken machen. Ich schaue mir mal meine Kerio.Log von den letzten 50 Minuten an:
148 Versuche wurden abgeblockt. ~90% aus Japan. Soviel Japaner hatte ich noch nie :-)) Aber alle auf unbekannten Ports. Warum darüber Gedanken machen, solange die draußen bleiben. Das werden die aber auch schon selber Feststellen und geben dann bald auf.