PC wird von fremden IP's gescannt!

#1 Hi Leute,

hab das problem, dass meine firewall (sygate firewall)

immer angibt, dass mein pc gescannt wird!



Somebody is scanning your computer.
Your computer's TCP ports:
1025, 445, 6129, 3127 and 139 have been scanned from 217.229.66.198.

% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 217.224.0.0 - 217.237.161.47
netname: DTAG-DIAL15
descr: Deutsche Telekom AG
country: DE
admin-c: DTIP


Kann ich etwas dagegen tun?

Ich danke euch für eure Bemühungen

MFG

Veli

#2 Nein, dagegen kannst du eigentlich nicht mehr tun als du schon hast. Das reine scannen anderer Rechner ist vollkommen legal solange man nicht versucht per flooding ein DoS zu erreichen. Aber nur vorsichtig scannen um zu gucken welche Dienste angeboten werden ist legal. Und es ist sogar dann legal (wobei sich da immernoch Leute drum streiten) gefundene Dienste zu benutzen solange diese frei angeboten werden ohne Passwort etc. D.H. wenn ich da einen Mailserver oder Webserver finde darf ich die auch in dem vorgesehenem Maße benutzen. Erst wenn ich versuche Sperren mit Absicht zu umgehen oder einen Mailserver benutze um per Exploit den Rechner zu übernehmen mach ich mich strafbar.

Insofern kannst du nur (wie ja schon der Fall bei dir) dafür sorgen das die Leute bei ihren Scans nichts offenes finden ausser du willst was anbieten.

Wenn ich mir oben die gescannten Ports ansehe würde ich auch drauf wetten das dieser Scan von einem Virus kommt der nach Lücken bei dir gesucht hat um sich weiter zu verbreiten. Sind die typischen Port für Viren. Insofern wird die Absender IP dies nichtmal wissen.

Was ich in solchen Fällen mache ist die passende abuse@ Adresse anzuschreiben das ihr User (IP und Uhrzeit exact nenne) wohl ein Virus auf dem Rechner hat und eine kurze Info an diesen User nett wäre. Ich weiß aus Erfahrung das z.B. die Telekom ihre User auch anschreibt (z.B. bei meinen Fällen bisher) da ich meine Mailadresse auch weitergeben lasse und dankende Rückmeldungen bekommen habe

Passende Kontaktadressen stehen in der WHois Abfrage als Abuse oder Security Person/Team fast immer drin.

Ich würde heutzutage auch nicht immer sofort von einem bösen Angriff ausgehen da sehr oft die gemeldete IP nicht weiß (Viren etc) und oft auch Falschmeldungen dabei sind (eigene IP wurde gerade vorher von einem anderem besessen und andere Rechner versuchen noch dort Dienste zu erreichen oder zu beenden etc.)

Bei stärkeren Störungen/Scans von einer IP kann man aber immer den betrefenden Provider Informieren mit einer genauen Beschreibung. Dabei sollte man aber Sachen wie "Ich werde angegriffen" etc vermeiden da dies eine Beschuldigung ist die oft nicht zutrift. Nur die Tatsachen beschreiben. Der Provider weiß was er damit zu tun hat und kennt die Symtome oft am besten

#3 @MacDefender

Vielen Dank,

nur noch eine kurze Frage, kann ich die IP-Adresse an die telekom schicken, und die überprüfen dann ob der user einen Virus hat?

danke

mfg

VELI

#4 du könntest höchstens eine anzeige gegen unbekannt, bzw. gegen besagte ip, einreichen; aber dazu sollte ein tatbestand vorhanden sein. was meinst du mit virus? ich denken der telekomm ist es relativ ob diese oder jene ip ein virenbefallenes system hat. das ist auch nicht strafbar. das gescannt werden würde ich an deiner stelle einfach mal ignorieren, sonst wirst du über kurz oder lang viel zu tun haben.
__________
Zahme Vögel singen von Freiheit, wilde Vögel fliegen. ^y^
"Wer Sicherheit der Freiheit vorzieht ist zu Recht ein Sklave." - Aristoteles

#5 Danke,

ich lasse es einfach auf sich beruhen und ignoriere es vorerst!

MFG

VELI

#6 hi leute,
ich habe genau das gleiche problem und ich werde auch alle 3 minuten von der selben ip gescanned, allerdings stehen bei mir in dem whois prorgamm noch mehr infos aber ich kenne mich damit nicht aus also schreibe ich hier mal alles
hier erstmal das was die sygate firewall mir sagt:
Somebody is scanning your computer.
Your computer's TCP ports:
1025, 3127, 139, 6129 and 445 have been scanned from 212.204.39.201.


sind das typische virenports?

und das steht im whois programm:
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 212.204.39.0 - 212.204.39.255
netname: Infocity-address-space
descr: URBANA Telekommunikation GmbH
country: DE
admin-c: GL1133-RIPE
tech-c: EC2540-RIPE
status: ASSIGNED PA
mnt-by: AS12693-MNT
changed: scherbinske@ediscom.net 20031007
source: RIPE

route: 212.204.32.0/19
descr: e.discom PA space
origin: AS12693
mnt-by: AS12693-MNT
changed: mahnke@ediscom.net 20010817
source: RIPE

role: ediscom Hostmaster
address: e.discom
address: Telekommunikation GmbH
address: Am Kanal 4a
address: D-14467 Potsdam
address: Germany
phone: +49 331 234 4000
fax-no: +49 331 234 3840
e-mail: awuensch@ediscom.de
trouble: Call +49 331 234 4040
admin-c: AW1311-RIPE
tech-c: AW1311-RIPE
tech-c: DM7064-RIPE
tech-c: MS3949-RIPE
nic-hdl: EC2540-RIPE
mnt-by: AS12693-MNT
changed: awuensch@ediscom.de 20021118
changed: awuensch@ediscom.de 20040416
source: RIPE

person: Gerd Lemke
address: Majakowskistr. 58
address: 18059 Rostock
e-mail: lemke@kabel-tv.de
phone: +49 381 4058 881
fax-no: +49 381 4058 811
notify: admin@ediscom.de
mnt-by: AS12693-MNT
nic-hdl: GL1133-RIPE
changed: scherbinske@ediscom.net 20031007
source: RIPE



ich habe den sicherheitstest von sygate gemacht und da konnten keine sachen von mir rausgefunden werden, allerdings bin ich vorsichtig weil ich vorgestern gehacked wurde und gestern zwar formatiert habe aber vllt. hat sich ja irgendwo was am leben erhalten z.B. bei den dateien die ich hoch geladen habe weil die wichtig waren.

#7 @veli,cycliX

Ihr habt beide kein Problem.
Ihr seid bloß Opfer des *Jeder-muss-jetzt-eine-Firewall-haben*-Hypes.

Firewall ist schön und gut, wenn man doch nur wüßte was man da täte.
Ich sag zwar nicht das ihr eure PFW's deinstallieren könnt - aber das, dass Dingen bei jedem Zugriff/Scannen auf irgendwelche Ports gleich losspringt ist doch einfach nur nerfig. Ich empfehle eine deaktivierung dieser unnützen deplazierten Funktion.

Weder ist es illegal Ports zu scannen/darauf zuzugreifen, noch ist es kontrollierbar. Außerdem ist es überhaupt nicht maßgeblich für den Beweis einer kriminellen Handlung.

Wenn sich nun mal irgendjemand auf der Welt dazu entscheidet eine Portrange zu scannen ist das nicht euer Problem - und absolut nicht strafbar oder unterbindbar. Vielleicht wollte irgendeine Person ja nach verwundbaren Kisten scannen, vielleicht auch nicht. Solang nichts passiert ists nicht schlimm - außerdem ist jeder selber für seine Kiste verantwortlich. Wenn die tatsächlich verwundbar/angreifbar sein sollte ist das selbstverschulden, aus meiner Sicht jedenfalls.

Mit einem whois Programm kommt man schon gar nicht weit denn die meisten Endbenutzer haben dann doch eher eine dynamische IP - dann kann man höchstens damit den ISP rausfinden. Aber auch das ist Zeitverschwendung.

Und es gibt auch keine sogenannten "Virenports".
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#8 Hallo,
als Ergänzung zu dem oben beschriebenen kann ich nur das Programm PeerGuardian von http://www.methlabs.org empfehlen. Dieses süße Programm blockiert aufgrund einer ständig aktualisierten Liste alle bekannten Peer-IPs. Sei es Musik- und Film-Industrie, Behörden und andere böse Organisationen, die gerne mehr an Deinen Ports herumspielen als nur scannen.
Vorsicht ist nur gegeben, dass das Programm nicht von irgendwelchen Downloadseiten bezogen wird, da eine SpyWare-Version von openwares.org im Umlauf ist. Also den obigen Link benutzen - ist Freeware unter GNU.
Wer will kann ja mal die Seite (nicht klickbar) http://www.bankakademie.de besuchen. und gleich wieder wegsurfen ;-) Innerhalb einer Minute beginnt die Seite Deine Ports wie blöd zu untersuchen.

Viel Spaß noch, Haroon

#9 Angst! Angst! Angst!
Damit werden die besten Geschäfte gemacht!

Ich hatte auch das Problem mit diversen Vieren und Virenschutzprogrammen, es hat mich einiges an Geld und Zeit und schlaflose Nächte gekostet.
Meine Erfahrungen aus diesem Lernprozess möchte ich hier weitergeben.

Ich habe jetzt ein relativ sicheres System, und das fast kostenlos!!!!!!!!!!

Ich habe z.B. aus der Computerbild Heft CD und anderen PC Zeitschriften

1. Firewall Zone Alarm in deutsch
2. Virenschutzprogramm Antivier in deutsch
3. Antispionageprogramm Adaware in deutsch
4. Deinstallationsprogramm und Startverwaltung Your Uninstaller 2003 in deutsch
5. Browser Opera 7.2 in deutsch
6. Reinigungsprogramm RegCleaner in deutsch

installiert.

Bei allen diesen Programmen entstehen ausser den Updatgebuhren fürs Internet - keine!!!!!!!!!!!!!!!!!!!!!!!! - Folgekosten.
Ich kann wieder ruhig arbeiten und schlafen!!!!!!


Seitdem ich mit diesen Werkzeugen arbeite ist alles oK. Als Betriebssystem habe ich Windows 2000
Ich hatte fruher mal Norton Systemworks, aber es hat das System um einiges verlangsamt, ausserdem wurde ich immer mit diversen Meldungen in Angst und Schrecken gehalten, um ja alles von denen zu kaufen.

Mit Hilfe des Opera Browsers kann ich die Windowsupdates jetzt auch erst speichern und erst anschliesend installieren. Ich habe also bei einer eventuell erforderlichen Neuinstallation des Systems gleich alle Updates und Servicepcks auf eine (zurvor selbst gefertigten CD) zur Hand.
Ubrigens ist die XP Firewll nicht so perfekt. Sie lässt nichts rein, aber alles raus ins Netz!

Gruss kat

#10 Die beste Verteidigung ist immer noch Brain 1.0 (...)

#11 Hallo Veli !

Die Wirkungsweise von Firewall's sollte man nicht überschätzen und sind allemal nur bei "Beiwerk" mit einem gewissen Zusatznutzen wie schon erwähnt, aber leider kein Schutz zu 100% (mir würden schon 90% oder 95 % genügen!).

Wesentlich wichtiger ist, dass man keine unnötige Angriffsfläche in Internet bietet mit den sog. "Windowsdiensten", die man z.T. auch so kaum je braucht.

Lies Dir mal http://www.ntsvcfg.de durch, wie man Windows-Dienste sicherer macht und besser konfiguriert durch z.t. schlichtes abschalten.
Dazu kannst Du Dir dann auch ein Skrip V.2.2 herunterladen und z.B. dann bei einem Einzelplatzrechner mit
<3> all: setzt alle Vorschläge nach ntsvcfg.de um
dann deinen Rechner wesentlich sicherer machen.

Oder wenn du es noch einfacherer haben willst, geh auf www.dingens.org und lad dir das dortige Programm herunter und wähle "einzelner Computer - möglichst viele Dienste abschalten".

Du kannst dann als Nachkontrolle z.B. mit http://webscan.security-check.ch überprüfen, ob es auch erfolgreich durchgeführt wurde.

Ich habe z.b. meinen XP home per dingens.org soweit abgesichert und er hat auch alle Tests hinterher bestanden.

Und der Rest ist Brain 1.0.0. wie Bladfire oben sagte: klicke ich so auf alles wie Chantal-wartet-auf-Dich.exe oder rufmichan.pif oder 1MillionfürDich.scr dann hilft Dir nichts mehr. weder ne firewall noch Kaspersky-AV oder dingens.org/ntsvcfg.de. Dann hat's dich erwischt :-)

#12 also windows dienste schön und gut. zu viele sollten nicht am laufen sein.
aber wozu die ganzen progs, tools und tweaks????
wenn man wissen will was man macht, muss man selbst in die verwaltung schauen um zu entscheiden was man braucht oder nicht.
es kommt zwar auch mal vor, daß windows nach nem neustart dann auf krücken läuft- aber da muss man durch.
dann kann man eine aussagen darüber treffen was offen und was geschlossen ist.

#13 Ich hab auch sone meldung von meiner sygate firewall bekommen

Somebody is scanning your computer.
Your computer's TCP ports:
445, 6129, 139, 3410 and 5554 have been scanned from 80.131.148.166.

hab mich umgeschaut was die einzelnen port nummern bedeuten.

TCP-Port: 445
Dienst: MICROSOFT-DS

6129 ???

TCP-Port: 139
Dienst: NETBIOS-SSN

3410 ???

5554 ???

Kann irgend jemand was mit den Diensten anfangen und mir erklären wo nach die genau suchen.

Kann ja jeder sein (Spamer, Hacker, Polizei ) die meinen rechner durchsuchen wollen.
auch hab ich einen back trace eingeleitet hat aber nichts genützt.

Damals hatte ich auch immer probleme mit spams wie z.b. wollen sie ne unterhose kaufen oder search dienste. Andauernd ist bei mir dann ein pop up auf gegangen. Diese haben mich dann dazu getrieben mir ne gecrackte version von der Sygate Firewall zu downloaden seit dem hab ich diese probleme nich mehr.