Ein unberechtigter Zugriffsversuch "MS ASN1 Integer Overflow TCP"

#0
25.11.2005, 13:23
Member

Beiträge: 15
#1 Habe folgende Frage und zwar gibt meine firewall seit gestern abend ständig unberechtigte "zugriffsversuche" von sich und dieses immer mit einer anderen ip Adresse (als angreifende ip)! Die wechseln ständig, aber immer im gleichen ip Bereich. Die Angriffssignaturen bzw. Angriffstypen scheinen immer die gleichen zu sein!
Habe zwei Onlinescans durchgeführt, mein Virenprogramm laufen lassen und mein Intergrundwächter hat sich bisher auch nicht gemeldet! Ich schreibe dies, weil meine Firewall in der Protokollanzeige den Feil nach links (- also von meinem system ausgehend anzeigt. Vielleicht irre ich mich da auch! Habe meine ip auch mehrmals gewechselt, aber nichts! Oder scannt da nur mehere gleichzeitig den ip Berreich ab! Da sich die ersten XX.XXX von der ip gleich sind, deshalb vermute ich dies mal!

Auszug:Zugriffsversuch: MSRPC Network DDE BO.
Angreifer: XX.XXX.XXX.X(3643).
Risikostufe: Hoch.
Protokoll: TCP.
Angegriffene IP: XXXXXX(XX.XX.XXX:XX).
Angegr. Anschluss: epmap(135).



Ein unberechtigter Zugriffsversuch "MSRPCSS Attack (2)" auf Ihren Rechner wurde erkannt und blockiert
Angreifer: XX.XXX.XXX.XX(3336)
Risikostufe: Hoch
Protokoll: TCP
Angegriffene IP: XXXXXX(XX.XX.XX.XXX).
Angegr. Anschluss: epmap(135)




Ein unberechtigter Zugriffsversuch "Malicious MSRPC LSASS DS Request" auf Ihren Rechner wurde erkannt und blockiert
Angreifer: XX.XXX.XX.XX(1818)
Risikostufe: Hoch
Protokoll: TCP
Angegriffene IP: XX.XX.XXX.XX
Angegr. Anschluss: microsoft-ds(445)



Ein unberechtigter Zugriffsversuch "MS ASN1 Integer Overflow TCP" auf Ihren Rechner wurde erkannt und blockiert
Angreifer: XX.XXX.XX.66(2121)
Risikostufe: Hoch
Protokoll: TCP
Angegriffene IP: XX.XXX.XXX.143.
Angegr. Anschluss: microsoft-ds(445)

X= habe die ip Adressen unkenntlich gemacht, um so eventuell falsche Beschuldigungen zu vermeiden! Kann aber versichern das die angreifende Ip Adresse ist, als meine eigene! Und diese Angriffe finden immer im 2 bis 4 Minuten tackt statt! und immer mit anderen ip adresse der angreifenden ip!

Danke schon mal für eure Hilfe!
Seitenanfang Seitenende
25.11.2005, 14:51
Moderator
Avatar joschi

Beiträge: 6466
#2 Schwer hier durchzublicken....
Jetzt poste das ganze bitte nochmals mit IP-Adressen. Incl. der Info, welche deine IP-Adresse war. Es verletzt niemanden in seinen Rechten, wenn Du eine IP-Adresse in diesem Zusammenhang postest. Kannst ja die letzten 2 bzw. 3 Ziffern unkenntlich machen wenn Du magst.
Welche Firewall wird verwendet ?
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
25.11.2005, 16:01
Member

Themenstarter

Beiträge: 15
#3 Zugriffsversuch: MSRPC LSASS DS Oversized Request (TCP).
Angreifer: 84.140.243.XXX(2692).
Risikostufe: Hoch.
Protokoll: TCP.
Angegriffene IP: XXXXXX(84.140.10.XXX).
Angegr. Anschluss: microsoft-ds(445).

Zugriffsversuch: MSRPC Network DDE BO.
Angreifer: 84.138.238.XXX(4062).
Risikostufe: Hoch.
Protokoll: TCP.
Angegriffene IP: XXXXXX(84.140.10.XXX).
Angegr. Anschluss: epmap(135).
84.138.238.XXX wird der Zugriff auf Ihren Rechner 30 Minuten lang verweigert.

Zugriffsversuch: MS ASN1 Integer Overflow TCP.
Angreifer: 84.140.57.XXX(3254).
Risikostufe: Hoch.
Protokoll: TCP.
Angegriffene IP: XXXXXX(84.140.10.XXX).
Angegr. Anschluss: microsoft-ds(445).
84.140.57.XXX wird der Zugriff auf Ihren Rechner 30 Minuten lang verweigert.

Zugriffsversuch: MS ASN1 Integer Overflow TCP.
Angreifer: 84.57.162.XX(2609).
Risikostufe: Hoch.
Protokoll: TCP.
Angegriffene IP: XXXXXX(84.140.10.XXX).
Angegr. Anschluss: microsoft-ds(445).
84.57.162.XX wird der Zugriff auf Ihren Rechner 30 Minuten lang verweigert.

Zugriffsversuch: MSRPCSS Attack (2).
Angreifer: 84.140.243.XXX(2788).
Risikostufe: Hoch.
Protokoll: TCP.
Angegriffene IP: XXXXXX(84.140.10.XXX).
Angegr. Anschluss: microsoft-ds(445).
84.140.243.XXX wird der Zugriff auf Ihren Rechner 30 Minuten lang verweigert.

Zugriffsversuch: MSRPCSS Attack (2).
Angreifer: 84.140.213.XX(2328).
Risikostufe: Hoch.
Protokoll: TCP.
Angegriffene IP: 84.140.8.XX
Angegr. Anschluss: epmap(135).
84.140.213.XXX wird der Zugriff auf Ihren Rechner 30 Minuten lang verweigert.

Zugriffsversuch: MSRPCSS Attack (2).
Angreifer: 84.140.121.XXX(1466).
Risikostufe: Hoch.
Protokoll: TCP.
Angegriffene IP: 84.140.8.XXX
Angegr. Anschluss: epmap(135).
84.140.121.XXX wird der Zugriff auf Ihren Rechner 30 Minuten lang verweigert.

Zugriffsversuch: MSRPCSS Attack (2).
Angreifer: 84.139.108.XXX(2526).
Risikostufe: Hoch.
Protokoll: TCP.
Angegriffene IP: 84.140.8.XXX
Angegr. Anschluss: epmap(135).
84.139.108.XXX wird der Zugriff auf Ihren Rechner 30 Minuten lang verweigert.

Zugriffsversuch: MSRPCSS Attack (2).
Angreifer: 84.140.197.XXX(4235).
Risikostufe: Hoch.
Protokoll: TCP.
Angegriffene IP: 84.140.8.XXX
Angegr. Anschluss: epmap(135).
84.140.197.XXX wird der Zugriff auf Ihren Rechner 30 Minuten lang verweigert.

Zugriffsversuch: MSRPCSS Attack (2).
Angreifer: 84.140.59.XXX(3551).
Risikostufe: Hoch.
Protokoll: TCP.
Angegriffene IP: 84.140.8.XXX
Angegr. Anschluss: epmap(135).
84.140.59.XXX wird der Zugriff auf Ihren Rechner 30 Minuten lang verweigert.

Zugriffsversuch: MSRPCSS Attack (2).
Angreifer: 84.140.245.XX(4110).
Risikostufe: Hoch.
Protokoll: TCP.
Angegriffene IP: 84.140.8.XX
Angegr. Anschluss: epmap(135).
84.140.245.XX wird der Zugriff auf Ihren Rechner 30 Minuten lang verweigert.

Zugriffsversuch: MSRPC Network DDE BO.
Angreifer: 84.137.92.XXX(3002).
Risikostufe: Hoch.
Protokoll: TCP.
Angegriffene IP: 84.140.8.XXX
Angegr. Anschluss: epmap(135).
84.137.92.XXX wird der Zugriff auf Ihren Rechner 30 Minuten lang verweigert.

Und diese Eintrage noch ca 40 X in meiner Protokollanzeige. Dieses Geblicke nervt mich echt! NIS verwende ich!
Seitenanfang Seitenende
25.11.2005, 18:19
Member
Avatar Gool

Beiträge: 4730
#4 Das könnten Datenpakete von T-Online sein. Manchmal versenden Provider an bestimmte Ports aus irgendeinem Grund irgendwelche Pakete.

Andererseits ist Port 445 auch der Port, den Sasser angreift. Port 135 sind von Nachi und MSBlast betroffen. Es könnte also auch durchaus sein, dass Würmer von irgendwelchen infizierten Rechnern versuchen, auf Deinen PC zu gelangen. Die Warnmeldungen kannst Du in NIS übrigens auch deaktivieren (frag mich jetzt aber bitte nicht wie, denn ich nutze NIS schon lang nicht mehr). Oder Du besorgst Dir nen Router, der ist besser als jede Software-Firewall ;)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
20.11.2006, 19:06
...neu hier

Beiträge: 5
#5 hallo!

Ich hab das selbe problem: Die Norton firewall zeigt ständig: Unerlaubter zugriff auf ihren computer entdeckt.

MS RPC LSASS DS Oversized Request (TCP) (Angriffs IP beginnt immer mit 62.178.XX.XX)
In seltenen Fällen 213.42.xx.xx

Danke
Seitenanfang Seitenende
21.11.2006, 01:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 CRage

Idee: ;)
wende an Windows Worms Doors Cleaner - und schliesse so die ports
http://virus-protect.org/windsdoorcleaner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: