Hackerangriff siehe mein Firewallslog...

#0
14.02.2003, 16:05
...neu hier

Beiträge: 4
#1 Hallo Leute,

ich habe zuhause ein Netzwerk, mit einem win2000 Server und drei win2000prof. ins Internet gehe ich mit einem Ruter. Bisher hatte ich nur die Firewall von meinem Ruter. Jetzt habe ich aber festgestellt, daß jemand in mein System eingehackt ist.

1. Jetzt habe ich festgestellt, daß der eine Lanverbindung mit der Fritzkart eingerichtet hat, die auf dem Server zum Faxen ist. Die verbindung baut eine verbindung mit der IP 192.168.120.253 auf.

2. Die verbundung habe ich jetzt gelöscht und auf dem Server eine kostenlose firewall installiert um mir mal das Protokoll anzusehen. In der ersten Nacht wurde bereits wieder ein Postscann durchgefürt.
Da ist wieder ständig die IP 192.168.120.253 aufgetaucht. Woher wuste er eigentlich schon wieder meine IP? Vierenscanner sind aktuell, als ist kaum ein Wurm drauf oder?

3. Es ist irgend eine weitere IP aufgetaucht, di mir verdächtig vorkommt.
Ich stell noch ein bischen was von dem Protokoll hier rein, vieleicht könnt ihr daraus mehr lesen. Den Portscann macht er fast jede Nacht!


ACCESS,2003/02/03,23:59:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
ACCESS,2003/02/04,01:19:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
ACCESS,2003/02/04,02:39:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
PE,2003/02/04,03:29:26 +1:00 GMT,Domänennamenserver (DNS),127.0.0.1:389,N/A
ACCESS,2003/02/04,03:59:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
ACCESS,2003/02/04,05:19:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
ACCESS,2003/02/04,06:39:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Domänennamenserver (DNS),127.0.0.1:389,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Domänennamenserver (DNS),127.0.0.1:389,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Domänennamenserver (DNS),127.0.0.1:389,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A


ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3612,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3613,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3614,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3615,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3616,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3617,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3618,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3619,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3620,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3621,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3622,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3623,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3624,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3625,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A


PE,2003/02/04,07:33:38 +1:00 GMT,Dateireplikationsdienst,192.168.120.254:389,N/A
ACCESS,2003/02/04,07:33:38 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:33:44 +1:00 GMT,Adaptive Server Anywhere Network Server,0.0.0.0:2638,N/A
PE,2003/02/04,07:34:12 +1:00 GMT,Dateireplikationsdienst,192.168.120.254:389,N/A
PE,2003/02/04,07:37:06 +1:00 GMT,LSA-Exe und Server-DLL,192.168.120.254:2174,N/A
PE,2003/02/04,07:37:14 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:2192,N/A
PE,2003/02/04,07:37:46 +1:00 GMT,Domänennamenserver (DNS),127.0.0.1:389,N/A
PE,2003/02/04,07:38:06 +1:00 GMT,TCP/IP Services Application,192.168.120.254:68,N/A
ACCESS,2003/02/04,07:59:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
ACCESS,2003/02/04,09:19:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
ACCESS,2003/02/04,10:39:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
ACCESS,2003/02/04,11:59:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
ACCESS,2003/02/04,13:19:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
ACCESS,2003/02/04,14:39:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
PE,2003/02/04,15:28:22 +1:00 GMT,Spooler SubSystem App,192.168.120.254:389,N/A
ACCESS,2003/02/04,15:59:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
ACCESS,2003/02/04,17:19:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
ACCESS,2003/02/04,18:06:12 +1:00 GMT,,N/A,N/A
ACCESS,2003/02/04,18:06:12 +1:00 GMT,Spooler SubSystem App was temporarily blocked from connecting to the Internet (192.168.120.254:port 389).,N/A,N/A
ACCESS,2003/02/04,18:39:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
ACCESS,2003/02/04,19:59:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
Seitenanfang Seitenende
14.02.2003, 16:11
...neu hier

Themenstarter

Beiträge: 4
#2 PS: Welche Firewall würdet ihr mir in Zukunft empfehlen?

1. Sicher
2. Einfach bedienen
3. So ca. 500,- € wäre ich bereit auszugeben
Seitenanfang Seitenende
14.02.2003, 20:03
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#3 lso ich kann hier nichts verdächtiges erkennen.

Es handelt sich um ganz normale Windows Prozesse (DNS, WINS, Print, ...) die siche versuchen zu einer Deiner IP Adressen (wahrscheinlich der Router und somit Standardgateway) zu verbinden.

Für mich sieht das ganz normal aus. Lass lieber mal einen Sniffer mitlaufen und schau Dir das Protokoll an - dann siehst Du was in Deinem Netz so los ist und bekommst ein Gefühl dafür!
R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
15.02.2003, 09:31
...neu hier

Themenstarter

Beiträge: 4
#4 Wieso ist hier ein Port nach dem anderen? 3612,3613... von x bis x.

Was soll die IP 192.168.120.254 ?
Komischer weise war auch eine Lanverbindung mit der Fritzkarte zu dieser IP eingerichtet, die ich nie eingerichtet habe.

Mein IP-Adressen bereich ist 192.168.0.1 (Router) 192.168.0.10 bis 192.168.0.50 (DHSP-Server)

ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3612,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3613,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3614,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3615,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3616,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3617,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3618,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3619,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3620,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3621,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3622,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3623,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3624,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3625,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
Seitenanfang Seitenende
15.02.2003, 09:44
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#5 Das war sicherlich die Standardeinstellung der Firtzcard - und nun versucht Windows herauszufinden was es in diesem Netz so alles gibt.

R:
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
15.02.2003, 12:04
...neu hier

Themenstarter

Beiträge: 4
#6 Das system läuft so seit ca. 4Monaten und früher hat er das ja auch nicht gemacht.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: