Hackerangriff siehe mein Firewallslog...

#1 Hallo Leute,

ich habe zuhause ein Netzwerk, mit einem win2000 Server und drei win2000prof. ins Internet gehe ich mit einem Ruter. Bisher hatte ich nur die Firewall von meinem Ruter. Jetzt habe ich aber festgestellt, daß jemand in mein System eingehackt ist.

1. Jetzt habe ich festgestellt, daß der eine Lanverbindung mit der Fritzkart eingerichtet hat, die auf dem Server zum Faxen ist. Die verbindung baut eine verbindung mit der IP 192.168.120.253 auf.

2. Die verbundung habe ich jetzt gelöscht und auf dem Server eine kostenlose firewall installiert um mir mal das Protokoll anzusehen. In der ersten Nacht wurde bereits wieder ein Postscann durchgefürt.
Da ist wieder ständig die IP 192.168.120.253 aufgetaucht. Woher wuste er eigentlich schon wieder meine IP? Vierenscanner sind aktuell, als ist kaum ein Wurm drauf oder?

3. Es ist irgend eine weitere IP aufgetaucht, di mir verdächtig vorkommt.
Ich stell noch ein bischen was von dem Protokoll hier rein, vieleicht könnt ihr daraus mehr lesen. Den Portscann macht er fast jede Nacht!


ACCESS,2003/02/03,23:59:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
ACCESS,2003/02/04,01:19:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
ACCESS,2003/02/04,02:39:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
PE,2003/02/04,03:29:26 +1:00 GMT,Domänennamenserver (DNS),127.0.0.1:389,N/A
ACCESS,2003/02/04,03:59:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
ACCESS,2003/02/04,05:19:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
ACCESS,2003/02/04,06:39:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Domänennamenserver (DNS),127.0.0.1:389,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Domänennamenserver (DNS),127.0.0.1:389,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Domänennamenserver (DNS),127.0.0.1:389,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A


ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3612,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3613,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3614,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3615,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3616,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3617,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3618,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3619,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3620,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3621,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3622,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3623,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3624,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3625,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A


PE,2003/02/04,07:33:38 +1:00 GMT,Dateireplikationsdienst,192.168.120.254:389,N/A
ACCESS,2003/02/04,07:33:38 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:33:44 +1:00 GMT,Adaptive Server Anywhere Network Server,0.0.0.0:2638,N/A
PE,2003/02/04,07:34:12 +1:00 GMT,Dateireplikationsdienst,192.168.120.254:389,N/A
PE,2003/02/04,07:37:06 +1:00 GMT,LSA-Exe und Server-DLL,192.168.120.254:2174,N/A
PE,2003/02/04,07:37:14 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:2192,N/A
PE,2003/02/04,07:37:46 +1:00 GMT,Domänennamenserver (DNS),127.0.0.1:389,N/A
PE,2003/02/04,07:38:06 +1:00 GMT,TCP/IP Services Application,192.168.120.254:68,N/A
ACCESS,2003/02/04,07:59:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
ACCESS,2003/02/04,09:19:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
ACCESS,2003/02/04,10:39:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
ACCESS,2003/02/04,11:59:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
ACCESS,2003/02/04,13:19:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
ACCESS,2003/02/04,14:39:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
PE,2003/02/04,15:28:22 +1:00 GMT,Spooler SubSystem App,192.168.120.254:389,N/A
ACCESS,2003/02/04,15:59:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
ACCESS,2003/02/04,17:19:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
ACCESS,2003/02/04,18:06:12 +1:00 GMT,,N/A,N/A
ACCESS,2003/02/04,18:06:12 +1:00 GMT,Spooler SubSystem App was temporarily blocked from connecting to the Internet (192.168.120.254ort 389).,N/A,N/A
ACCESS,2003/02/04,18:39:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A
ACCESS,2003/02/04,19:59:50 +1:00 GMT,WINS SERVER was temporarily blocked from connecting to the Internet (224.0.1.24:Name).,N/A,N/A

#2 PS: Welche Firewall würdet ihr mir in Zukunft empfehlen?

1. Sicher
2. Einfach bedienen
3. So ca. 500,- € wäre ich bereit auszugeben

#3 lso ich kann hier nichts verdächtiges erkennen.

Es handelt sich um ganz normale Windows Prozesse (DNS, WINS, Print, ...) die siche versuchen zu einer Deiner IP Adressen (wahrscheinlich der Router und somit Standardgateway) zu verbinden.

Für mich sieht das ganz normal aus. Lass lieber mal einen Sniffer mitlaufen und schau Dir das Protokoll an - dann siehst Du was in Deinem Netz so los ist und bekommst ein Gefühl dafür!
R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#4 Wieso ist hier ein Port nach dem anderen? 3612,3613... von x bis x.

Was soll die IP 192.168.120.254 ?
Komischer weise war auch eine Lanverbindung mit der Fritzkarte zu dieser IP eingerichtet, die ich nie eingerichtet habe.

Mein IP-Adressen bereich ist 192.168.0.1 (Router) 192.168.0.10 bis 192.168.0.50 (DHSP-Server)

ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3612,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3613,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3614,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3615,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3616,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3617,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3618,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3619,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3620,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3621,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3622,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3623,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3624,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A
PE,2003/02/04,07:27:46 +1:00 GMT,Generic Host Process for Win32 Services,192.168.120.254:3625,N/A
ACCESS,2003/02/04,07:27:46 +1:00 GMT,,N/A,N/A

#5 Das war sicherlich die Standardeinstellung der Firtzcard - und nun versucht Windows herauszufinden was es in diesem Netz so alles gibt.

R:
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#6 Das system läuft so seit ca. 4Monaten und früher hat er das ja auch nicht gemacht.