Dauer Angriff?

#0
16.08.2003, 00:50
...neu hier

Beiträge: 2
#1 Rule 'TCP ack packet attack': Blocked: In TCP, core.freenet-rz.de [62.104.23.186:1214]->localhost:3184, Owner: no owner

Dieser Server scheint mir immer wieder ungefragt packet zu schicken oder mich anzugreifen und das schon seid über 10 Stunden, es werden alle Ports zwischen 3000 und 5000 abgefragt der ausgangs Port ist immer 1214. Ich bekomme etwa eine anfrage pro Sekunde von denen.

Weiß jemand wer oder was der Auslöser dafür sein könnte oder wie ich das für immer unterbinden kann?
Seitenanfang Seitenende
16.08.2003, 01:16
Moderator
Avatar joschi

Beiträge: 6466
#2 Manchmal hilft es ja sich einfach neu einzuwählen um eine andere IP zu erhalten. Der Port 1214 deutet auf einen P2P-Client hin. Was aber nun die wirkliche Ursache für die von Dir eschrieben Situation ist.....schwer zu sagen.
Es muss wohl zwischen 62.104.23.186 und deiner IP zuvor eine Verbindung gegeben haben, (...bis Du die IP dann eben unternommen hast.)
Ein Angriff würde auf den von Dir aufgeführten Ports wenig Sinn machen, da hier allermeistens keine Dienste angesiedelt sind, die eine Anfrage entgegennehmen.
Im Zweifelsfall ein nettes Mail an die entsprechende Stelle schreiben und auf die Tatsache hinweisen. In diesem Fall würde das von abuse@pppool.de bearbeitet werden. Es sieht aber mehr nach einem fehlerhaften System als nach einem Missbrauch der zur Verfügung gestellten Leitung aus.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
27.08.2003, 23:02
Member

Beiträge: 16
#3 So ein ähnliches Problem habe ich heute auch:

Rule 'Block all incoming': Blocked: In UDP, 80.150.1.14:1701->localhost:1701, Owner: no owner

Immer die gleiche IP, gleicher Port und das sekündlich. Ich dachte schon, meine FW spinnt. Wer schickt denn ständig UDP`s über Stunden ?
2 Mal kam heute die Frage von Kerio, das die Kerio.exe (Prüfsumme) verändert wäre und ob das korrekt wäre. Ich habe nein gewählt, da ich nichts an der FW verändert habe. Mein System wird insgesamt stark belastet, ich nehme an durch das ganze Mitloggen der geblockten Angriffe.
Seitenanfang Seitenende
27.08.2003, 23:41
Member

Beiträge: 1516
#4 Wenn sich die Prüfsumme von Kerio.exe verändert hat und du vorher kein Update gemacht hast, würde ich die Firewall neu installieren.

Wenn du die Systembelastung senken willst, erstell einfach eine Block Regel für diesen Angriff und schieb sie an erste Stelle in deinem Ruleset
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}
Seitenanfang Seitenende
27.08.2003, 23:45
Member
Avatar Ajax

Beiträge: 890
#5 @ladie

Kerios Warnmeldungen betreff. Prüfsumme klingt nicht gut,es sei denn Du hast wie spunki sagt,ein Update gemacht.
An deiner Stelle würde ich sicherheitshalber bei Kaspersky Antivirus einen Online-Check machen.

Gruß
Ajax
Dieser Beitrag wurde am 27.08.2003 um 23:49 Uhr von Ajax editiert.
Seitenanfang Seitenende
28.08.2003, 00:09
Member

Beiträge: 16
#6 Ein Update habe ich nicht gemacht, deshalb war ich auch überrascht.
Norton Antivirus habe ich drauf. Der hat mir bisher nichts gemeldet, wahrscheinlich muss ich erst wieder manuell prüfen oder den nächsten Systemstart abwarten.
Seitenanfang Seitenende
28.08.2003, 00:29
Member

Beiträge: 813
#7 Äh, "kerio.exe"? Welche Kerio-Version hast du?

Die Kerio 2.x hat jedenfalls _keine_ "kerio.exe"... wie das bei der aktuellen Version ist, weiß ich aber nicht...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
28.08.2003, 11:30
Member

Beiträge: 16
#8 Das stimmt schon. Ich meinte die exe von kerio, persfw.exe heisst sie. Entschuldigung, wenn ich das gestern Abend nicht mehr so genau genommen habe.

Ich habe inzwischen meinen Rechner mit NAV gescannt (ohne Ergebnis) und Kerio neuinstalliert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: