Angriff mit Subseven auf Firewall

#0
21.08.2002, 18:54
...neu hier

Beiträge: 5
#1 Ist es Möglich, das man subseven über eine IP versendet? Ich habe alle paar Minuten eine Meldung

Datum: 21.08.02 Uhrzeit: 17:47:19
Regel "Standard Backdoor/SubSeven blockieren" blockierte ). Details:
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (---.---.---)---)
Der Angreifer
Remote-Adresse, Dienst ist (217.185.208.238,1550)
Prozessname ist "N/A"

Wie kann ich rausbekommen wer sich dahinter verbirgt, und wie kann ich den unschädlich machen? Bin echt sauer, weil ich davon ausgehe, das ich gut abgesichert bin. Auf eine Antwort würde ich mich freuen!
Seitenanfang Seitenende
21.08.2002, 18:56
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#2 Lass mich raten, Du hast irgendein Produkt von Symantec?

normalerweise ist das lediglich der Hinweis, daß Dein Rechner von einem "Skript Kiddie" gescannt wurde. Norten schreibt dann bei den Standardports gleich immer den Trojaner hin, der es sein könnte. Es besteht wohl keine Gefahr, aber ein Check mit aktuellem Virenprogramm kann nicht schaden ;)

R:
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
21.08.2002, 19:02
...neu hier

Themenstarter

Beiträge: 5
#3 Was ist Skript Kiddie, und wie kann ich mir sicher sein das da doch keiner Hintersteckt? Also ich habe immer die Route zurück verfolgt, bekomme aber nur die Server wie telekom, korea und so weiter.
Seitenanfang Seitenende
21.08.2002, 19:30
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#4 Ein Skript Kiddie ist ein Jugendlicher, der im Inet mal einen Portscanner gefunden hat und diesen nun planlos ausprobiert. Solche "Angriffe" hat jeder von uns, täglich im Logfile. Das die Remote IP von der Telekom ist, verstärkt die Annahme.

Du kannst sichergehen, indem Du Deinen Rechner mit einem aktuellen Virenscanner untersuchst. Wenn er keinen SubSeven Server findet, dann besteht keine Gefahr!

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
21.08.2002, 19:38
Member

Beiträge: 3306
#5 Hab hier noch eine recht gute Definition von einem Skript Kiddie gefunden:

Zitat

Der Begriff Script-Kiddie ist ursprünglich im IRC entstanden. Die einzelnen Chat-Clients konnten durch Skripte für Zusatzfunktionen erweitert werden. Heute ist es die abwertende Bezeichnung für User, die ihre Angriffe nur mit vorgefertigten Skripten ausführen, weil sie selbst solche Angriffskripte nicht programmieren können, mit denen andere User zugemüllt werden oder gar ein DoS gestartet wird.

__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Dieser Beitrag wurde am 21.08.2002 um 19:41 Uhr von asdrubael editiert.
Seitenanfang Seitenende
21.08.2002, 20:29
Ajax
zu Gast
#6 Hi,

zweifelsohne ist der Unterhaltungswert dieser Spielzeuge nicht zu unterschätzen.Würde den Herstellern vorschlagen statt Warnfenster(könnte ja beim surfen stören)akustische Meldungen zu erzeugen wie z.B:Achtung wichtige Durchsage Port...ist gerade unter Beschuss.Um das Bild zu ergänzen könnte mann im Hintergrund auch Feuerwaffen ertönen lassen.

Hoffe keiner nimmt's mir übel aber es überkam mich einfach beim lesen.

Gruß
Ajax
Seitenanfang Seitenende
21.08.2002, 20:42
Delphi
zu Gast

Themenstarter
#7 Wenn man aber öfter Angegriffen wird, dann hört der spass auf, git es eine Möglichkeit den User zu Lokalisieren, oder ihm über eine IP eine Nachricht zu senden, eine Wahrnung zB, um den USER einen schreck zu verpassen?
Seitenanfang Seitenende
21.08.2002, 20:44
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#8 Wozu? Die beste Möglichkeit ist wohl eine Mail an seinen Provider mit dem Auszug aus dem Logfile zu schicken. Alles andere ist IMHO nur das gleiche, niedere Niveau.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
22.08.2002, 18:24
...neu hier

Themenstarter

Beiträge: 5
#9 Hallo, bin schon wieder Angegriffen worden, ich glaube nicht das das Skript Kiddies sind, aber ich finde auch kein server oder der gleichen.

Datum: 22.08.02 Uhrzeit: 18:01:35
Regel "Standard NetBus blockieren" blockierte (-----(000.0.000.000),NetBus(00000)). Details:
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (-----(000.0.000.000),NetBus(00000))

Angreifer
Remote-Adresse, Dienst ist (217.3.160.120,1311)
Prozessname ist "N/A"

Diesmal war es NetBus

hab echt die Schnautze voll
Seitenanfang Seitenende
22.08.2002, 19:18
Member

Beiträge: 1516
#10 Also es sind definitiv script kiddies wie du siehst läuft an den Remotport auch kein server siehe prozessname

einziger grund dafür das du eine meldung bekommst ist wie ajax deutlich sagte der mist von Norton Firewall

du kannst natürlich anzeige gegen den Typ erstatten hast ja die Ip ich möchte wird aber wohl wegen geringfühgigkeit abgelehnt dann kannst du die anwaltskosten tragen

Also stelle am besten alle Trojaner meldungen aus die sind nämlich nur fürs marketing
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}
Seitenanfang Seitenende
23.08.2002, 13:27
Delphi
zu Gast

Themenstarter
#11 Erst mal schönen Dank für die Infomationen, werd mal sehen was ich dagegen tun werde. Obwohl es würde mich Interessieren ob es nicht ein tool gibt mit dem ich über die IP Nachrichten versenden kann. Dann gibt es in Zukunft auch weniger Script Kiddies. Aber wenn ich die Trojaner meldungen ausschalten würde, würde ich dann noch benachrichtigt werden?
Seitenanfang Seitenende
23.08.2002, 14:44
Member

Beiträge: 1516
#12 Nein würdest du nicht außerdem sind die Trojaner meldungen absolut sinnlos
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}
Seitenanfang Seitenende
27.08.2002, 17:25
...neu hier

Themenstarter

Beiträge: 5
#13 Datum: 27.08.02 Uhrzeit: 17:00:28
Regel "Standard Hack 'A' Tack blockieren" blockierte (-----(--),--). Details:
Ankommendes UDP-Paket
Remote-Adresse, Dienst ist (213.7.35.250,31790)
Prozessname ist "N/A"

warum bekommt man dauernd solche Mitteilungen, kann es sich dabei wirklich nur um Script kiddies handeln?
Seitenanfang Seitenende
27.08.2002, 17:34
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#14 Dieser Scan kommt aus dem Netz von Mobilcom, also Freenet. Ich kann Dir nicht garantieren, daß es ein SkriptKiddie ist, aber die Vermutung liegt sehr nah.

Wenn es Dir nicht passt, dann gibt es nur eins: Stecker raus und kein Inet mehr. Das ist die sicherste Lösung ;)

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
27.08.2002, 17:37
...neu hier

Themenstarter

Beiträge: 5
#15 Warum soll ich darunter leiden wenn andere mich anscannen, das der von Mobilcom ist das weiss ich, ich habe ihn zurück verfolgt. aber was soll soetwas
Außerdem ist das kein guter Rat von dir !!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: