Angriff mit Subseven auf Firewall

#1 Ist es Möglich, das man subseven über eine IP versendet? Ich habe alle paar Minuten eine Meldung

Datum: 21.08.02 Uhrzeit: 17:47:19
Regel "Standard Backdoor/SubSeven blockieren" blockierte ). Details:
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (---.---.---)---)
Der Angreifer
Remote-Adresse, Dienst ist (217.185.208.238,1550)
Prozessname ist "N/A"

Wie kann ich rausbekommen wer sich dahinter verbirgt, und wie kann ich den unschädlich machen? Bin echt sauer, weil ich davon ausgehe, das ich gut abgesichert bin. Auf eine Antwort würde ich mich freuen!

#2 Lass mich raten, Du hast irgendein Produkt von Symantec?

normalerweise ist das lediglich der Hinweis, daß Dein Rechner von einem "Skript Kiddie" gescannt wurde. Norten schreibt dann bei den Standardports gleich immer den Trojaner hin, der es sein könnte. Es besteht wohl keine Gefahr, aber ein Check mit aktuellem Virenprogramm kann nicht schaden

R:
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#3 Was ist Skript Kiddie, und wie kann ich mir sicher sein das da doch keiner Hintersteckt? Also ich habe immer die Route zurück verfolgt, bekomme aber nur die Server wie telekom, korea und so weiter.

#4 Ein Skript Kiddie ist ein Jugendlicher, der im Inet mal einen Portscanner gefunden hat und diesen nun planlos ausprobiert. Solche "Angriffe" hat jeder von uns, täglich im Logfile. Das die Remote IP von der Telekom ist, verstärkt die Annahme.

Du kannst sichergehen, indem Du Deinen Rechner mit einem aktuellen Virenscanner untersuchst. Wenn er keinen SubSeven Server findet, dann besteht keine Gefahr!

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#5 Hab hier noch eine recht gute Definition von einem Skript Kiddie gefunden:

Zitat

Der Begriff Script-Kiddie ist ursprünglich im IRC entstanden. Die einzelnen Chat-Clients konnten durch Skripte für Zusatzfunktionen erweitert werden. Heute ist es die abwertende Bezeichnung für User, die ihre Angriffe nur mit vorgefertigten Skripten ausführen, weil sie selbst solche Angriffskripte nicht programmieren können, mit denen andere User zugemüllt werden oder gar ein DoS gestartet wird.

__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#6 Hi,

zweifelsohne ist der Unterhaltungswert dieser Spielzeuge nicht zu unterschätzen.Würde den Herstellern vorschlagen statt Warnfenster(könnte ja beim surfen stören)akustische Meldungen zu erzeugen wie z.B:Achtung wichtige Durchsage Port...ist gerade unter Beschuss.Um das Bild zu ergänzen könnte mann im Hintergrund auch Feuerwaffen ertönen lassen.

Hoffe keiner nimmt's mir übel aber es überkam mich einfach beim lesen.

Gruß
Ajax

#7 Wenn man aber öfter Angegriffen wird, dann hört der spass auf, git es eine Möglichkeit den User zu Lokalisieren, oder ihm über eine IP eine Nachricht zu senden, eine Wahrnung zB, um den USER einen schreck zu verpassen?

#8 Wozu? Die beste Möglichkeit ist wohl eine Mail an seinen Provider mit dem Auszug aus dem Logfile zu schicken. Alles andere ist IMHO nur das gleiche, niedere Niveau.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#9 Hallo, bin schon wieder Angegriffen worden, ich glaube nicht das das Skript Kiddies sind, aber ich finde auch kein server oder der gleichen.

Datum: 22.08.02 Uhrzeit: 18:01:35
Regel "Standard NetBus blockieren" blockierte (-----(000.0.000.000),NetBus(00000)). Details:
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (-----(000.0.000.000),NetBus(00000))

Angreifer
Remote-Adresse, Dienst ist (217.3.160.120,1311)
Prozessname ist "N/A"

Diesmal war es NetBus

hab echt die Schnautze voll

#10 Also es sind definitiv script kiddies wie du siehst läuft an den Remotport auch kein server siehe prozessname

einziger grund dafür das du eine meldung bekommst ist wie ajax deutlich sagte der mist von Norton Firewall

du kannst natürlich anzeige gegen den Typ erstatten hast ja die Ip ich möchte wird aber wohl wegen geringfühgigkeit abgelehnt dann kannst du die anwaltskosten tragen

Also stelle am besten alle Trojaner meldungen aus die sind nämlich nur fürs marketing
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#11 Erst mal schönen Dank für die Infomationen, werd mal sehen was ich dagegen tun werde. Obwohl es würde mich Interessieren ob es nicht ein tool gibt mit dem ich über die IP Nachrichten versenden kann. Dann gibt es in Zukunft auch weniger Script Kiddies. Aber wenn ich die Trojaner meldungen ausschalten würde, würde ich dann noch benachrichtigt werden?

#12 Nein würdest du nicht außerdem sind die Trojaner meldungen absolut sinnlos
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#13 Datum: 27.08.02 Uhrzeit: 17:00:28
Regel "Standard Hack 'A' Tack blockieren" blockierte (-----(--),--). Details:
Ankommendes UDP-Paket
Remote-Adresse, Dienst ist (213.7.35.250,31790)
Prozessname ist "N/A"

warum bekommt man dauernd solche Mitteilungen, kann es sich dabei wirklich nur um Script kiddies handeln?

#14 Dieser Scan kommt aus dem Netz von Mobilcom, also Freenet. Ich kann Dir nicht garantieren, daß es ein SkriptKiddie ist, aber die Vermutung liegt sehr nah.

Wenn es Dir nicht passt, dann gibt es nur eins: Stecker raus und kein Inet mehr. Das ist die sicherste Lösung

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#15 Warum soll ich darunter leiden wenn andere mich anscannen, das der von Mobilcom ist das weiss ich, ich habe ihn zurück verfolgt. aber was soll soetwas
Außerdem ist das kein guter Rat von dir !!