/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Min Firewall fanger en der sniffer på port~
Fra : Magnus Pedersen


Dato : 07-02-01 11:59

Hver eneste gang jeg checker min mail, blokker min FireWall (ZonaAlarm Pro)
et forsøg på at få kantakt til min computer på port 137, logfilen ser
således ud:

FWIN,2001/02/04,19:44:22 +1:00 GMT,213.237.41.31:137,10.0.0.3:137,UDP

Når jeg sporer IP nummeret ender jeg med dette resultat:

213.237.41.31.adsl.od.worldonline.dk

Mit første gæt var at det var en hest der havde fået sneget sig uden om min
virus checker, men jeg har scannet hele mit system igennem på kryds og tværs
uden jeg har fundet noget. Min mailklient er outlook 2000 og mit
antivirussoftware er AVX. Hvis der er nogen af jer der har en løsning eller
et gæt så er i mere end velkomne.

--

/Magnus




 
 
Paw P Larsen (07-02-2001)
Kommentar
Fra : Paw P Larsen


Dato : 07-02-01 13:45

Magnus Pedersen in <95r9q8$1kr8$1@news.cybercity.dk>:

>FWIN,2001/02/04,19:44:22 +1:00 GMT,213.237.41.31:137,10.0.0.3:137,UDP

Det er tvivlsomt en sniffer. Det er en NetBIOS-host (sikkert en
med Bills software på), som sender broadcasts ud. Du kan end
ikke være sikker på, at han/hun er klar over, at hans maskine
sender det ud.

Kent Friis (08-02-2001)
Kommentar
Fra : Kent Friis


Dato : 08-02-01 18:41

Den Wed, 7 Feb 2001 11:59:24 +0100 skrev Magnus Pedersen:
>Hver eneste gang jeg checker min mail, blokker min FireWall (ZonaAlarm Pro)
>et forsøg på at få kantakt til min computer på port 137, logfilen ser
>således ud:
>
>FWIN,2001/02/04,19:44:22 +1:00 GMT,213.237.41.31:137,10.0.0.3:137,UDP
>
>Når jeg sporer IP nummeret ender jeg med dette resultat:
>
>213.237.41.31.adsl.od.worldonline.dk

Var det denne?

Fra port 137 til port 137 - helt klart en windows-maskine der forsøger
at snakke netbios.

Hvis du connecter til en windows-maskine, og den ikke kan finde dit ip
i DNS'en, så connecter de bare til din maskine på port 137, helt uden
at spørge om lov.

Et gæt kunne være at du har været inde på en privat hjemmeside, som
tilfældigvis lå på en worldonline-kundes private PC - en forward
DNS-lookup[1] vil give ip-nummeret, men en reverse lookup[2] vil blot
give worldonline's opfattelse af maskinens navn. Det gælder hos alle[3]
udbydere, der lader folk stille servere op på ADSL-linier[4]. Derfor
kan du ikke se navnet på den webserver du oprindeligt var inde på.

Det kan ikke engang betale sig at fortælle idioten at han har et
problem med navneopslag - for det første aner han garanteret ikke
hvordan man retter det, og for det andet er der utroligt mange af
dem.

Den nemmeste løsning er at bede firewall'en om ikke at logge
forespørgsler på port 137 (evt. 135-139), men bare smide pakken væk.

Mvh
Kent

[1] navn -> nr: www.minside.dk -> 1.2.3.4

[2] nr -> navn: 1.2.3.4 -> 1.2.3.4.adsl.od.worldonline.dk

[3] Der er sikkert en undtagelse der bekræfter reglen et eller andet
sted

[4] eller andre linier beregnet til private.
--
http://www.celebrityshine.com/~kfr - sidste billede uploadet: moon.png

Magnus Pedersen (08-02-2001)
Kommentar
Fra : Magnus Pedersen


Dato : 08-02-01 20:50


"Kent Friis" <leeloo@mailandnews.com> skrev i en meddelelse
news:PSAg6.29383$zw.574974@twister.sunsite.dk...
> Den Wed, 7 Feb 2001 11:59:24 +0100 skrev Magnus Pedersen:
> >Hver eneste gang jeg checker min mail, blokker min FireWall (ZonaAlarm
Pro)
> >et forsøg på at få kantakt til min computer på port 137, logfilen ser
> >således ud:
> >
> >FWIN,2001/02/04,19:44:22 +1:00 GMT,213.237.41.31:137,10.0.0.3:137,UDP
> >
> >Når jeg sporer IP nummeret ender jeg med dette resultat:
> >
> >213.237.41.31.adsl.od.worldonline.dk
>
> Var det denne?

Jep

> Fra port 137 til port 137 - helt klart en windows-maskine der forsøger
> at snakke netbios.
>
> Hvis du connecter til en windows-maskine, og den ikke kan finde dit ip
> i DNS'en, så connecter de bare til din maskine på port 137, helt uden
> at spørge om lov.
>
> Et gæt kunne være at du har været inde på en privat hjemmeside, som
> tilfældigvis lå på en worldonline-kundes private PC - en forward
> DNS-lookup[1] vil give ip-nummeret, men en reverse lookup[2] vil blot
> give worldonline's opfattelse af maskinens navn. Det gælder hos alle[3]
> udbydere, der lader folk stille servere op på ADSL-linier[4]. Derfor
> kan du ikke se navnet på den webserver du oprindeligt var inde på.
>
> Det kan ikke engang betale sig at fortælle idioten at han har et
> problem med navneopslag - for det første aner han garanteret ikke
> hvordan man retter det, og for det andet er der utroligt mange af
> dem.
>
> Den nemmeste løsning er at bede firewall'en om ikke at logge
> forespørgsler på port 137 (evt. 135-139), men bare smide pakken væk.
>
> Mvh
> Kent

Ok, det gjorde mig da lidt klogere, mange tak for hjælpen.

>
> [1] navn -> nr: www.minside.dk -> 1.2.3.4
>
> [2] nr -> navn: 1.2.3.4 -> 1.2.3.4.adsl.od.worldonline.dk
>
> [3] Der er sikkert en undtagelse der bekræfter reglen et eller andet
> sted
>
> [4] eller andre linier beregnet til private.
> --
> http://www.celebrityshine.com/~kfr - sidste billede uploadet: moon.png


--
/Magnus



No-Stress (10-02-2001)
Kommentar
Fra : No-Stress


Dato : 10-02-01 09:52

> Mit første gæt var at det var en hest der havde fået sneget sig uden om
min
> virus checker, men jeg har scannet hele mit system igennem på kryds og
tværs
> uden jeg har fundet noget. Min mailklient er outlook 2000 og mit
> antivirussoftware er AVX. Hvis der er nogen af jer der har en løsning
eller
> et gæt så er i mere end velkomne.

Som allerede forklaret er det ikke en trojan, men ville bare lige kommentere
at de fleste AV programmer ikke er så gode til at finde trojanske heste, her
bør man benytte en desideret "cleaner" at finde dem.

With Regards

No-Stress





Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408934
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste