|
| Organiseret angreb/portscanning? Fra : Stronger |
Dato : 12-08-04 18:01 |
|
Hej
Her i eftermiddag og lige p.t. oplever jeg et massivt angreb eller
portscanning (eller, hvad det nu måtte være), som vha. ZoneAlarm Pro kan
lokaliseres til midtjylland og i byerne heromkring. Mange er ligesom jeg
selv, Stofanet kunder, men det virker lidt mystisk - synes jeg i hvert
fald - , at det lige præcis er gentagne scanninger lige fra samme område.
Det er forskellige IP-adresser og nogle gange er der den samme ip igen osv.
ZoneAlarm viser "Rød Alarm", altså den højeste advarsel.
Andre der i dag oplever noget lign. og nogle der ved, om der blot er tale om
"almindelige" portscanninger, når der er "red alert" = High risk i følge
ZoneAlarm?
Mvh
Stronger
| |
Torben B. Sørensen (12-08-2004)
| Kommentar Fra : Torben B. Sørensen |
Dato : 12-08-04 18:09 |
|
"Stronger" <stronger1989PLEASE@REMOVETHISTHANKShotmail.com> wrote in
news:411ba237$0$8685$ba624c82@nntp04.dk.telia.net:
> Her i eftermiddag og lige p.t. oplever jeg et massivt angreb eller
> portscanning (eller, hvad det nu måtte være), som vha. ZoneAlarm Pro
> kan lokaliseres til midtjylland og i byerne heromkring. Mange er
> ligesom jeg selv, Stofanet kunder, men det virker lidt mystisk - synes
> jeg i hvert fald - , at det lige præcis er gentagne scanninger lige
> fra samme område. Det er forskellige IP-adresser og nogle gange er der
> den samme ip igen osv.
Hvilke porte ser du? Der er for tiden gang i massive scanninger efter TCP-
445. Det kan skyldes et botnet:
https://www.cert.dk/nyheder/nyheder.shtml?04-08-12-11-16-26
Torben
| |
Stronger (12-08-2004)
| Kommentar Fra : Stronger |
Dato : 12-08-04 19:34 |
|
Torben B. Sørensen skrev:
> Hvilke porte ser du?
Hej Torben
Det er typisk port 139, 1025,1029 og o.l. og der står Netbios eller UDP ved
dem alle, næsten.
Ved du om jeg kan slå disse fra, evt.? Altså Netbios og UDP eller blot een
af dem.... Jeg kører Windows XP Pro SP1
>Der er for tiden gang i massive scanninger efter TCP-
> 445. Det kan skyldes et botnet:
> https://www.cert.dk/nyheder/nyheder.shtml?04-08-12-11-16-26
>
> Torben
Fedt, du lige postede den artikel.... Kan det være ormen, der har ramt et
Stofa Netværk i Midtjylland og som prøver "af sig selv" så at sige?
Endnu engang tak for hjælpen
mvh
stronger
| |
Kent Friis (12-08-2004)
| Kommentar Fra : Kent Friis |
Dato : 12-08-04 20:19 |
|
Den Thu, 12 Aug 2004 20:34:15 +0200 skrev Stronger:
>
> Torben B. Sørensen skrev:
>
>> Hvilke porte ser du?
>
> Hej Torben
> Det er typisk port 139, 1025,1029 og o.l. og der står Netbios eller UDP ved
> dem alle, næsten.
Dem har vi set før, det plejer at være Windows-maskiner der står og
forsøger på at finde andre Windows-maskiner. Det er der slet ikke noget
unormalt i.
Stofanet har nok fjernet et eller andet filter der tidligere har
blokeret lige præcis de porte.
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Torben B. Sørensen (12-08-2004)
| Kommentar Fra : Torben B. Sørensen |
Dato : 12-08-04 20:37 |
|
"Stronger" <stronger1989PLEASE@REMOVETHISTHANKShotmail.com> wrote in
news:411bb81b$0$8683$ba624c82@nntp04.dk.telia.net:
> Det er typisk port 139, 1025,1029 og o.l. og der står Netbios eller
> UDP ved dem alle, næsten.
> Ved du om jeg kan slå disse fra, evt.? Altså Netbios og UDP eller blot
> een af dem.... Jeg kører Windows XP Pro SP1
Da du bruger Zonealarm, er der ingen grund til at slå dem fra, det sørger
den for at gøre (medmindre du da har åbnet for Windows-fildeling).
Du kan tjekke, hvilke porte andre kan se på din maskine, med denne test:
https://www.grc.com/x/ne.dll?bh0bkyd2
Hvis du kører den, vil Zonealarm give en masse alarmer - det skyldes blot,
at webstedet prøver at "angribe" din pc for at gennemføre testen.
Hvis linket ikke virker, kan du starte her og scrolle ned til Shieldsup!
http://www.grc.com/default.htm
Du vil sikkert få at vide, at der ikke er nogen af dine porte, der står
åbne, så du kan blot ignorere Zonealarms mange beskeder.
Torben
| |
Stronger (13-08-2004)
| Kommentar Fra : Stronger |
Dato : 13-08-04 04:24 |
|
Tusind tak til jer begge for informationen og de gode råd Jeg testede
min pc hos Shields Up! og den bestod alle test, men så prøvede jeg med en
website der hedder pcflank.com og der fik jeg denne triste besked:
Warning!
The test found visible ports on your system: 12345.
The following Trojans use these ports: NetBus
Although these ports are visible, they are not open, so your system is not
infected. However, having visible ports on your system means your computer
can be "seen" over the Internet. This makes it very easy for skillful
intruders to explore your system.
Det skal lige siges, at der før denne besked ved linket, der førte til
beskeden her, stod, at jeg havde en mulig trojan på mit system, selvom jeg
har råscannet min pc, uden at finde trojanere.
Men det med porten, kunne jeg jo ikke forstå efter jeg lige havde bestået
alt hos Shields Up og jeg kørte en netstat -an og der var der ikke en 12345
port der var åben, hvilket jeg finder underligt. Så skulle man jo tro at
pcflank blot skriver det for at man skal købe deres produkt eller noget i
den retning... eller kan der måske være en åben 12345 port alligevel, selvom
man ikke kan se den på netstat? Underligt...
mvh
stronger
| |
Christian Andersen (13-08-2004)
| Kommentar Fra : Christian Andersen |
Dato : 13-08-04 07:52 |
|
Stronger wrote:
[pcflank.com]
> "Although these ports are visible, they are not open, so your system is not
> infected. However, having visible ports on your system means your computer
> can be "seen" over the Internet. This makes it very easy for skillful
> intruders to explore your system."
Reklamegas. Hvis der ikke er åbne porte, kan din computer IKKE blive
udnyttet udefra (altså over Internettet).
[snip]
> den retning... eller kan der måske være en åben 12345 port alligevel, selvom
> man ikke kan se den på netstat? Underligt...
Hvis du har en trojaner, kan den jo sagtens "fifle" med netstat, sådan at
den altid viser "det rigtige" resultat.
Hvis du er bekymret vil jeg anbefale dig at geninstallere din computer,
følge denne PDF-fils vejldninger:
http://home18.inet.tele.dk/madsen/winxp/Tjenester.pdf
og ellers læse gruppens OSS (Ofte Stillede Spørgsmål) på
http://sikkerhed-faq.dk/
især http://sikkerhed-faq.dk/brugere
og http://sikkerhed-faq.dk/hjemme_pc
er gode til at starte på.
--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!
| |
Jens@dtext.news.tele~ (13-08-2004)
| Kommentar Fra : Jens@dtext.news.tele~ |
Dato : 13-08-04 07:00 |
|
"Stronger" <stronger1989PLEASE@REMOVETHISTHANKShotmail.com> skrev i en
meddelelse news:411bb81b$0$8683$ba624c82@nntp04.dk.telia.net...
> Torben B. Sørensen skrev:
> > Hvilke porte ser du?
cut
> Hej Torben
> Det er typisk port 139, 1025,1029 og o.l. og der står Netbios eller UDP
ved
> dem alle, næsten.
> Ved du om jeg kan slå disse fra, evt.? Altså Netbios og UDP eller blot een
> af dem.... Jeg kører Windows XP Pro SP1
cut
> Endnu engang tak for hjælpen
> stronger
Hej stærk
http://grc.com/dcom/
lukker port 135
http://www.uksecurityonline.com/husdg/windowsxp/close445.htm
luk port 445
http://www.overclockersclub.com/guides/windows_xp_services.php
luk overflødige services = luk andre overflødige porte
Så skulle den ged være barberet,
og husk det er bedre at fikse problemet end behandle symptomerne med
ZoneAlarm
/Jens
| |
Christian Andersen (13-08-2004)
| Kommentar Fra : Christian Andersen |
Dato : 13-08-04 07:55 |
| | |
|
|