---

Som regel bliver min daglige firewall-log fra min linux-box blot
skimmet igennem af ren nysgerrighed. Men i den seneste tid er der især
en IP-adresse (80.160.xxx.xxx) som skiller sig drastisk ud ved
gentagne gange at brilliere med scanninger på mange forskellige af
mine porte.

Jeg går ud fra at personen enten er decideret hacker-wannabe eller
også er vedkommende blot så inficeret med alskens "lækkerier" at en
kraftig orme-kur er på sin plads. Begge dele er efter min mening gode
grunde til at ejeren får en henvendelse. Men spørgsmålet er: Hvornår
bør man gribe til tastaturet og tage fat i udbyderen (TDC)?

/B. Nice

---

Den Wed, 02 Jun 2004 20:02:43 +0200 skrev B Nice:
> Som regel bliver min daglige firewall-log fra min linux-box blot
> skimmet igennem af ren nysgerrighed. Men i den seneste tid er der især
> en IP-adresse (80.160.xxx.xxx) som skiller sig drastisk ud ved
> gentagne gange at brilliere med scanninger på mange forskellige af
> mine porte.
>
> Jeg går ud fra at personen enten er decideret hacker-wannabe eller
> også er vedkommende blot så inficeret med alskens "lækkerier" at en
> kraftig orme-kur er på sin plads.

Eller også sidder han bare og keder sig.

Eller også har han fået "forkert nummer" - simpelthen tastet et forkert
IP-nummer, i forsøget på at få fat i sin kammarats maskine.

Eller også sidder du på dynamisk IP, og har overtaget et IP-nummer fra
en han kommunikerede med.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

>> Jeg går ud fra at personen enten er decideret hacker-wannabe eller
>> også er vedkommende blot så inficeret med alskens "lækkerier" at en
>> kraftig orme-kur er på sin plads.
>
>Eller også sidder han bare og keder sig.

Jeg mener at have læst et sted at målrettet portscanning på offentlige
net faktisk er strafbart (kan nogen be- eller afkræfte?).
I bekræftende fald er det vel ingen undskyldning at man kedede sig?

>Eller også har han fået "forkert nummer" - simpelthen tastet et forkert
>IP-nummer, i forsøget på at få fat i sin kammarats maskine.

Flere gange dagligt i 2 uger?

>Eller også sidder du på dynamisk IP, og har overtaget et IP-nummer fra
>en han kommunikerede med.

Nope, har fast IP.

Mvh
B. Nice

---

Den Wed, 02 Jun 2004 20:47:32 +0200 skrev B Nice:
>>> Jeg går ud fra at personen enten er decideret hacker-wannabe eller
>>> også er vedkommende blot så inficeret med alskens "lækkerier" at en
>>> kraftig orme-kur er på sin plads.
>>
>>Eller også sidder han bare og keder sig.
>
> Jeg mener at have læst et sted at målrettet portscanning på offentlige
> net faktisk er strafbart (kan nogen be- eller afkræfte?).

Ifølge utroværdig kilde i dk.videnskab.jura er det strafbart, selvom
de lovtekster de kunne henvise til sagde noget andet.

> I bekræftende fald er det vel ingen undskyldning at man kedede sig?

At man keder sig plejer at være det modsatte af målrettet.

>>Eller også har han fået "forkert nummer" - simpelthen tastet et forkert
>>IP-nummer, i forsøget på at få fat i sin kammarats maskine.
>
> Flere gange dagligt i 2 uger?

/etc/hosts.

Min ex lavede nummeret med adressekartoteket på mobi. En eller anden
uskyldig stakkel fik mange SMS'er før han ringede til hende - og selv
da tog det lang tid før hun fandt ud af hvad der var galt, for hun
havde jo ikke skrevet noget til ham.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

On 02 Jun 2004 19:56:29 GMT, Kent Friis <nospam@nospam.invalid> wrote:

>At man keder sig plejer at være det modsatte af målrettet.

Det har du selvfølgelig ret i

Men det at portscanne tilfældige adresser vil jeg sammenligne med at
vade rundt fra dør til dør med et bundt nøgler for at se om der er
nogen der passer. Kan det undskyldes med kedsomhed?

>>>Eller også har han fået "forkert nummer" - simpelthen tastet et forkert
>>>IP-nummer, i forsøget på at få fat i sin kammarats maskine.

Hvem har brug for at kontakte sin kammarat specifikt på velkendte
trojaner-porte?

>>
>> Flere gange dagligt i 2 uger?
>
>/etc/hosts.

Ikke forstået. Kan du uddybe?

Mvh
B. Nice

---

---

Jacob Atzen skrev:

>Siden hvornår har en forespørgsel på en eller flere porte været
>ækvivalent med at stikke en nøgle i et nøglehul?

Siden sammenligningen blev opfundet. Det svarer sikkert også til
at cykle på fortovet eller til at tisse på gulvet i en
restaurant. Der er mange muligheder.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

---

Den 02 Jun 2004 23:03:00 +0200 skrev Anders Wegge Jakobsen:
>"B" == B Nice <b__nice@hotmail.com> writes:
>
>> Men det at portscanne tilfældige adresser vil jeg sammenligne med at
>> vade rundt fra dør til dør med et bundt nøgler for at se om der er
>> nogen der passer. Kan det undskyldes med kedsomhed?
>
> Det er din sammenligning. Min favorit er at spadsere ned ad en
> villavvej en søndag eftermiddag, og lægge mærke til hvilke vinduer i
> de enkelte huse der er åbne.

Personligt foretrækker jeg analogien med at ringe på. Der er tale
om at sende en eller flere pakker til en maskine, og så se om der er
nogen der svarer.

(Og nu kommer Alex snart og gør opmærksom på at alle vores analogier
er håbløse).

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Den Wed, 02 Jun 2004 22:24:54 +0200 skrev B Nice:
> On 02 Jun 2004 19:56:29 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>>>
>>> Flere gange dagligt i 2 uger?
>>
>>/etc/hosts.
>
> Ikke forstået. Kan du uddybe?

Hvis man ikke gider taste et IP-nummer hver gang, skriver man det
ned i hosts-filen sammen med et navn. Hvis man skriver forkert her,
får man det forkerte nummer hver gang man skriver navnet. På sammme
måde som telefonbogen i mobiltelefonen.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis wrote:
>
> Den Wed, 02 Jun 2004 20:47:32 +0200 skrev B Nice:
> >
> > Jeg mener at have læst et sted at målrettet portscanning på offentlige
> > net faktisk er strafbart (kan nogen be- eller afkræfte?).
>
> Ifølge utroværdig kilde i dk.videnskab.jura er det strafbart, selvom
> de lovtekster de kunne henvise til sagde noget andet.

Så vidt jeg har forstået er det ulovligt hvis du gør
det som forberedelse til et forsøg på at trænge ind på
maskinen. At samle en liste over maskiner og åbne
services vil også være ulovligt, hvis formålet er at
have en hitliste klar, når der senere bliver fundet et
sikkerhedshul.

>
> >>Eller også har han fået "forkert nummer" - simpelthen tastet et forkert
> >>IP-nummer, i forsøget på at få fat i sin kammarats maskine.
> >
> > Flere gange dagligt i 2 uger?
>
> /etc/hosts.

Der er andre muligheder. Hvis f.eks. den maskine man
prøver på at kontakte har dynamisk IP men selv sørger
for at opdatere sin adresse i DNS, så kan det faktisk
være man har fået IP adressen fra et DNS opslag. Hvis
den maskine man prøver at kontakte ikke har været
online i flere dage kan IP adressen være blevet
genbrugt. Men navnet peger naturligvis stadig på samme
IP adresse, fordi maskinen ikke har været online for
at ændre det. I det scenarie vil der ikke være noget
usædvanligt i at prøve dagligt i flere uger. Men det
burde selvfølgelig kun ske med destinationsadresser i
en range der tildeles dynamisk.

>
> Min ex lavede nummeret med adressekartoteket på mobi. En eller anden
> uskyldig stakkel fik mange SMS'er før han ringede til hende

Har hørt om en lignende situation, hvor modtageren
begyndte at svare, og lod som om han var den rigtige
modtager.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

Den Thu, 03 Jun 2004 06:29:55 +0200 skrev Kasper Dupont:
> Kent Friis wrote:
>>
>> Den Wed, 02 Jun 2004 20:47:32 +0200 skrev B Nice:
>> >
>> > Jeg mener at have læst et sted at målrettet portscanning på offentlige
>> > net faktisk er strafbart (kan nogen be- eller afkræfte?).
>>
>> Ifølge utroværdig kilde i dk.videnskab.jura er det strafbart, selvom
>> de lovtekster de kunne henvise til sagde noget andet.
>
> Så vidt jeg har forstået er det ulovligt hvis du gør
> det som forberedelse til et forsøg på at trænge ind på
> maskinen. At samle en liste over maskiner og åbne
> services vil også være ulovligt, hvis formålet er at
> have en hitliste klar, når der senere bliver fundet et
> sikkerhedshul.

Det er også hvad jeg kommer frem til ved at læse de paragraffer de
henviser til, men "de højre herrer" mener at det at det at lave
portscanningen i sig selv er bevis nok for at man havde ulovlige
hensigter med portscanningen.

>> >>Eller også har han fået "forkert nummer" - simpelthen tastet et forkert
>> >>IP-nummer, i forsøget på at få fat i sin kammarats maskine.
>> >
>> > Flere gange dagligt i 2 uger?
>>
>> /etc/hosts.
>
> Der er andre muligheder. Hvis f.eks. den maskine man
> prøver på at kontakte har dynamisk IP men selv sørger
> for at opdatere sin adresse i DNS, så kan det faktisk
> være man har fået IP adressen fra et DNS opslag. Hvis
> den maskine man prøver at kontakte ikke har været
> online i flere dage kan IP adressen være blevet
> genbrugt. Men navnet peger naturligvis stadig på samme
> IP adresse, fordi maskinen ikke har været online for
> at ændre det. I det scenarie vil der ikke være noget
> usædvanligt i at prøve dagligt i flere uger. Men det
> burde selvfølgelig kun ske med destinationsadresser i
> en range der tildeles dynamisk.

Enig, det var kun et eksempel.

>> Min ex lavede nummeret med adressekartoteket på mobi. En eller anden
>> uskyldig stakkel fik mange SMS'er før han ringede til hende
>
> Har hørt om en lignende situation, hvor modtageren
> begyndte at svare, og lod som om han var den rigtige
> modtager.

Hehe, det kan hurtigt give en masse forviklinger.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis wrote:
>>>Min ex lavede nummeret med adressekartoteket på mobi. En eller anden
>>>uskyldig stakkel fik mange SMS'er før han ringede til hende
>>
>>Har hørt om en lignende situation, hvor modtageren
>>begyndte at svare, og lod som om han var den rigtige
>>modtager.
>
>
> Hehe, det kan hurtigt give en masse forviklinger.

Jo tak.

Jeg modtog paa et tidspunkt beskeder fra en i Fredericia (eller
deromkring), som skrev, at det var ``laenge siden''. Det kunne jeg jo
kun give hende ret i. Det passede nogenlunde med, at jeg kendte nogen i
det omraade, saa jeg var gaaet i gang med at rydde op og goere klar til
besoeg, foer misforstaaelsen blev udredet.

Noget helt andet: Hvor mange herinde mener egentlig, at man kan benytte
SMS som medie til udveksling af e.g. passwords eller tilsvarende
kritiske data?

Jeg spoerger, fordi jeg paa et tidspunkt har haft mulighed for at sende
SMS'er med forfalsket afsendernummer (faktisk kunne man ogsaa skrive
tekst), men hvor let er dette at komme til?
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

---

Michael Knudsen skrev:

>Jeg spoerger, fordi jeg paa et tidspunkt har haft mulighed for at sende
>SMS'er med forfalsket afsendernummer

Betød det at modtageren modtog et velkendt nummer - således at du
slet ikke ville modtage et evt. svar - eller kunne du sørge for
at systemet brugte dit egentlige nummer, men præsenterede et
andet for modtageren?

Det sidste lyder mig noget avanceret.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen wrote:
>>Jeg spoerger, fordi jeg paa et tidspunkt har haft mulighed for at sende
>>SMS'er med forfalsket afsendernummer
>
>
> Betød det at modtageren modtog et velkendt nummer - således at du
> slet ikke ville modtage et evt. svar - eller kunne du sørge for
> at systemet brugte dit egentlige nummer, men præsenterede et
> andet for modtageren?

Jeg kunne skrive et vilkaarligt nummer, som ville figurere som den
reelle afsender af beskeden hos modtageren.

Jeg kunne ogsaa skrive tekst, og jeg morede mig meget over at sende en
besked til en kammerat fra ``SU-styrelsen'', hvor der stod, at hans SU
var blevet inddraget per 1. i naeste maaned grundet manglede deltagelse
paa hans studium.

> Det sidste lyder mig noget avanceret.

Det er vel ikke mere avanceret end spoofing af IP-pakker. Hvis den raa
besked genereres hos afsender, kan han jo skrive hvad som helst som
afsendernummer.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

---

Michael Knudsen wrote:
>
> Bertel Lund Hansen wrote:
>
> > Det sidste lyder mig noget avanceret.
>
> Det er vel ikke mere avanceret end spoofing af IP-pakker. Hvis den raa
> besked genereres hos afsender, kan han jo skrive hvad som helst som
> afsendernummer.

Det første lyder omtrent som spoofing af afsender adressen
på IP-pakker. Det sidste lyder som at spoofe afsender
adressen og alligevel få fat i svarene (hvilket ikke er
lige så nemt).

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

On Wed, 02 Jun 2004 20:02:43 +0200, B.Nice wrote:

> Jeg går ud fra at personen enten er decideret hacker-wannabe eller også
> er vedkommende blot så inficeret med alskens "lækkerier" at en kraftig
> orme-kur er på sin plads. Begge dele er efter min mening gode grunde til
> at ejeren får en henvendelse. Men spørgsmålet er: Hvornår bør man
> gribe til tastaturet og tage fat i udbyderen (TDC)?

Når man synes, det er på tide.

Jeg kan godt lide din afslappede holdning til det (i modsætning til
folk, der kontakter politiet, så snart de modtager et ping).

Hvis man synes, at man har tid, og mener, at man kan beskrive problemet
ordentligt, synes jeg, det er fint at forsøge at få gjort noget ved det.
Som du selv nævner, kan det jo være tegn på, at nogens computer
misbruges, og ejeren bør notificeres.

Når du rapporterer den slags til udbyderen, så sørg for, at din
computers ur går præcist, og at du sender tilstrækkeligt detaljerede
informationer med (som minimum fra/til adresse, fra/til port,
protokoltype (TCP/UDP), hvordan du registrerede hændelsen).

--
Greetings from Troels Arvin, Copenhagen, Denmark

---

>Hvis man synes, at man har tid, og mener, at man kan beskrive problemet
>ordentligt, synes jeg, det er fint at forsøge at få gjort noget ved det.
>Som du selv nævner, kan det jo være tegn på, at nogens computer
>misbruges, og ejeren bør notificeres.
>
>Når du rapporterer den slags til udbyderen, så sørg for, at din
>computers ur går præcist, og at du sender tilstrækkeligt detaljerede
>informationer med (som minimum fra/til adresse, fra/til port,
>protokoltype (TCP/UDP), hvordan du registrerede hændelsen).

Tak for dit svar.

Er der nogen der har erfaring med at kontakte eksempelvis TDC på
førnævnte måde? Endsige erfaring med at TDC rent faktisk har taget
action?

---

"B. Nice" wrote:
>
> Er der nogen der har erfaring med at kontakte eksempelvis TDC på
> førnævnte måde?

Jeg har prøvet det. En overgang holdt jeg øje med alle
codered og nimda angreb i min webserver log, og sendte
dem en email om hver IP, der dukkede op.

På et tidspunkt fandt mit script så noget, der matchede
mit regulære udtryk, men bestemt ikke lignede en orm. Så
jeg skrev en email til dem og spurgte, hvad det kunne
være.

> Endsige erfaring med at TDC rent faktisk har taget
> action?

Jeg fik et svar, hvor de fortalte, at de havde kontaktet
kunden. Han havde forklaret, at han ved en fejltagelse
var kommet til at teste en forkert IP adresse med et
værktøj man kunne bruge til at undersøge en maskine for
sikkerhedshuller.

Den forklaring accepterede jeg. Det er sådanset ikke
relevant for mig, om forklaringen var sand eller ej. Jeg
går ud fra, at TDC er opmærksom på gentagelser, og det
er ikke noget jeg kan gøre ret meget ved alligevel.

Men det er efterhånden ved at være en del år siden, så
jeg kan muligvis have husket nogle små detaljer forkert.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

B. Nice skrev:

> Er der nogen der har erfaring med at kontakte eksempelvis TDC på
> førnævnte måde? Endsige erfaring med at TDC rent faktisk har taget
> action?

Ja i begge tilfælde, i gamle dage skete der noget hurtigt og man fik
ofte et svar tilbage. Nu går det langsommere og man får meget sjældent
svar tilbage (antallet af henvendelser er nok steget mere end stignings-
graden i ansættelsen i abuse-funktionen).

---

Troels Arvin wrote:
>
> Jeg kan godt lide din afslappede holdning til det (i modsætning til
> folk, der kontakter politiet, så snart de modtager et ping).

Enig. Og jeg synes det er en holdning man bør holde fast
i når man skriver sin henvendelse. Man skal ikke have
nogen forudindtaget holdning om at det er et bevidst
angreb, men i stedet for holde sig til facts: Altså, der
er sket det og det, og du synes lige de bør undersøge om
der er et problem, der bør gribes ind overfor.

Og selvfølgelig skal man, som du også skriver, sørge for
at få alle relevante oplysninger med.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

I news:fm4sb0l7fgpj73q8pie1fc9tdki7hfa1ik@4ax.com <B. Nice>
<b__nice@hotmail.com> skrev:

>. Men i den seneste tid er der især
> en IP-adresse (80.160.xxx.xxx) som skiller sig drastisk ud ved
> gentagne gange at brilliere med scanninger på mange forskellige af
> mine porte.
>

Jeg oplever det samme. Et hav af portscanninger fra området 80.160.x.x
(TDC/ADSL).

Jeg har min egen teori. Jeg tror at det er konfirmationernes skyld.
Der står mange nyindkøbte PC'er rundt om kring, og brugerne er igang med
at downloade alskens software fra diverse lyssky steder incl. diverse
orme og trojanere.

Efterhånden som maskinerne sander så meget til, at de bliver nødt til at
interessere sig lidt for sikkerhed, får vi nok lidt ro igen.

> Men spørgsmålet er: Hvornår
> bør man gribe til tastaturet og tage fat i udbyderen (TDC)?
>

Hvis der er en enkelt IP, der gentagne gange tegner sig for hovedparten
bør man måske reagere. I mit tilfælde, er det ikke samme IP der 'hitter'
flere dage i træk, så jeg tror ikke at jeg får meget ud af en
henvendelse.

I ventetiden kan vi jo glæde os over, at de ikke kommer ind :)

--
Carsten (3600), HELD er noget der indtræffer når grundige forberedelser
mødes med en gunstig lejlighed....

---

"B. Nice" <b__nice@hotmail.com> wrote in message
news:fm4sb0l7fgpj73q8pie1fc9tdki7hfa1ik@4ax.com...
> Som regel bliver min daglige firewall-log fra min linux-box blot
> skimmet igennem af ren nysgerrighed. Men i den seneste tid er der især
> en IP-adresse (80.160.xxx.xxx) som skiller sig drastisk ud ved
> gentagne gange at brilliere med scanninger på mange forskellige af
> mine porte.
>
> Jeg går ud fra at personen enten er decideret hacker-wannabe eller
> også er vedkommende blot så inficeret med alskens "lækkerier" at en
> kraftig orme-kur er på sin plads. Begge dele er efter min mening gode
> grunde til at ejeren får en henvendelse. Men spørgsmålet er: Hvornår
> bør man gribe til tastaturet og tage fat i udbyderen (TDC)?
>
> /B. Nice

Det er da totalt ligemeget da du har installeret en firewall...

installerede du den for at beskytte dig selv, eller sidde og glo log filer
igennem...


Chr.

---

On Thu, 3 Jun 2004 21:07:24 +0200, "chr" <ASK@FORDOMAIN.dk> wrote:

>Det er da totalt ligemeget da du har installeret en firewall...

Er jeg skam udmærket klar over...

>
>installerede du den for at beskytte dig selv, eller sidde og glo log filer
>igennem...

Af flere grunde:

1) For at beskytte mit eget lille netværk

2) Fordi jeg ganske enkelt interesserer mig for IT sikkerhed og gerne
vil følge lidt med i hvilke porte der er populære mål. Hvis det kan
trøste dig, bruger jeg ikke ret megen tid på at "glo logfiler
igennem".

3) Ved at investere en lille smule tid på emnet kan jeg måske være
med til at rådgive det store flertal af forsvarsløse PC-brugere som
blot ønsker at bruge internettet til fornuftige formål, men som ikke
kan få lov til at gøre det i fred på grund af idioter som hellere vil
slippe orme løs eller lede efter åbne bagdøre.

Så hvis jeg en sjælden gang får en begrundet mistanke om systematisk
og gentagen scanning efter typiske trojaner-porte vil jeg gerne yde
mit beskedne bidrag til at komme idioten til livs (vel vidende at jeg
kæmper mod møller) - kald mig bare en idealistisk stakkel.


Har du flere spørgsmål er du velkommen.

---

In article <83uub05vlj90jse7m2rq6m0mthsn96ij1s@4ax.com>, B Nice wrote:
> 2) Fordi jeg ganske enkelt interesserer mig for IT sikkerhed og gerne
> vil følge lidt med i hvilke porte der er populære mål. Hvis det kan

Jeg kan ikke se relationen mellem de to ting.

Kik evt. på http://www.dshield.org/ der er langt mere data.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

B. Nice skrev:

> 2) Fordi jeg ganske enkelt interesserer mig for IT sikkerhed og
> gerne vil følge lidt med i hvilke porte der er populære mål.

Se her: http://www.incidents.org/

Send dine logfiler til: http://dshield.org/