/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Organiseret angreb/portscanning?
Fra : Stronger


Dato : 12-08-04 18:01


Hej

Her i eftermiddag og lige p.t. oplever jeg et massivt angreb eller
portscanning (eller, hvad det nu måtte være), som vha. ZoneAlarm Pro kan
lokaliseres til midtjylland og i byerne heromkring. Mange er ligesom jeg
selv, Stofanet kunder, men det virker lidt mystisk - synes jeg i hvert
fald - , at det lige præcis er gentagne scanninger lige fra samme område.
Det er forskellige IP-adresser og nogle gange er der den samme ip igen osv.

ZoneAlarm viser "Rød Alarm", altså den højeste advarsel.

Andre der i dag oplever noget lign. og nogle der ved, om der blot er tale om
"almindelige" portscanninger, når der er "red alert" = High risk i følge
ZoneAlarm?


Mvh
Stronger



 
 
Torben B. Sørensen (12-08-2004)
Kommentar
Fra : Torben B. Sørensen


Dato : 12-08-04 18:09

"Stronger" <stronger1989PLEASE@REMOVETHISTHANKShotmail.com> wrote in
news:411ba237$0$8685$ba624c82@nntp04.dk.telia.net:

> Her i eftermiddag og lige p.t. oplever jeg et massivt angreb eller
> portscanning (eller, hvad det nu måtte være), som vha. ZoneAlarm Pro
> kan lokaliseres til midtjylland og i byerne heromkring. Mange er
> ligesom jeg selv, Stofanet kunder, men det virker lidt mystisk - synes
> jeg i hvert fald - , at det lige præcis er gentagne scanninger lige
> fra samme område. Det er forskellige IP-adresser og nogle gange er der
> den samme ip igen osv.

Hvilke porte ser du? Der er for tiden gang i massive scanninger efter TCP-
445. Det kan skyldes et botnet:
https://www.cert.dk/nyheder/nyheder.shtml?04-08-12-11-16-26

Torben

Stronger (12-08-2004)
Kommentar
Fra : Stronger


Dato : 12-08-04 19:34


Torben B. Sørensen skrev:

> Hvilke porte ser du?

Hej Torben
Det er typisk port 139, 1025,1029 og o.l. og der står Netbios eller UDP ved
dem alle, næsten.
Ved du om jeg kan slå disse fra, evt.? Altså Netbios og UDP eller blot een
af dem.... Jeg kører Windows XP Pro SP1

>Der er for tiden gang i massive scanninger efter TCP-
> 445. Det kan skyldes et botnet:
> https://www.cert.dk/nyheder/nyheder.shtml?04-08-12-11-16-26
>
> Torben

Fedt, du lige postede den artikel.... Kan det være ormen, der har ramt et
Stofa Netværk i Midtjylland og som prøver "af sig selv" så at sige?

Endnu engang tak for hjælpen

mvh
stronger



Kent Friis (12-08-2004)
Kommentar
Fra : Kent Friis


Dato : 12-08-04 20:19

Den Thu, 12 Aug 2004 20:34:15 +0200 skrev Stronger:
>
> Torben B. Sørensen skrev:
>
>> Hvilke porte ser du?
>
> Hej Torben
> Det er typisk port 139, 1025,1029 og o.l. og der står Netbios eller UDP ved
> dem alle, næsten.

Dem har vi set før, det plejer at være Windows-maskiner der står og
forsøger på at finde andre Windows-maskiner. Det er der slet ikke noget
unormalt i.

Stofanet har nok fjernet et eller andet filter der tidligere har
blokeret lige præcis de porte.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

Torben B. Sørensen (12-08-2004)
Kommentar
Fra : Torben B. Sørensen


Dato : 12-08-04 20:37

"Stronger" <stronger1989PLEASE@REMOVETHISTHANKShotmail.com> wrote in
news:411bb81b$0$8683$ba624c82@nntp04.dk.telia.net:

> Det er typisk port 139, 1025,1029 og o.l. og der står Netbios eller
> UDP ved dem alle, næsten.
> Ved du om jeg kan slå disse fra, evt.? Altså Netbios og UDP eller blot
> een af dem.... Jeg kører Windows XP Pro SP1

Da du bruger Zonealarm, er der ingen grund til at slå dem fra, det sørger
den for at gøre (medmindre du da har åbnet for Windows-fildeling).

Du kan tjekke, hvilke porte andre kan se på din maskine, med denne test:
https://www.grc.com/x/ne.dll?bh0bkyd2
Hvis du kører den, vil Zonealarm give en masse alarmer - det skyldes blot,
at webstedet prøver at "angribe" din pc for at gennemføre testen.
Hvis linket ikke virker, kan du starte her og scrolle ned til Shieldsup!
http://www.grc.com/default.htm

Du vil sikkert få at vide, at der ikke er nogen af dine porte, der står
åbne, så du kan blot ignorere Zonealarms mange beskeder.

Torben

Stronger (13-08-2004)
Kommentar
Fra : Stronger


Dato : 13-08-04 04:24


Tusind tak til jer begge for informationen og de gode råd Jeg testede
min pc hos Shields Up! og den bestod alle test, men så prøvede jeg med en
website der hedder pcflank.com og der fik jeg denne triste besked:


Warning!
The test found visible ports on your system: 12345.
The following Trojans use these ports: NetBus
Although these ports are visible, they are not open, so your system is not
infected. However, having visible ports on your system means your computer
can be "seen" over the Internet. This makes it very easy for skillful
intruders to explore your system.

Det skal lige siges, at der før denne besked ved linket, der førte til
beskeden her, stod, at jeg havde en mulig trojan på mit system, selvom jeg
har råscannet min pc, uden at finde trojanere.

Men det med porten, kunne jeg jo ikke forstå efter jeg lige havde bestået
alt hos Shields Up og jeg kørte en netstat -an og der var der ikke en 12345
port der var åben, hvilket jeg finder underligt. Så skulle man jo tro at
pcflank blot skriver det for at man skal købe deres produkt eller noget i
den retning... eller kan der måske være en åben 12345 port alligevel, selvom
man ikke kan se den på netstat? Underligt...

mvh

stronger





Christian Andersen (13-08-2004)
Kommentar
Fra : Christian Andersen


Dato : 13-08-04 07:52

Stronger wrote:

[pcflank.com]
> "Although these ports are visible, they are not open, so your system is not
> infected. However, having visible ports on your system means your computer
> can be "seen" over the Internet. This makes it very easy for skillful
> intruders to explore your system."

Reklamegas. Hvis der ikke er åbne porte, kan din computer IKKE blive
udnyttet udefra (altså over Internettet).

[snip]

> den retning... eller kan der måske være en åben 12345 port alligevel, selvom
> man ikke kan se den på netstat? Underligt...

Hvis du har en trojaner, kan den jo sagtens "fifle" med netstat, sådan at
den altid viser "det rigtige" resultat.

Hvis du er bekymret vil jeg anbefale dig at geninstallere din computer,
følge denne PDF-fils vejldninger:

http://home18.inet.tele.dk/madsen/winxp/Tjenester.pdf

og ellers læse gruppens OSS (Ofte Stillede Spørgsmål) på

http://sikkerhed-faq.dk/

især http://sikkerhed-faq.dk/brugere

og http://sikkerhed-faq.dk/hjemme_pc

er gode til at starte på.

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

Jens@dtext.news.tele~ (13-08-2004)
Kommentar
Fra : Jens@dtext.news.tele~


Dato : 13-08-04 07:00

"Stronger" <stronger1989PLEASE@REMOVETHISTHANKShotmail.com> skrev i en
meddelelse news:411bb81b$0$8683$ba624c82@nntp04.dk.telia.net...
> Torben B. Sørensen skrev:
> > Hvilke porte ser du?
cut
> Hej Torben
> Det er typisk port 139, 1025,1029 og o.l. og der står Netbios eller UDP
ved
> dem alle, næsten.
> Ved du om jeg kan slå disse fra, evt.? Altså Netbios og UDP eller blot een
> af dem.... Jeg kører Windows XP Pro SP1
cut
> Endnu engang tak for hjælpen
> stronger

Hej stærk
http://grc.com/dcom/
lukker port 135

http://www.uksecurityonline.com/husdg/windowsxp/close445.htm
luk port 445

http://www.overclockersclub.com/guides/windows_xp_services.php
luk overflødige services = luk andre overflødige porte

Så skulle den ged være barberet,
og husk det er bedre at fikse problemet end behandle symptomerne med
ZoneAlarm
/Jens



Christian Andersen (13-08-2004)
Kommentar
Fra : Christian Andersen


Dato : 13-08-04 07:55

Jens@dtext.news.tele.dk wrote:

> http://grc.com/dcom/
> lukker port 135
> http://www.uksecurityonline.com/husdg/windowsxp/close445.htm
> luk port 445
> http://www.overclockersclub.com/guides/windows_xp_services.php
> luk overflødige services = luk andre overflødige porte

En bedre løsning er at følge denne vejledning (på dansk):

http://home18.inet.tele.dk/madsen/winxp/Tjenester.pdf

og læse gruppens OSS på: http://sikkerhed-faq.dk/

> og husk det er bedre at fikse problemet end behandle symptomerne med
> ZoneAlarm

Helt korrekt.

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408925
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste