Montag Skrevet 2. april 2004 Rapporter Del Skrevet 2. april 2004 Jeg har den siste tida vært plaget med mye portscanning. Så snart jeg er oppkoblet til nettet begynner gjentatte scanninger av portene mine,og da særlig portene 80, 139, 445, 1025, 2745, 3127, 6129. Det ser ut som det er samme mann som står bak all jævelskapen. Alle forsøkene kommer nemlig fra samme IP-blokk; serveren er visst i Nederland. Saken er den at dette begynner å irritere meg; kan jo nesten ikke være 5 min på nettet uten at varselindikatoren til Sygate forteller meg at noen driver å scanner meg. Har dere noen forslag til hva jeg bør gjøre? Jeg kjører Sygate Personal Firewall + Norton Anti-virus. Lenke til kommentar
KydeX Skrevet 2. april 2004 Rapporter Del Skrevet 2. april 2004 Kanskje du bør kontakte isp'en din og høre om de kan gjøre noe, eventuelt gi deg en ny ip-adresse eller noe sånt. Lenke til kommentar
Montag Skrevet 2. april 2004 Forfatter Rapporter Del Skrevet 2. april 2004 (endret) Kunne kanskje vært en ide å snakke med min ISP ja.... Tro forresten om det ville være produktivt å kontakte den utenlandske ISP'en? Hvilke erfaringer har dere gjort???? Det som er merkelig er at vedkommende i det siste har fokusert utelukkende på ovennevnte porter. Har ikke vært ute for slik massiv portscanning før - først i de siste dagene. Med 3 til 4 scanninger i minuttet synes jeg at det begynner å bli i overkant mye. Får bare håpe at brannmuren står imot.... Har forresten dynamisk IP adresse, oppringingsab., så der er det ikke noe å hente. Jævern har visst sugd seg fast - kommer etter meg straks jeg er oppkoblet. Hva i alle dager skal man gjøre med slik dævelskap da? Endret 2. april 2004 av Montag Lenke til kommentar
joebush Skrevet 2. april 2004 Rapporter Del Skrevet 2. april 2004 Disse ser ut som typiske porter der svakheter kan ligge om ikke patchet, samt kjente trojans. Har nettopp sett et innlegg i en nyhetsgruppe der noen spør om en scan som var gjort mot ham med "nøyaktig" de portene du listet over. Kanskje en applikasjonen ute som prøver å finne maskiner å hijacke? Lenke til kommentar
Montag Skrevet 2. april 2004 Forfatter Rapporter Del Skrevet 2. april 2004 (endret) Hvilke svakheter for eksempel og hvordan patche disse da? Har forresten nettopp utført en portscan courtesy of Steve Gibson og hans utmerkede Shields up service. Her ser det ut til at brannmuren min takler forsøk på scanning av de ovennevente portene ganske bra - får nemlig tilbakemelding om at alle portene er i Stealth modus, dvs de svarer ikke på PING ( ICMP echo requests). Maskinen min burde altså være "usynlig" på nettet. Allikevel bare fortsetter den herskens scanningen - hvordan få skiten til å opphøre er det jeg lurer på? Endret 2. april 2004 av Montag Lenke til kommentar
jocke Skrevet 2. april 2004 Rapporter Del Skrevet 2. april 2004 80, web, http. trolig scannet for å finne usikre servere og/eller trojaner. 139, NetBIOS. scannet for å prøve å finne en vei inn til filene dine. 445, blir brukt til CIFS (Common Internet File System), men trojaner utnytter også denne; "Randon" spreads via IRC channels and local area networks and infects computers running Windows 2000 and Windows XP. To penetrate computer systems the worm registers itself in the IRC server (or local area network), scans for all present users and connects to victim computers via port 445 and attempts to gain access by using a fixed list of the most commonly used passwords. 1025, brukes for å logge på AD (ActiveDirectory), så du blir nok portscannet i et forsøk på å finne en "ubeskyttet" .NET-server. (ved at du f.eks. har blankt admin-passw, etc). 2745, brukes ikke til vanlig, men du ble scannet grunnet at trojaner bruker denne porten ofte. W32.Beagle.J@mm; Is a mass-mailing worm that opens a backdoor on TCP port 2745 and uses its own SMTP engine to spread through email. 3127, brukes heller ikke til vanlig, men blir brukt av trojaner. MyDoom.C; When infectet, Doomjuice is installed too. Doomjuice triggers a denial of service attack against www.microsoft.com by trying to overload the site with information requests. 6129. Mini Remote Control (DMRC). Kan åpne for full tilgang på maskinen din hvis dårlig sikret. Lenke til kommentar
Montag Skrevet 2. april 2004 Forfatter Rapporter Del Skrevet 2. april 2004 (endret) Takker for fin oversikt. Hva bør gjøres videre synes dere? Har sjekket litt til og det ser ut for at scanningen kommer fra IPadresser som skiller seg fra mine kun i den siste (av og til de to siste) tallgruppen av IP-en. Hmmmm........... Endret 2. april 2004 av Montag Lenke til kommentar
jocke Skrevet 2. april 2004 Rapporter Del Skrevet 2. april 2004 Allikevel bare fortsetter den herskens scanningen - hvordan få skiten til å opphøre er det jeg lurer på? Han som scanner deg, ser akkurat det samme som portscan'en til Steve, bare at du får informasjon om han - fordi han faktisk sender pakker (ping, portscan) til maskinen din. Maskinen din tar imot all info den får fra han, men sender ingenting tilbake. Du kan derfor bare ignorere at han scanner deg. Bare sett ip-rangen du blir portscanna i fra, på "ignore"... Lenke til kommentar
joebush Skrevet 2. april 2004 Rapporter Del Skrevet 2. april 2004 Jeg vil legge til at, selv om du har brannvegg i gang så betyr det ikke at maskinen ikke har svakheter som ellers kunne utnyttes. Brannvegg, om den er god, kan beskytte maskinen uansett hvilken stand i forhold til sikkerhet den er i. Poenget er at du bør være sikker på at ting er oppdatert i tilfellet brannveggprogrammet kræsjer. Lenke til kommentar
jocke Skrevet 2. april 2004 Rapporter Del Skrevet 2. april 2004 (endret) Takker for fin oversikt.Hva bør gjøres videre synes dere? Sett deg godt til rette i godstolen. Lei en film. Steik en pizza. Iskald cola. Nyyyt helgen - nyt livet. God påske! edit; Har sjekket litt til og det ser ut for at scanningen kommer fra IPadresser som skiller seg fra mine kun i den siste (av og til de to siste) tallgruppen av IP-en. Da er det nok samma IPS'en, men det må ikke være det heller. Siden det meste av IP-adresser er utdelt (IP v4), kan et par tall i andre rekken være nok til at det er et annet land. Men om det bare er forandringer i siste rekken, er det nok stor sannsynlighet for at det er noen med samme ISP som deg. Endret 2. april 2004 av jallakim Lenke til kommentar
Montag Skrevet 2. april 2004 Forfatter Rapporter Del Skrevet 2. april 2004 Takker så mye for konstruktive svar. Konklusjonen blir altså at man får sette sin lit til brannmuren. Ikke noe point i å kontakte ISPen , mao? Joebush: Tenker du på noe spes. (bortsett fra antivirus da) , når du sier at ting bør være oppdatert itilfelle krasj? Lenke til kommentar
jocke Skrevet 2. april 2004 Rapporter Del Skrevet 2. april 2004 Ikke noe point i å kontakte ISPen , mao? Nei, ikke uten videre. Du kan sikkert sende en mail til dem, men trolig vil de gjøre lite siden portscanningen ikke har forårsaket "skade"/inbrudd. Lenke til kommentar
zeitgeist Skrevet 2. april 2004 Rapporter Del Skrevet 2. april 2004 Det kan like gjerne være en maskin som er smekkfull full av ormer og som står og scanner på tilfeldig genererte IP-adresser innenfor samme nettID som den selv. I såfall vet eieren trolig ingenting. Lenke til kommentar
Montag Skrevet 2. april 2004 Forfatter Rapporter Del Skrevet 2. april 2004 (endret) Ok. Da setter jeg den aktuelle IP blokka på ignore i brannmuren og tar påske. TAKK igjen for all hjelpa. Zeitgeist: Tanken din har streifet meg - er mange sløve folk der ute.. Jeg burde nok gi ISPen min et lite hint allikevel Endret 2. april 2004 av Montag Lenke til kommentar
jocke Skrevet 2. april 2004 Rapporter Del Skrevet 2. april 2004 TAKK igjen for all hjelpa. Fredagskos det. Lenke til kommentar
pc-killer1317 Skrevet 2. april 2004 Rapporter Del Skrevet 2. april 2004 Jeg bare lurte på en ting. Det er vel ikke 80.213.x.x rangen som driver å scanner deg? Det er iallefall ipadressene til telenor sine kunder. Ser at loggen til firewallen min også blir fylt av portscans og andre tilkoblinger fra denne rangen. Som regel med 1 til 10 sekunders mellomrom. Lenke til kommentar
BeFs Skrevet 3. april 2004 Rapporter Del Skrevet 3. april 2004 Jeg husker at jeg ble portscannet omtrent hele tiden, men jeg fant fort ut at det var ISPen min som gjorde det. Tror de har sluttet med det nå. På min ISP er det forbudt og kjøre 'public servers', men ingen har noen gang tatt meg.. Lenke til kommentar
Montag Skrevet 3. april 2004 Forfatter Rapporter Del Skrevet 3. april 2004 (endret) Jepp, det er presis denne rangen scanningen kommer fra. Er det samme portene som scannes hos deg forresten? Btw, tviler på at det i mitt tilfelle er min ISP som er ansvarlig - det får da være måte på... Endret 3. april 2004 av Montag Lenke til kommentar
pc-killer1317 Skrevet 3. april 2004 Rapporter Del Skrevet 3. april 2004 Det er noen av de samme portene. Fant også ut at det var mange som prøvde å koble til port 3338. Hva den porten brukes til vet jeg ikke. Lenke til kommentar
Montag Skrevet 3. april 2004 Forfatter Rapporter Del Skrevet 3. april 2004 Apropos port 3338 se her: w32 Snedige saker..... Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå