Hjelp! Jeg blir angrepet!!

[wildv]

To kvelder på rad har firewall-programmet mitt gitt beskjed om at det er noen som prøver seg. (Bruker Sygate.)

 

Hva skal jeg gjøre med djevelskapen? Er det noe å gjøre? (Legg merke til at det er samme IP-adresse begge kveldene....)

 

Loggen ser slik ut:

02/27/2003 20:55:55 Active Response Disengaged Information Unknown Unknown 195.159.0.90 0.0.0.0 1 02/27/2003 20:55:54 02/27/2003 20:55:54

 

02/27/2003 20:46:04 Active Response Major Incoming Unknown 80.212.9.207 195.159.0.90 1 02/27/2003 20:45:54 02/27/2003 20:45:54

 

02/27/2003 20:45:53 Port Scan Minor Incoming TCP 80.212.9.207 195.159.0.90 2 02/27/2003 20:45:50 02/27/2003 20:45:53

 

02/26/2003 22:34:01 Active Response Disengaged Information Unknown Unknown 195.159.0.90 0.0.0.0 1 02/26/2003 22:33:52 02/26/2003 22:33:52

 

02/26/2003 22:24:01 Active Response Major Incoming Unknown 80.212.3.22 195.159.0.90 1 02/26/2003 22:23:52 02/26/2003 22:23:52

 

02/26/2003 22:23:51 Port Scan Minor Incoming TCP 80.212.3.22 195.159.0.90 1 02/26/2003 22:23:49 02/26/2003 22:23:49

 

 

 

I Neotrace får jeg denne informasjonen:

 

NeoTrace Trace Version 3.25 Results

Target: 195.195.0.90

Date: 27.02.2003 (Thursday), 21:10:35

Nodes: 15

 

 

Node Data

Node Net Reg IP Address Location Node Name

13 1 1 146.97.40.34 Unknown ulcc-gsr.lmn.net.uk

 

 

Packet Data

Node High Low Avg Tot Lost

13 68 68 68 1 0

 

 

Network Data

Network id#: 1

 

OrgName: University of London Computer Centre

OrgID: ULCC

Address: 20 Guilford Street

Address: London, WC1N 1DZ

City:

StateProv:

PostalCode:

Country: GB

 

NetRange: 146.97.0.0 - 146.97.255.255

CIDR: 146.97.0.0/16

NetName: JANET-IP2

NetHandle: NET-146-97-0-0-1

Parent: NET-146-0-0-0-0

NetType: Direct Assignment

NameServer: NS0.JA.NET

NameServer: NS1.CS.UCL.AC.UK

NameServer: NS1.SURFNET.NL

NameServer: NS4.JA.NET

Comment:

RegDate: 1991-01-31

Updated: 1999-09-09

 

TechHandle: JH3-ORG-ARIN

TechName: JANET Hostmaster

TechPhone: +44 20 7692 1111

TechEmail: [email protected]

 

ARIN WHOIS database, last updated 2003-02-26 20:00

 

 

Registrant Data

Registrant id#: 1

 

Domain Name:

lmn.net.uk

 

Registrant:

London Metropolitan Network Limited

 

Registrant's Address:

c/o ULCC

20 Guilford Street

London

WC1N 1DZ

 

Registrant's Agent:

Senate House Services Ltd [Tag = ULCC]

URL: http://www.ulcc.ac.uk

 

Relevant Dates:

Registered on: 16-Nov-1999

 

Name servers listed in order:

ns0.ulcc.ac.uk 193.63.88.11

ns1.ulcc.ac.uk 128.86.249.14

 

WHOIS database last updated at 01:55:00 27-Feb-2003

 

--

© Nominet UK

 

For further information and terms of use please see http://www.nic.uk/whois

_____

NeoTrace Copyright ©1997-2001 NeoWorx Inc

[dookie]

Har du xdsl og brannmur så må du nok bli vant til det..

Får sånne hver dag, derfor du har firewall vet du.

[wildv]

Kan noen forklare meg hva denne typen/hackeren har forsøkt seg på. Har ikke helt klart å få greie på det gjennom loggen.

[wildv]

Nå prøvde vedkommende seg for tredje gang... Er det noe jeg kan gjøre for å kødde tilbake? Skremme han litt??? *SSS*

[sedsberg]

Sånt må du nok bare pent bli vandt med. Har du IP'n hans, og en log så kan du melde ham til ISP'en. (Ikke din ISP, men "Hackerens"). Vær oppmerksom på at "falske alarmer" kan forekomme! Spesielt hvis du bruker fildelings programmer.

 

Hadde en gang en fra Hawaii (eller som gikk via Hawaii) som portscanna meg kontinuerlig i 3 dager, med ca. 3-10 port-probes i sekundet.

[wildv]

Dette er så jævelig irriterende, for firewallprogramet kutter internett-oppkoblingen hver gang denne idioten prøver seg.

 

Jeg bruker ikke noe fildelingsprogram, men har brukt mIRC de to site dagene.. Kan det være det?

 

Er det noe annet jeg kan gjøre NÅ!!??

[sedsberg]

har du IP'n til fyren kan du prøve dette i mIRC:

 

/dns <IP> (da får du host adressa)

/who <host> (da får du nicket til fyren hvis han er på IRC)

 

hvis du ikke får noen host-adresse:

/who <IP>

 

Er mange 1337-script-kiddies som kjører script som automatisk portscanner/trojanscanner folk som joiner/parter kanaler på IRC.

 

Vanlige unnskyldninger/reaksjoner:

"Jeg visste ikke at scriptet mitt gjorde slikt"

"Jeg sjekker om folk har trojaner for å advare dem"

"Pappa'n min er poleti! Jeg skal anmele deg for falske beskyldninger!"

[keisamteisam]

02/26/2003 22:23:51 Port Scan Minor Incoming TCP 80.212.3.22 195.159.0.90  1 02/26/2003 22:23:49 02/26/2003 22:23:49  

 

 

 

I Neotrace får jeg denne informasjonen:

 

NeoTrace Trace  Version 3.25  Results

Target: 195.195.0.90

Date: 27.02.2003 (Thursday), 21:10:35

Nodes: 15

 

195.159.0.90 som kommer i firewall-loggen din, og 195.195.0.90 som du skriver inn i NeoTrace er helt forskjellige ip'er.

 

host 195.159.0.90

90.0.159.195.in-addr.arpa domain name pointer irc.homelien.no.

 

La meg gjette at det er forsøk på en ident fra homelien.

[CD]

Send all den informasjonen du postet til [email protected]

 

De vil høyst sansynlig ordne dette, og om de ikke gjør det ta kontakt med din egen ISP og la dem ta det opp med ulcc.ac.uk. Ikke for det så lenge du får et varsel funker jo firewall'en

[wildv]

Det er altså irc-serveren til homelien som skaper trøbbelet??

[keisamteisam]

Det er altså irc-serveren til homelien som skaper trøbbelet??

 

Jeg vil ikke si trøbbel, identrequest o.l er vel vanlig når man kobler til en ircserver.

[sedsberg]

Det er altså irc-serveren til homelien som skaper trøbbelet??

 

Jeg vil ikke si trøbbel, identrequest o.l er vel vanlig når man kobler til en ircserver.

 

Mange IRC-servere scanner etter trojaner og feilkonfigurerte proxy-saker, og kicker ut de som har slikt.

[P@rm@nn]

Har overhodet ingen peiling om dette funker, men jeg syns det høres ut som det skulle funke. Hva med å bruke Peerguardian? det er et program laget med tanke på P2P programmer, og inneholder en IP liste over bland annet RIAA, Mediaforce osv. Det prøgrammet gjør er å blokke disse fra å kunne koble seg til din pc. Det er også en mulighet for å legge til IP er der, så hva med å legge til den brukeren sin IP i filteret? Spørsmålet er om den blokker den før firewall programmet merker den og slår av linjen.

Vet ikke om det vil fungere, men er vel verdt et forsøk?

[Uxzuigal]

12618 Intrusions has been blocked since install

6897 of those have been high-rated

 

mine stats fra Zone Alarm Pro de siste 26 dagene...

ikke noe farlig..

[wildv]

Jeg tror det er mulig å blokke ut spesielle ip-adresser i sygate også....

[Uxzuigal]

Hvilket som helst Firewall program som er til og sammle på sperrer IPs:)

beste programmet er www.zonealarm.com

funker fett, hehe

 

men en hacker som er smart skifter bare ip adresse og starter scanning igjen og whatnot, men har du en firewall som zone alarm eller sygate skal det ikke være noe som helst problem, det er noe du må bli vant med på ADSL:)

[Jon A. Feet]

Det er nok ikke Homelien servern som er problemet......

 

Det er firewallen din.....

 

:wink:

 

det er standard at irc servere requester ident når du kobler deg til, derfor er det din instilling av firewallen som gjør at den reagerer med å si HACKER ALAAARM..........

 

:oops:

 

Derfor ingenting å bry seg om, bruk heller sygate sin Sygate Personal Firewall v5.0 Pro (som jeg kjører) sier fra hva som skjer, i tillegg er den ikke helt gal, og tar alle packeter osv. som kommer fra nettet for å være hackere.... (som ZoneAlarm elegant gjør).

 

Derfor til daglig, så har jeg ca. 3-4 blokkede iper (dersom det ikke er noen scrip kiddies som har det fryktelig gøy med å portscanne meg)

 

I tillegg har den veldig grei backtrace funksjon innebygd, se eks. nedenfor:

 

% This is the RIPE Whois server.

% The objects are in RPSL format.

%

% Rights restricted by copyright.

% See http://www.ripe.net/ripencc/pub-services/d.../copyright.html

 

inetnum: 212.187.20.0 - 212.187.23.255

netname: TK-APL-2

descr: Telekabel Apeldoorn

descr: cablemodem block 2

country: NL

admin-c: LG40-RIPE

tech-c: HMCB1-RIPE

status: ASSIGNED PA

remarks: Contact [email protected] concerning criminal

remarks: activities like spam, hacks, portscans

notify: [email protected]

mnt-by: CHELLO-MNT

changed: [email protected] 20010711

source: RIPE

 

route: 212.187.0.0/17

descr: UPC.nl Network Services

descr: Chello.nl Customers

descr: The Netherlands

origin: AS8209

notify: [email protected]

mnt-by: UPCNL-MNT

changed: [email protected] 20010112

source: RIPE

 

route: 212.187.0.0/17

descr: Chello Broadband - Amsterdam

origin: AS6830

mnt-by: CHELLO-MNT

changed: [email protected] 20000207

source: RIPE

 

role: Hostmaster Chello Broadband

address: chello Broadband GmbH

address: Internet Services

address: Reumannplatz 7

address: A-1100 Vienna

address: Austria

phone: +43 1 96062 5000

fax-no: +43 1 96062 5666

e-mail: [email protected]

admin-c: AK991-RIPE

tech-c: SB666-RIPE

tech-c: MH392-RIPE

tech-c: AK991-RIPE

nic-hdl: HMCB1-RIPE

notify: [email protected]

mnt-by: CHELLO-MNT

changed: [email protected] 20020318

source: RIPE

 

person: Lorenz Glatz

address: UPC Technology

address: Reumannplatz 7

address: A-1100 Vienna

address: Austria

phone: +43 1 96062

fax-no: +43 1 96062 5666

e-mail: [email protected]

nic-hdl: LG40-RIPE

notify: [email protected]

mnt-by: CHELLO-MNT

changed: [email protected] 20020429

source: RIPE

 

 

her har jeg tracet en ip (dette var bare en jeg mottok noe fra på dc så denne var allowed gjennom, bare demonstrerer hvor godt den tracer)

 

Her er det tilgjengelig all info isp (og du) trenger for å levere en klage.

 

Så bruk heller sygate`s firewall, den er mye bedre