Netzwerk Angriff

Acidjunk · 11.06.2006, 19:00

hallo,
ich habe ein problem mit einen netzwerk angriff der mich gestern fast 2000 mal befallen hat, und heute bis jetzt 295mal.
kaspersky hat es zwar endeckt und blockiert, aber der angriff erfolgt sehr schnell nach dem einloggen, und dann immer wieder.
dann kommt eine warnung von kaspersky " intrusion.win.dcom.exploit"
und danach sollte der angreifer ja doch blockiert sein, oder?

starlight · 11.06.2006, 21:20

Zitat:

Zitat von Acidjunk

hallo,
ich habe ein problem mit einen netzwerk angriff der mich gestern fast 2000 mal befallen hat, und heute bis jetzt 295mal.
kaspersky hat es zwar endeckt und blockiert, aber der angriff erfolgt sehr schnell nach dem einloggen, und dann immer wieder.
dann kommt eine warnung von kaspersky " intrusion.win.dcom.exploit"
und danach sollte der angreifer ja doch blockiert sein, oder?

nun ja...ist aber bei kaspersky fast normal ...gibt auch noch solche wie helkern..etc..ich glaube, aber, dass du diese warnungen auch abstellen kannst...zumindest solange wie dein rechner on is...einfach bei der nächsten warnung, ein häkchen setzen ...

Acidjunk · 11.06.2006, 21:53

danke für die antwort,
das mache ich auch immer, das häcken.
aber ist des nicht gefährlich? oder muss ich das nicht ernst nehmen?

starlight · 11.06.2006, 22:08

Zitat:

Zitat von Acidjunk

danke für die antwort,
das mache ich auch immer, das häcken.
aber ist des nicht gefährlich? oder muss ich das nicht ernst nehmen?

nein, denn er zeigt dir damit nur an, dass er das geblockt hat, wil ldich halt immer informieren

zeigt nur, dass dein kaspersky funzt ...

immorb · 12.06.2006, 10:28

Zitat:

Zitat von Acidjunk

oder muss ich das nicht ernst nehmen?

Jein.
Gesetzt den Fall du hast immer schön deine Windows-Updates gemacht.
Benutzt du die Netzwerk-Dienste?

Zitat:

[..]Windows 2000 und XP gehören, ebenso wie Windows NT4 und Windows 2003 Server, zur Windows NT Familie. NT ist die Abkürzung für "New Technology" und wurde von Microsoft 1993 zusammen mit dem neuentwickelten 32bit-(Server)-Betriebssystem Windows NT 3.1 eingeführt.Jedoch beging Microsoft hierbei einen folgenschweren Fehler: (nichtbenötigte) Netzwerk-Dienste waren standardmäßig aktiviert, von außen erreichbar und somit auch angreifbar.[..]
>>> Mehr gibt es hier <<

M.f.G.

Acidjunk · 12.06.2006, 17:11

hi,
danke für die antwort.

also, windows update habe ich immer gemacht, aber nur ausgewählte, runtergeladen und installiert ( sicherheitsupdate ) sonst habe ich nix geladen.

ich benutze eigentlich nur das internet, netzwerkdienste benutze ich nicht.
kannst du mir auch auf einen einfachen weg sagen, wie ich die dienste ausschalte?...

mit besten dank
AcIdJuNk

Exitus · 12.06.2006, 20:35

Zitat:

Zitat von Acidjunk

...kannst du mir auch auf einen einfachen weg sagen, wie ich die dienste ausschalte?

Hallo,

schau Dich mal hier um.

immorb · 12.06.2006, 20:58

Zitat:

Zitat von Acidjunk

kannst du mir auch auf einen einfachen weg sagen, wie ich die dienste ausschalte?...

Schaue doch mal erst bei welchen Ports angeklopft wird und durch wen?
Beispiel:
Intrusion.Win.DCOM.exploit 62.**.1**.1** TCP 135
Dies wäre z.B. ein "Angriff" auf> Datei- und Druckerfreigabe< Port 445 ebenso.
Wobei die Ip.-Nr. die des Providers ist.
Wenn du also Datei und Druckerfreigabe nicht aktiviert hast,ist es egal wie oft er anklopft.
Es wäre möglich,das ein Pc im Netzwerk z.B. deines Providers von einem Wurm befallen ist.Und dieser sucht sich neue Opfer.
Du kannst ja mal ein kurzes Protokoll posten,oder wenn du es nicht veröffentlichen willst mir per PN schicken.

M.f.G.

Acidjunk · 12.06.2006, 21:53

hallo,
ich wüßte nicht wieso ich es nicht hier posten sollte.

hier aus dem protokoll:
Intrusion.Win.DCOM.exploit;Der Angriff vom Protokoll TCP von der Adresse 84.57.249.86 am lokalen Port 135 wurde erfolgreich abgewehrt.;09.06.2006 13:31:09

Statistik:
Start: 09.06.2006 13:29:01
Ende: 09.06.2006 23:03:12
Erkannte Angriffe: 2199

also ist es port 135
ich versuche ihn jetzt zu schließen.

vielen dank, von
Acidjunk

Exitus · 12.06.2006, 22:09

Zitat:

Zitat von Acidjunk

also ist es port 135
ich versuche ihn jetzt zu schließen.

Hallo,

...und falls Du Zeit finden solltest,dann lese Dir bitte meinen Link durch.

immorb · 12.06.2006, 22:27

Zitat:

Zitat von Acidjunk

ich wüßte nicht wieso ich es nicht hier posten sollte.

Weil ich jetzt weiss das dein Provider Arcor ist.

Immer wenn eine Ip-Nr. ins Spiel kommt ist es relativ gefährlich.

Zitat:

ich versuche ihn jetzt zu schließen.

Wenn du keine Datei-;Druckerfreigabe aktivierst hast,ist es nicht nötig.

Zitat:

Zitat von Exitus

..und falls Du Zeit finden solltest,dann lese Dir bitte meinen Link durch.

Ich habe den Link von @Exitus nur schnell übervlogen,aber da er normal keinen Blödsinn schreibt,solltest du das mal lesen.
Sollten die Meldungen weiterhin kommen:; notieren und an die Abuse-Abteilung deines Providers senden.
Und mach einfach einen Portscan.Das beruhigt.
M.f.G.

Acidjunk · 13.06.2006, 08:45

guten morgen,

portscan habe ich gerade gemacht, hier das ergebniss:

Port: Status Service Description
21 stealthed FTP File Transfer Protocol is used to transfer files between computers
23 stealthed TELNET Telnet is used to remotely create a shell (dos prompt)
80 stealthed HTTP HTTP web services publish web pages
137 stealthed NETBIOS Name Service NetBios is used to share files through your Network Neighborhood
138 stealthed NETBIOS Datagram Service NetBios is used to share files through your Network Neighborhood
139 stealthed NETBIOS Session Service NetBios is used to share files through your Network Neighborhood
1080 stealthed SOCKS PROXY Socks Proxy is an internet proxy service
1243 stealthed SubSeven SubSeven is one of the most widespread trojans
3128 stealthed Masters Paradise and RingZero Trojan horses
12345 stealthed NetBus NetBus is one of the most widespread trojans
12348 stealthed BioNet BioNet is one of the most widespread trojan
27374 stealthed SubSeven SubSeven is one of the most widespread trojans
31337 stealthed Back Orifice Back Orifice is one of the most widespread trojans
135 open RPC Remote Procedure Call (RPC) is used in client/server applications based on MS Windows operating systems

der letzte ( 135 ) ist offen, ich kann ich nicht schließen, wie soll ich das nur machen?

Acidjunk · 13.06.2006, 10:36

hallo,

so jetzt haben wir ein ergebniss erfolgreich gefunden.im bereich: 2. Beenden von epmap (Port 135)
auf der page :www.ntsvcfg.de/kss_xp/kss_xp.html#xp2

und nach einem erneutem portscan das ergebniss:

Port: Status Service Description
21 stealthed FTP File Transfer Protocol is used to transfer files between computers
23 stealthed TELNET Telnet is used to remotely create a shell (dos prompt)
80 stealthed HTTP HTTP web services publish web pages
135 stealthed RPC Remote Procedure Call (RPC) is used in client/server applications based on MS Windows operating systems
137 stealthed NETBIOS Name Service NetBios is used to share files through your Network Neighborhood
138 stealthed NETBIOS Datagram Service NetBios is used to share files through your Network Neighborhood
139 stealthed NETBIOS Session Service NetBios is used to share files through your Network Neighborhood
1080 stealthed SOCKS PROXY Socks Proxy is an internet proxy service
1243 stealthed SubSeven SubSeven is one of the most widespread trojans
3128 stealthed Masters Paradise and RingZero Trojan horses
12345 stealthed NetBus NetBus is one of the most widespread trojans
12348 stealthed BioNet BioNet is one of the most widespread trojan
27374 stealthed SubSeven SubSeven is one of the most widespread trojans
31337 stealthed Back Orifice Back Orifice is one of the most widespread trojans

Recommendation:

All the ports we have scanned are Stealthed (by a firewall). So just continue following the fundamental security measures and regularly update your security software.

problem beseitigt,
mit herzlichen dank,
Acidjunk