Netzwerk Angriff

Alt 11.06.2006, 19:00   # 1
Acidjunk
 
Benutzerbild von Acidjunk
 
Registriert seit: 16.09.2005
Beiträge: 262
hallo,
ich habe ein problem mit einen netzwerk angriff der mich gestern fast 2000 mal befallen hat, und heute bis jetzt 295mal.
kaspersky hat es zwar endeckt und blockiert, aber der angriff erfolgt sehr schnell nach dem einloggen, und dann immer wieder.
dann kommt eine warnung von kaspersky " intrusion.win.dcom.exploit"
und danach sollte der angreifer ja doch blockiert sein, oder?
  Mit Zitat antworten
Alt 11.06.2006, 19:00 # --
netzwelt.de
 
Benutzerbild von netzwelt.de
 
 
 
   
Alt 11.06.2006, 21:20   # 2
starlight
 
Registriert seit: 03.02.2006
Beiträge: 1.517
Zitat:
Zitat von Acidjunk
hallo,
ich habe ein problem mit einen netzwerk angriff der mich gestern fast 2000 mal befallen hat, und heute bis jetzt 295mal.
kaspersky hat es zwar endeckt und blockiert, aber der angriff erfolgt sehr schnell nach dem einloggen, und dann immer wieder.
dann kommt eine warnung von kaspersky " intrusion.win.dcom.exploit"
und danach sollte der angreifer ja doch blockiert sein, oder?
nun ja...ist aber bei kaspersky fast normal ...gibt auch noch solche wie helkern..etc..ich glaube, aber, dass du diese warnungen auch abstellen kannst...zumindest solange wie dein rechner on is...einfach bei der nächsten warnung, ein häkchen setzen ...
  Mit Zitat antworten
Alt 11.06.2006, 21:53   # 3
Acidjunk
Threadstarter
 
Benutzerbild von Acidjunk
 
Registriert seit: 16.09.2005
Beiträge: 262
danke für die antwort,
das mache ich auch immer, das häcken.
aber ist des nicht gefährlich? oder muss ich das nicht ernst nehmen?
  Mit Zitat antworten
Alt 11.06.2006, 22:08   # 4
starlight
 
Registriert seit: 03.02.2006
Beiträge: 1.517
Zitat:
Zitat von Acidjunk
danke für die antwort,
das mache ich auch immer, das häcken.
aber ist des nicht gefährlich? oder muss ich das nicht ernst nehmen?
nein, denn er zeigt dir damit nur an, dass er das geblockt hat, wil ldich halt immer informieren zeigt nur, dass dein kaspersky funzt ...
  Mit Zitat antworten
Alt 12.06.2006, 10:28   # 5
immorb
Gastposter
 
Zitat:
Zitat von Acidjunk
oder muss ich das nicht ernst nehmen?
Jein.
Gesetzt den Fall du hast immer schön deine Windows-Updates gemacht.
Benutzt du die Netzwerk-Dienste?
Zitat:
[..]Windows 2000 und XP gehören, ebenso wie Windows NT4 und Windows 2003 Server, zur Windows NT Familie. NT ist die Abkürzung für "New Technology" und wurde von Microsoft 1993 zusammen mit dem neuentwickelten 32bit-(Server)-Betriebssystem Windows NT 3.1 eingeführt.Jedoch beging Microsoft hierbei einen folgenschweren Fehler: (nichtbenötigte) Netzwerk-Dienste waren standardmäßig aktiviert, von außen erreichbar und somit auch angreifbar.[..]
>>> Mehr gibt es hier <<
M.f.G.
  Mit Zitat antworten
Alt 12.06.2006, 17:11   # 6
Acidjunk
Threadstarter
 
Benutzerbild von Acidjunk
 
Registriert seit: 16.09.2005
Beiträge: 262
hi,
danke für die antwort.

also, windows update habe ich immer gemacht, aber nur ausgewählte, runtergeladen und installiert ( sicherheitsupdate ) sonst habe ich nix geladen.

ich benutze eigentlich nur das internet, netzwerkdienste benutze ich nicht.
kannst du mir auch auf einen einfachen weg sagen, wie ich die dienste ausschalte?...

mit besten dank
AcIdJuNk
  Mit Zitat antworten
Alt 12.06.2006, 20:35   # 7
Exitus
 
Benutzerbild von Exitus
 
Registriert seit: 21.03.2005
Ort: Zwischen Himmel und Hölle
Beiträge: 2.334
Zitat:
Zitat von Acidjunk
...kannst du mir auch auf einen einfachen weg sagen, wie ich die dienste ausschalte?
Hallo,

schau Dich mal hier um.
  Mit Zitat antworten
Alt 12.06.2006, 20:58   # 8
immorb
Gastposter
 
Zitat:
Zitat von Acidjunk
kannst du mir auch auf einen einfachen weg sagen, wie ich die dienste ausschalte?...
Schaue doch mal erst bei welchen Ports angeklopft wird und durch wen?
Beispiel:
Intrusion.Win.DCOM.exploit 62.**.1**.1** TCP 135
Dies wäre z.B. ein "Angriff" auf> Datei- und Druckerfreigabe< Port 445 ebenso.
Wobei die Ip.-Nr. die des Providers ist.
Wenn du also Datei und Druckerfreigabe nicht aktiviert hast,ist es egal wie oft er anklopft.
Es wäre möglich,das ein Pc im Netzwerk z.B. deines Providers von einem Wurm befallen ist.Und dieser sucht sich neue Opfer.
Du kannst ja mal ein kurzes Protokoll posten,oder wenn du es nicht veröffentlichen willst mir per PN schicken.

M.f.G.
  Mit Zitat antworten
Alt 12.06.2006, 21:53   # 9
Acidjunk
Threadstarter
 
Benutzerbild von Acidjunk
 
Registriert seit: 16.09.2005
Beiträge: 262
hallo,
ich wüßte nicht wieso ich es nicht hier posten sollte.

hier aus dem protokoll:
Intrusion.Win.DCOM.exploit;Der Angriff vom Protokoll TCP von der Adresse 84.57.249.86 am lokalen Port 135 wurde erfolgreich abgewehrt.;09.06.2006 13:31:09

Statistik:
Start: 09.06.2006 13:29:01
Ende: 09.06.2006 23:03:12
Erkannte Angriffe: 2199

also ist es port 135
ich versuche ihn jetzt zu schließen.

vielen dank, von
Acidjunk
  Mit Zitat antworten
Alt 12.06.2006, 22:09   # 10
Exitus
 
Benutzerbild von Exitus
 
Registriert seit: 21.03.2005
Ort: Zwischen Himmel und Hölle
Beiträge: 2.334
Zitat:
Zitat von Acidjunk
also ist es port 135
ich versuche ihn jetzt zu schließen.
Hallo,

...und falls Du Zeit finden solltest,dann lese Dir bitte meinen Link durch.
  Mit Zitat antworten
Alt 12.06.2006, 22:27   # 11
immorb
Gastposter
 
Zitat:
Zitat von Acidjunk
ich wüßte nicht wieso ich es nicht hier posten sollte.
Weil ich jetzt weiss das dein Provider Arcor ist.
Immer wenn eine Ip-Nr. ins Spiel kommt ist es relativ gefährlich.
Zitat:
ich versuche ihn jetzt zu schließen.
Wenn du keine Datei-;Druckerfreigabe aktivierst hast,ist es nicht nötig.
Zitat:
Zitat von Exitus
..und falls Du Zeit finden solltest,dann lese Dir bitte meinen Link durch.
Ich habe den Link von @Exitus nur schnell übervlogen,aber da er normal keinen Blödsinn schreibt,solltest du das mal lesen.
Sollten die Meldungen weiterhin kommen:; notieren und an die Abuse-Abteilung deines Providers senden.
Und mach einfach einen Portscan.Das beruhigt.
M.f.G.
  Mit Zitat antworten
Alt 13.06.2006, 08:45   # 12
Acidjunk
Threadstarter
 
Benutzerbild von Acidjunk
 
Registriert seit: 16.09.2005
Beiträge: 262
guten morgen,

portscan habe ich gerade gemacht, hier das ergebniss:

Port: Status Service Description
21 stealthed FTP File Transfer Protocol is used to transfer files between computers
23 stealthed TELNET Telnet is used to remotely create a shell (dos prompt)
80 stealthed HTTP HTTP web services publish web pages
137 stealthed NETBIOS Name Service NetBios is used to share files through your Network Neighborhood
138 stealthed NETBIOS Datagram Service NetBios is used to share files through your Network Neighborhood
139 stealthed NETBIOS Session Service NetBios is used to share files through your Network Neighborhood
1080 stealthed SOCKS PROXY Socks Proxy is an internet proxy service
1243 stealthed SubSeven SubSeven is one of the most widespread trojans
3128 stealthed Masters Paradise and RingZero Trojan horses
12345 stealthed NetBus NetBus is one of the most widespread trojans
12348 stealthed BioNet BioNet is one of the most widespread trojan
27374 stealthed SubSeven SubSeven is one of the most widespread trojans
31337 stealthed Back Orifice Back Orifice is one of the most widespread trojans
135 open RPC Remote Procedure Call (RPC) is used in client/server applications based on MS Windows operating systems

der letzte ( 135 ) ist offen, ich kann ich nicht schließen, wie soll ich das nur machen?
  Mit Zitat antworten
Alt 13.06.2006, 10:36   # 13
Acidjunk
Threadstarter
 
Benutzerbild von Acidjunk
 
Registriert seit: 16.09.2005
Beiträge: 262
hallo,

so jetzt haben wir ein ergebniss erfolgreich gefunden.im bereich: 2. Beenden von epmap (Port 135)
auf der page :www.ntsvcfg.de/kss_xp/kss_xp.html#xp2

und nach einem erneutem portscan das ergebniss:


Port: Status Service Description
21 stealthed FTP File Transfer Protocol is used to transfer files between computers
23 stealthed TELNET Telnet is used to remotely create a shell (dos prompt)
80 stealthed HTTP HTTP web services publish web pages
135 stealthed RPC Remote Procedure Call (RPC) is used in client/server applications based on MS Windows operating systems
137 stealthed NETBIOS Name Service NetBios is used to share files through your Network Neighborhood
138 stealthed NETBIOS Datagram Service NetBios is used to share files through your Network Neighborhood
139 stealthed NETBIOS Session Service NetBios is used to share files through your Network Neighborhood
1080 stealthed SOCKS PROXY Socks Proxy is an internet proxy service
1243 stealthed SubSeven SubSeven is one of the most widespread trojans
3128 stealthed Masters Paradise and RingZero Trojan horses
12345 stealthed NetBus NetBus is one of the most widespread trojans
12348 stealthed BioNet BioNet is one of the most widespread trojan
27374 stealthed SubSeven SubSeven is one of the most widespread trojans
31337 stealthed Back Orifice Back Orifice is one of the most widespread trojans

Recommendation:

All the ports we have scanned are Stealthed (by a firewall). So just continue following the fundamental security measures and regularly update your security software.

problem beseitigt,
mit herzlichen dank,
Acidjunk
  Mit Zitat antworten

Alt 20.08.2014, 08:52 # --
News Flash
 
Benutzerbild von News Flash
 
 
 

Das könnte Dich auch noch interessieren:

Nicht fündig geworden? Dann ohne Anmeldung in unserem Gast-Forum nachfragen.

   
Alt 20.08.2014, 08:52 # --
netzwelt.de
 
Benutzerbild von netzwelt.de
 
 
 
   
Antwort
Themen-Optionen



Alle Zeitangaben in WEZ +2. Es ist jetzt 08:52 Uhr.