|
Angriffe auf Port1080 von immergleicher Stelle Hallo, ich bekomme immer Angriffe von der gleichen Stelle von Zone Alarm gemeldet und zwar von folgender IP. Kennt jemand diese Adresse zufällig? Keiner meiner Virenscanner findet eine Malware, weder Nod32 noch Kaspersky, noch BitDefender, also das beste vom besten, ebensowenig Windows Defender, noch Antispyware, es kann ja höchstens noch ein super geheimes rootkit sein.. http://i1.tinypic.com/s2wbq9.png aral.de??? Seltsam oder? Die Email Adresse des hosters ist blockiert, ich wollte ihn verwarnen, sollte man wohl den Behörden melden. Bringt diese Internetbeschwerdestelle eigentlich was? |
Hallo SystemPro, den Port hat früher der Mydoom Wurm gerne benutzt/geöffnet. Frage also :Hast du eine Email aus unbekannter Quelle vor kurzem geöffnet ? Irrlicht |
Hallo SystemPro, scheint was ausländisches zu sein Information related to '194.225.118.0 - 194.225.118.255' inetnum: 194.225.118.0 - 194.225.118.255 netname: Kalij-Uni descr: Khalij University of Boushehr descr: Dous Str, Daneshjoo Str, descr: P.O.C. 7516913798 descr: Boushehr-Iran country: IR admin-c: MS875-RIPE tech-c: MS8775-RIPE status: assigned pa "status:" definitions mnt-by: IPM-MNT source: RIPE # Filtered person: Michael Schmitt address: ARAL AG address: Wittener Strasse 45 address: D-44789 Bochum address: Germany phone: +49 234 315 0 e-mail: M.Schmitt@aral.de nic-hdl: MS875-RIPE source: RIPE # Filtered person: Mohammad Soleymani address: Mehran alley, Azarmina St., 9th Koohestan St., address: Ekhtiarieh ave., Tehran,Iran phone: +9821 2291812 fax-no: +9821 2298656 e-mail: mohammad@iranet.ir nic-hdl: MS8775-RIPE mnt-by: IPM-MNT source: RIPE # Filtered % Information related to '194.225.118.0/24AS31732' route: 194.225.118.0/24 descr: Boushehr route over AM22 origin: AS31732 mnt-by: Parsun-MNT source: RIPE # Filtered chaosman |
Iran oder Aral AG? Wahrscheinlich ist das der Lieferant für die Aral Tanke, woher soll denn der Sprit sonst kommen, als aus dem Iran, zweitgrößte Ölreserven der Welt, wenn ich mich recht erinnere.. Jedenfalls ist bei diesem Schmitt die Email geblockt. Ich habe keine Mail geöffnet, kenne mich selbst eigentlich ziemlich gut aus, also Anfängerfehler sind praktisch völlig auszuschließen. Es kann sich nur um was außerordentlich spitzfindiges handeln, mein System zu kompromittieren, dazu bedarf es schon einiges. Bin sicherheitstechnisch gut bedient, wie z.B. mit: Zone Alarm 6.1,Tiny 2005, Nod32, GData, Process Guard, AppDefend beta, WinDefender Beta, um nur mal einige meiner tools zu benennen, das sind noch lange nicht alle, aber gehören schon zum besten, was es gibt. Dieser 1080er Port ist bei mir gar nicht geöffnet, jedenfalls nicht zu sehen, daß er geöffnet ist, aber komischerweise versuchen Angreifer immer diesen, seltener den http(port 80). Zu dem Port 1080 fällt mir sonst auch nur noch ein, daß er als Socks Proxy benutzt wird und ich habe mal gehört er solle auch für den oldtimer Trojaner Sub7 2.2 gedient haben, vielleicht weiß ja noch jemand mehr darüber?! Übrigens seit ich diesen Rechner hier habe (ca. 1 Jahr) , hat noch keine Windows installation sauber funktioniert, erst durch den abgesicherten Modus konnte ich nach der Windows Installation überhaupt auf den Rechner zugreifen, manchmal überspringt Win XP Pro bei der Neuinstallation diverse Prozeduren, z.B. wird die Installation der Netzwerkkonfiguration einfach übergangen. |
Zitat:
Gruß Daniel.. |
Würde ich jetzt Outpost 3.5 nehmen, wäre es wohl auch nicht viel besser, obwohl, daß die beste Firewall am Markt ist. Wenn das System im Innersten, sprich hardwaremäßig kompromittiert ist, hilft gar nichts, so weit kann auch ich denken. |
@SystemPro Zitat:
Zitat:
|
Zitat:
|
Zitat:
Grüße Wildone |
Vermutlich eine Win32.PEBKAC.SysCrash-Variante. Ja, am Besten austauschen:) chaosman:party: |
@Renegade: Die Windows internen Ports sind alle dicht, die Turnübung mache ich bei jeder Winreinstallation. @alle Spaßvögel: So geeky war ich noch nicht =>(PEBKAC = Problem Exists Between Keyboard and Chair) Aber gut zu wissen, allerdings ist das nonsense und führt am Thema vorbei. |
Hallo SystemPro Übrigens seit ich diesen Rechner hier habe (ca. 1 Jahr) , hat noch keine Windows installation sauber funktioniert, erst durch den abgesicherten Modus konnte ich nach der Windows Installation überhaupt auf den Rechner zugreifen, manchmal überspringt Win XP Pro bei der Neuinstallation diverse Prozeduren, z.B. wird die Installation der Netzwerkkonfiguration einfach übergangen. Hast du dein Rechner schon mal formatiert in dieser Zeit? wie z.B. mit: Zone Alarm 6.1,Tiny 2005, Nod32, GData, Process Guard, AppDefend beta, WinDefender Beta, um nur mal einige meiner tools zu benennen, das sind noch lange nicht alle, aber gehören schon zum besten, was es gibt. Du scheinst dich gerne auf Betas und Tools zu verlassen zu verlassen, trotz sämtlichen Tools kan man dein Rechner infizieren. Es hängt eher von dein Surfverhalten als von den Tools ab. chaosman |
(und das Thema, finde ich, hätte schon mal in eine Tech-Ecke kopiert werden können, damit ich hier nicht reinfunken muss;) ) Versteh ich das richtig - die Festplatte selbst ist befallen? Dieser IDE-Controller, dachte ich, ist eine "Karte", an der die Festplatte mit diesen Flachbandkabeln angeschlossen wird. Allerdings lese ich gerade hier Zitat:
:confused: |
|
:headbang: ... naja, merkbefreiung ausgefüllt ...:) ne, wenn man als Hardware Laie da kurz drüber liest, klingt das .... ä ja, egal. ----------- aber - gibt es denn Möglichkeiten, das Hardware befallen wird? |
Ja, cotton, allerdings gibt es da Möglichkeiten geh mal auf rootkit.c*m, man kann deine Grafikkarte infiltrieren, dein Bios(ACPI Rootkits) und ich glaube bei genügend Wahnsinn der Entwickler würden sie wohl auch noch flashbare Teile auf dem Mainboard finden und da wäre die Idee mit dem IDE noch nicht mal so abwegig. Mit dem Wissen wächst der Zweifel, je länger du dich anfängst damit zu beschäftigen, umso mehr bemerkst du, daß fast nichts wirklich sicher ist. |
@SystemPro das heisst ja, dass man dann die Karte vergessen kann, oder? Das heisst ja dann auch, wenn das Mode wird, die jenigen, die ihr System nicht richtig absichern wollen oder können, dann nicht mehr gesagt bekommen, sie müssten das System neuinstallieren, sondern neue Hardware installieren :D wäre wohl auf dauer teuer. |
Zitat:
|
Hallo, Zitat:
Zitat:
Aber das Problem ist das die Jungs die soetwas verbreiten damit Kohle machen wollen, also werden sie auf Werbepopups oder ähnliches zurück greifen, und dann merkt man halt doch das etwas auf dem System nicht stimmt, und die Beseitigung selbst stelle ich mir nicht sonderlich kompliziert vor, kann mich aber auch täuschen. Grüße Wildone |
@Wildone: Wie willst du denn deine Grafikkarte säubern? Alles was mit Flash und Hardware zu tun hat ist ein heikles Thema, die Rootkit Freaks müssen sich ja mit Hardware auseinandersetzen und wissen dies auch gezielt einzusetzen, habe mal ein Pdf darüber gelesen, klingt beängstigend. Nebenbei kennst du das Tool deepfreeze? Das frißt sich in deinen CMOS Chip rein, wenn du nicht sauber deinstallierst, kriegst du das nicht mehr daraus, selbst wenn du das Bios neu flashen wirst, ich frage mich was die machen, um das Bios zu blocken und dabei u.U. den Floppy bootloader kaputtmachen.. eigentlich gehören solche Produkte verboten. Zitat:
|
Zitat:
Und wie ich bereits erwähnte, ist das Problem mit einem Jumper lösbar. So etwas sollte ein Hardwarehersteller innerhalb von einer Woche hinbekommen. |
MightyMarc, trotz neuem mbr und biosflash von cdrom passiert das: http://i1.tinypic.com/scry15.png Solltest du dich ein bißchen mit der Materie auskennen, weißt du was das heißt. Laut Microsoft ist jeder 5.te PC mit Rootkits verseucht. |
SystemPro, da ich vice nicht nutze, kann ich Dir nicht sagen was das Problem ist. Nicht unwahrscheinlich das ein RK im kernel mode läuft und vice den Zugriff verweigert. Wo das Teil sitzt weiss der Geier. Vllt solltest Du mal von einem Unixsystem aus scannen. BTW: ich bezweifle nicht, das aktuelle Hardware angreifbar ist, ich bezweifle nur, dass die RK-Entwicklung Sinn macht. CMOS flashen ist derart einfach zu unterbinden, dass meiner Meinung nach RKs hierfür unsinning sind (ausser vllt ne Fingerübung). |
Du machst nicht wirklich ein BIOS Update von CD oder? Da kannst du ja nicht mal dein altes BIOS backupen. oO Und nen MBR überschreibt dir jede Malware beim Start von Windows wieder... Sicher das du vice mit Administratoren Rechte ausführst? Lucky |
logisch führe ich vice mit Admin rechten aus, ich mußte von cd flashen, da der bootloader von der Floppy im Eimer ist, weiß der Geier ob die deep freeze software daran Schuld war oder das Rootkit. Ca. 80% aller gängigen Bios´e haben keinen Jumper, gibt es genügend Studien drüber. Ich habe auch schon von Linux gebootet siehe da: http://i1.tinypic.com/op93t3.png http://i1.tinypic.com/ofwuhg.jpg Dieses Linux war von CD, was für ein unbekanntes Gerät sitzt denn da? Noch was erheiterndes: http://i1.tinypic.com/se0jnc.png und zu guter letzt: http://i1.tinypic.com/se0l0l.png Opera BO, da ist aber auch an alles gedacht worden. Als hätte man die übelsten Brüder des Universums im Nacken. |
Zurück zur Meldung von ZA: Zitat von SystemPro vom Thread http://www.trojaner-board.de/showthr...d=1#post203476 Zitat:
2. Den Herrn Schmitt halte ich für nicht mehr aktuell in diesem Zusammenhang, Und selbst wenn er es wäre, ich glaube nicht, dass die Aral AG grosses Interesse an deinem Rechner hat. Ich kann mir den Herrn Schmitt im Kontext der restl. whois-Angaben allerdings nicht recht erklären. 3. Aktueller halte ich die Uni von Bousheer im Iran, aber auch da würde ich eher von einem Backdoor-verseuchtem Rechner ausgehen als von einem gezielten "Angriff". (Übrigens: dort steht m.E. eine große iranische Atomforschungsanlage) 4. Ohne FW wüsste man nichts von der Existenz des Rechners, der nun immer wieder bei deiner FW anklopft. Na und? Er käme doch eh nicht auf den Rechner, aktuelles Betriebssystem vorausgesetzt. 5. Die Annahme, nur weil jemand bei dir rein will und das entsprechend marktschreierisch von der FW gemeldet wird, es müsse auch etwas auf deinem Rechner sein, was da nicht hingehört, ist falsch. Gruß :daumenhoc Yopie |
Danke für die Info! Da stimme ich dir tatsächlich zu 99% zu, das mit der Atomanlage ist interessant, wußte ich nicht. |
Zitat:
ich sage ja immer PW`s bringen nichts nur noch grössere angriffsfläche schliess die ports per hand und gut ist Zitat:
|
@Plansch, du wagst es ja gar nicht so tief ins System zu schauen, wer weiß wieviele Buffer Overflows man dort entdecken würde. ;-) |
@SystemPro *kopfkratz* interessiert mich das überhaupt??? ich glaube eher das du ein wenig übertreibs mit deinem sicherheits fanatismus, nu ja die software firmen werdens dir danken, das du deine kohle für sowas zum fenster raus schmeisst und überhaupt: 1. verate mir warum dich überhaupt jemand hacken sollte?? 2. router vernüftig konfiguriert, plus und jetzt pass auf was kommt, ein gut konfiguriertes windows und netzwerk, und hey man hat ewig lange ruhe vor format c: und wenn man dann noch regelmässig backups von den systemen zieht eiei ja dann muss man gar nimmer format c: machen, aber man sollte immer wissen man macht ;) , denn du weisst ja, das problem sitzt an der tastatur nicht wahr, deswegen meine empfehlung an dich, immer schön sicherheits progs installieren, und immer mehr angriffsfläche bieten das passt dann schon. 3. ich würde echt gerne mal wissen wo du dein ganzes wissen her hast, scheinst ja nen richtig erfahrener zu sein!!!!! in diesem sinne :huepp: |
Hi Plansch, danke für das Kompliment, ja ich hänge zuviel vor diesen Kisten ;-) Fanatismus stimmt auch, das ist auch eins meiner Laster ;-) Am extremsten wird es erst dann, wenn man mit ethereal noch jeden Netzwerktraffic abfängt.. was die Paranoia perfekt macht. Übrigens gibt es sicherlich auch böse Geister, die mit eingeschränkten User accounts zurechtkommen, soll heißen, auch ein eingeschränkter Benutzer ist kein Problem für jemanden, der weiß was er tut. Temp Ordner sind überall da. Man bietet zwar weniger Angirffsfläche, aber der Unterschied verschwindet, abgesehen davon jemand der einen Kerneltreiber vor dem Windowsboot richtig platziert, dürfte wohl auch in der Lage sein alle möglichen Schranken zu überwinden, deshalb admin account oder restricted, das ist insbesondere für die standard Schädlinge sinnvoll, aber bei Profis bezweifle ich, daß das soviel hilft. Für alle die es noch nicht wissen und dachten mit VMWare surft man sicher, weit gefehlt, VMWare ist eine Software auch die läßt sich vor den zukünftigen Schädlingen nicht schützen. Irgendwo im Internet stehts geschrieben. |
Hi! Meine Zonealarm Firewall meldet auch am Anfang nach der Installation diese Meldungen: Die Fireall hat gesperrt Internet-Zugriff auf ihren Computer von (Net Bios-Sitzung) von 80.121.39.162 (TCP Port 3012),... Oder auch 80.121.10.204, Port 15525 Diese Meldungen kommen am meistens nur am Anfang wen ich die Zonealarm Firewall z.B. Update und die Einstellungen wieder neu Vornehme. Innerhalb eines halben Tages hatte ich über 1000 Zugriffsversuche verhindert und davon entsprachen 17. Warnungen 1. Grades. Ist das normal??? |
Das ist nichts ungewöhnliches, meist werden auch filesharing ports von za wahrgenommen (port 4662) Gefahr droht dann, wenn z.B. deine vsmon.exe abstürzt durch Buffer Overflow, das ZA Icon durchgestrichen ist, das deutet auf einen erfolgreichen Angriff von außen hin (oder auch von innen). Habe ich mal erlebt, da meldete mir Tiny einen Angriff aus Rußland, plötzlich machte es peng und die vsmon.exe war gecrashed, aber da ich Tiny Firewall zusätzlich hatte konnte ich die Russen Attacke blocken und die IDS hat alles mitprotokolliert. Manchmal hilft viel viel und nicht immer ist weniger mehr, bedenken sollte man das, es kommt immer auf die Situation an. Es gibt natürlich auch subtile Angriffe vor allem auf ZoneAlarm konzentriert, wenn deine ZoneAlarm korrumpiert wurde bemerkst du das anhand der Tatsache, daß übliche Meldungen ausbleiben, denke immer daran der Feind hinterläßt immer Spuren. Kein noch so großartiger HighTec Hacker kann alles bedenken, er ist ein Mensch wie du und ich, diese Chance gilt es wahrzunehmen. Selbst wenn er ein Rootkit wie Shadow Walker hätte, es gibt immer Methoden ein korruptes System zu analysieren. Nichts bleibt ohne Spuren. |
@ systempro Meinst du alles ernst, was du schreibst?:headbang: |
Glaubst du ein unperfektes Wesen wie der Mensch kann die perfekte Tarnung erzeugen? Das sollte deine Frage beantworten, alles ist auffindbar, wenn man weiß wie. Know how. |
In dem Punkt will ich dir ja auch nichts (Auffindbarkeit). Das ist trivial und sollte sich wohl jedem erschließen. Mir ging es eher um den Rest, den du bis zu meinem letzten Post verzapft hast. |
ZUr info der MSchmitt ist wieder da, diesmal probet er an meinem alten Rechner, als wäre er überall, was für ein irandeutscher aral freak ist das bloß, der hockt wohl 24 Std am Tag am PC und probet durch das Internet. Es gibt doch echt kaputte Leute. http://i2.tinypic.com/vcs6ld.png |
Hallo, der Paranoia Award 2006 geht an..... Einfach mal die PFW runter und den Diensten dan Saft abdrehen. Gruß Schrulli |
Zitat:
http://i2.tinypic.com/vem5wg.png Also das nennst du paranoia? http://i2.tinypic.com/vem3nk.png Das ist der offizielle Beweis eines persistenten Rootkits, das tcpip.sys gehookt hat und es ist kein bekanntes und auch nicht durch sogenannte Rootkit Revealer zu entdecken und auch die überflüssigen Dienste (bin kein novice) habe schon 100 mal gesagt schalte ich generell alle ab. |
@ systempro Lass dich nicht immer soviel von Filmen beindrucken!:juul: Du kannst auch noch 20 Screenshots bringen und dein Anliegen weiterhin anglizistisch angelehnt ausdrücken. Das holt hier keinen hinterm Ofen vor! Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:42 Uhr. |
Copyright ©2000-2025, Trojaner-Board