Symatec NIS Meldet Angriff aus dem Inter

Dieses Thema im Forum "Sicherheit" wurde erstellt von Spezies8472, 5. November 2001.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Spezies8472

    Spezies8472 ROM

    Registriert seit:
    25. September 2000
    Beiträge:
    4
    Nabend

    Habe mir wohl über Morpheus 1 Trojaner und einen E-Mail Virus eingefangen. Der Trojaner war Subseven und der E-Mail Virus war .vbs Love Letter. Diese beiden habe ich mit dem Antivirenkit eintfernt. Jetzt habe ich mir Norton Internetsecurity 2002 zugelegt. Nach eine Prüfung wurde kein Virus oder ähnlichen mehr gefunden. Jetzt meldet aber meine Firewall in regelmäßigen abständen das Backdoor Subseven von außen auf meinen Rechner zugreifen will. Heißt das nun es führt jemand von außen ein Anschlussprüfung duch? Habe ich eventuell auf meiner Platte doch was übersehen? Wie kann ich dem Angreifer Schaden zufügen? Ich habe zwar nicht viel, aber sein IP ist bekannt.

    Wie ist die weiter vorgehensweise?
     
  2. Urmel1

    Urmel1 Halbes Megabyte

    Registriert seit:
    6. November 2000
    Beiträge:
    865
    Ich wollte das dem Provider melden, darum die Frage. :)
     
  3. Kodokan

    Kodokan Byte

    Registriert seit:
    14. September 2000
    Beiträge:
    20
    Hallo zusammen,

    ich habe auch NIS auf meinem Rechner.
    Da ich mich ein wenig mit dieser Thematik befasst habe kann es doch sein das der "Hobbyhacker" über die IP eines Opfers geht. Er loggt sich in seinen Rechner ein und surft dann auf andere Rechner.
    Dann ensteht für dich der Eindruck das die angegebene IP der Angreifer ist. Dabei ist er nur so wie du ein Opfer.

    Wegen deinem Trojaner:
    Es gibt 3 Möglichkeiten einen Trojaner Sub7 zu plazieren.
    1. Autostart
    2. System.ini
    3. Win.ini
    Kontrolliere diese 3 Möglichkeiten.
    Falls du einen aktiver Sub7 auf deinem Rechner hast und du eine aktuelle NIS Version dann meldet NIS auch die versuchte Verbindung.
    Die Meldung BACKDOOR SUBSEVEN die immer kommt ist meist nur von einem Porscanner. Irgentjemand sucht im Netz einen infizierten Rechner (Opfer) und wenn deine IP dran ist meldet NIS diesen Scanvorgang mit BACKDOOR SUBSEVEN
    Wenn dein Rechner aber nicht infiziert ist kann da auch nichts passieren.

    MfG
    Kodokan
     
  4. kazhar

    kazhar Viertel Gigabyte

    Registriert seit:
    21. Juni 2001
    Beiträge:
    4.420
    Das sagt RIPE über die ominöse IP:

    ****************************************************

    217.88.234.227

    % This is the RIPE Whois server.
    % The objects are in RPSL format.
    % Please visit http://www.ripe.net/rpsl for more information.
    % Rights restricted by copyright.
    % See http://www.ripe.net/ripencc/pub-services/db/copyright.html

    inetnum: 217.80.0.0 - 217.89.31.255
    netname: DTAG-DIAL14
    descr: Deutsche Telekom AG
    country: DE
    admin-c: RH2086-RIPE
    tech-c: ST5359-RIPE
    status: ASSIGNED PA
    remarks: ************************************************************
    remarks: * ABUSE CONTACT: abuse@t-ipnet.de IN CASE OF HACK ATTACKS, *
    remarks: * ILLEGAL ACTIVITY, VIOLATION, SCANS, PROBES, SPAM, ETC. *
    remarks: ************************************************************
    notify: auftrag@nic.telekom.de
    notify: dbd@nic.dtag.de
    mnt-by: DTAG-NIC
    changed: auftrag@nic.telekom.de 20010920
    source: RIPE

    route: 217.80.0.0/12
    descr: Deutsche Telekom AG, Internet service provider
    origin: AS3320
    mnt-by: DTAG-RR
    changed: rv@NIC.DTAG.DE 20001027
    source: RIPE

    person: Reinhard Hausdorf
    address: Deutsche Telekom AG
    address: Am Kavalleriesand 3
    address: D-64295 Darmstadt
    address: Germany
    phone: +49
    nic-hdl: RH2086-RIPE
    notify: auftrag@nic.telekom.de
    notify: dbd@nic.dtag.de
    mnt-by: DTAG-NIC
    changed: auftrag@nic.telekom.de 20010321
    source: RIPE

    person: Security Team
    address: Deutsche Telekom AG
    address: Technikniederlassung Schwaebisch Hall
    address: D-89070 Ulm
    address: Germany
    phone: +49 731 100 84055
    fax-no: +49 731 100 84150
    e-mail: abuse@t-ipnet.de
    nic-hdl: ST5359-RIPE
    notify: auftrag@nic.telekom.de
    notify: dbd@nic.dtag.de
    mnt-by: DTAG-NIC
    changed: auftrag@nic.telekom.de 20010321
    source: RIPE

    ****************************************************

    Und was sagt uns das?

    -> Der Provider Deines Angreifers ist die Deutsche Telekom!
    -> Daher nehme ich an daß er Deutscher ist.
    -> Wenn Du das Melden willst dann schicke ein Mail an
    abuse@t-ipnet.de

    mfg KazHar
     
  5. kazhar

    kazhar Viertel Gigabyte

    Registriert seit:
    21. Juni 2001
    Beiträge:
    4.420
    s scannen - wenn sich ein Rechner meldet, dann sind die Chancen gut, daß es Deiner ist - kann aber auch ein anderer mit der Backdoor sein.
    So etwas nennt sich Portscan - und ist nicht einmal illegal!
    Mit den entsprechenden Tools geht selbst das Scannen von tausenden IP\'s blitzartig.
    Auf die selbe Art ist er sicher auf Dich aufmerksam geworden. Wenn er den Bereich von z.B. 125.24.0.0 bis 125.24.255.255 scannt und Du die momentan die IP 125.24.11.15 benutzt, dann wird er die Backdoor bemerken, die auf Deinem Rechner läuft.

    Da Du jetzt eine Firewall benutzt ist Dein Rechner aber auf allen unbenutzten Ports stumm (Port-Stealth)! Der Scanner bemerkt also nichteinmal, daß Dein Rechner online ist. Daher weiß der Angreifer nicht, ob Du nur offline bist, oder ob Du die Backdoor entfernt hast.

    mfg KazHar
     
  6. Spezies8472

    Spezies8472 ROM

    Registriert seit:
    25. September 2000
    Beiträge:
    4
    Nabend

    Vielen Dank für Ihre Antwort. Mit meinem Gegenüber schaden zufügen meinte ich eventuell eine Gerichtliche vorgehensweise und wenn das zu teuer ist dann schicken wir mal ein paar Leute zu einem Hausbesuch vorbei.

    Was mir aber Elementar auf der Zunge brennt ist, wie ER meinen Rechner aus sagen wir mal tausenden rausfiltert.

    ===Da er natürlich nicht weiß, daß Du die Backdoor gekillt hast, versucht er hald immer wieder, sich einzuloggen - was die Firewall brav meldet. => keine Gefahr für Dich mehr.===

    Vielen Dank für Ihre Bemühungen
     
  7. Spezies8472

    Spezies8472 ROM

    Registriert seit:
    25. September 2000
    Beiträge:
    4
    Zur Dummen Frage...... Bitte mal auf Deutsch übersetzten. Ich weiß nicht auf was du da hinauswillst?!?

    Meine Angriff war wiefolgt:

    Sie wurden zuletzt angegriffen am:05.11.2001 um 19:46:32
    Angreifer war: 217.88.234.227

    Protokoll Standard Backdoor Subseven
     
  8. Urmel1

    Urmel1 Halbes Megabyte

    Registriert seit:
    6. November 2000
    Beiträge:
    865
    Hi
    Mal eine dumme Frage :
    Datum: 06.11.01 Uhrzeit: 10:53:54
    Regel "Standard Back Orifice 2000 blockieren" blockierte (XXXXX1,Back-Orifice). Details:
    Ankommendes UDP-Paket
    Lokale Adresse, Dienst ist (XXXXX-i1,Back-Orifice)
    Remote-Adresse, Dienst ist (65.35.16.57,2125)
    Prozessname ist "N/A"

    Die IP von dem "Angreifer" ist also die 65.35.16.57,2125 oder nicht ?
     
  9. kazhar

    kazhar Viertel Gigabyte

    Registriert seit:
    21. Juni 2001
    Beiträge:
    4.420
    Nun da Du Subseven entfernt hast und zusätzlich hinter einer Firewall sitzt kann Dir dein "Freund" nicht mehr in den Rechner schauen. Da er natürlich nicht weiß, daß Du die Backdoor gekillt hast, versucht er hald immer wieder, sich einzuloggen - was die Firewall brav meldet. => keine Gefahr für Dich mehr.

    Was heißt da Du hast nicht viel von Ihm? Du hast doch seine IP und wahrscheinlich auch die Zeitpunkte wann er Dich angepingt hat. Das ist ungefähr so wie wenn er Dir seinen Namen samt Adresse und Telefon-Nummer mitschickt.

    Wenn es Dir die Sache wert ist, dann kannst Du über einen WHO-IS-Dienst (z.B. http://www.domainnameswhoisregistered.com) den Provider Deines "Freundes" herausbekommen. Fast alle Provider reagieren auf Mails, in denen Du auf den Angriff hinweist und mit dem Log der Firewall beweist, ziemlich schnell.

    Aber auf die Frage, wie Du deinem speziellen "Freund" höchstpersönlich Schaden zufügen kannst willst Du doch in Wirklichkeit gar keine Antwort (zumindest nicht in diesem Forum).

    mfg KazHar
     
  10. Gast

    Gast Guest

    1."Trojaner"-Portscan ignorieren.
    2. Nächstes Mal klüger sein
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen