Trojaner @ Port 33731 --> 172.177.41.78

Das LOG


<--- verdächtigter Prozess?

was hab ich mir hier eingefahren?

CHfish

 

Es ist sogar noch lustiger.
Nicht nur, dass da tatsächlich Zonealarm völlig sinnfrei blockiert, es blockiert auch noch das falsche.
Der OUTGOING Traffic, der da geblockt wurde, hätte nämlich der Gegenseite verraten, dass eine Kommunikation nicht erwünscht sei, was die Gegenseite dazu bewogen hätte, aufzuhören, den Port vollzulabern.
Mal wieder ein herzerfrischendes Beispiel für die Dysfunktionalität von ZA im Besonderen und DTFWs im Allgemeinen.
Wenn man kein Filesharing betreibt (und Port 4662 bezog sich auf Filesharing), dann kann einem ein entsprechender Portscan eines Filesharingclienten der Gegenseite völlig egal sein.
Wenn man es jedoch betreibt, sollte man wenigstens verstehen, wie es technisch funktioniert.

BTW: Da das Layout des Forums durch das dämliche Log total zerschossen wird, bitte ich CHfish darum, dieses Posting zu editieren und das Log stark zu kürzen, vor allem in der Breite.

 

Hi,
eins vorweg: Ich habe von Tauschbörsen null Ahnung, weil ich Sie nicht benutze.
Ich sehe bei Ihnen zwei Möglichkeiten: Sie benutzen eine Tauschbörse und die fragt dann halt ab, was Sie so auf Ihrer Kiste haben. Sie haben zufällig die IP eines Users zugewiesen bekommen, der eine Tauschbörse benutzt und die wird weiter abgefragt (erscheint aber unwahrscheinlich, weil ja outgoing auch versucht wird).
goemichel erkennt am Auszug offenbar, dass Sie Zonealarm benutzen (ich nicht, weil ich das auch nicht benutze). Offensichtlich sind Ihre Ports nicht 'stealth' sondern nur 'blocked', was eine derartige Kommunikation erlaubt. Also sollten Sie die versteckte Empfehlung von g. beherzigen und sich mal mit Ihrer PFW beschäftigen.
ciao
imogen

 

darf ich fragen was der mit dem Port 33731 oder mit einer AOL IP zutun hat? Das ist mein Firewall??

CHfish

 

aber da wird was gesendet egal welches Programm ich starte?!

CHfish

[EDIT] ausserdem ist die Ziel-IP bei AOL?!: ACB1294E.ipt.aol.com [172.177.41.78]

 

Auf jedenfall einen Rüffel von den Mods, bist nämlich im falschen Board.
Für den rest suchst du selbst nämlich HIER , viel spaß.

 

Das ist egal - wenn die Ports steath sind dann bekommt der Angreifer den Hinweis "Ich bin nicht da" - wenn sie blocked sind ist die Antwort "Du kommst da net rein"

Wobei "Ich bin nicht da" ja eine sinnlose MEldung ist denn wenn da keiner wäre würde ja jemand anderer sagen "Der ist nicht da" :p

Zum Thema - wer Filesharprogramme benutzt und somit seine IP leichtsinnig an tausende PCs vergibt der muss eben mit Angriffen rechen

 

Informationen zu vsmon gibts

HIER

Mann, das hab ich mit in 0,005sec gefunden

Gruß, Michael