firewall

Udfra den første <klip> du har lavet tyder det på, at nogen er seriøst ude efter din com. Det er tilsyneladende et Netbus-angreb. Hvad du kan gøre ved det? Virusscanne din computer, så du er sikker på, at du ikke har nogen server-filer på din computer, og derefter ignorere det. Evt. anmelde angrebene på it-kriminalitet@politiet.dk.

- Parazite

Det ser også ud til at det er en adsl kunde fra Teledanmark. Jeg tror næsten at de ville værer i stand til at fortælle hvad det er for en af deres brugere.

Du kan evt. gå ind på www.kriminalitet.dk og lærer lidt mere.

Der er lige nogle flere her, men de ligner meget hinanden.

ule \"Default Block Hack \'A\' Tack Trojan\" blocked (ip52.arcnxx2.adsl.tele.dk,31785).  Details:
Inbound TCP connection
Local address,service is (ip52.arcnxx2.adsl.tele.dk,31785)
Remote address,service is (213.78.56.199,4386)
Process name is \"N/A\"
----
Rule \"Default Block Portal of Doom Trojan\" blocked (ip52.arcnxx2.adsl.tele.dk,9872).  Details:
Inbound TCP connection
Local address,service is (ip52.arcnxx2.adsl.tele.dk,9872)
Remote address,service is (213.78.56.199,4388)
Process name is \"N/A\"
----
Rule \"Default Block Master Paradise Trojan\" blocked (ip52.arcnxx2.adsl.tele.dk,40421).  Details:
Inbound TCP connection
Local address,service is (ip52.arcnxx2.adsl.tele.dk,40421)
Remote address,service is (213.78.56.199,4384)
Process name is \"N/A\"
----
Rule \"Default Block NetMonitor Trojan\" blocked (ip52.arcnxx2.adsl.tele.dk,7307).  Details:
Inbound TCP connection
Local address,service is (ip52.arcnxx2.adsl.tele.dk,7307)
Remote address,service is (213.78.56.199,4390)
Process name is \"N/A\"


Ser det farligt ud??
Og den sidste var kl. 20.59, der er ikke sket mere siden.
Og igår scanede jeg for virus. Med nyeste norton updatering.

En eller anden går helt amok med hacker-programmer på dig! Overvej at anmelde det til TeleDK... selvom du selvfølgelig risikerer at det er en eller anden af dine venner, der bare vil lege lidt med dig... :o)

- Parazite

Anmeld det kig her så kan du se hvad det er du har været udsat for, det er en liste over hvilke porte, hvilke programmer bruger:

port 21 -  Blade Runner, Doly Trojan, WinCrash
port 23 -  Tiny Telnet Server
port 25 -  Antigen, Email Password, Stealth
port 25 -  Terminator, WinPC, WinSpy
port 31 -  Hackers Paradise
port 80 -  Executor
port 456 - Hackers Paradise
port 555 - Ini-Killer, Phase Zero, Stealth Spy
port 666 - Satanz Backdoor
port 1001 - Silencer, WebEx
port 1011 - Doly Trojan
port 1170 - Psyber Stream Server, Voice
port 1234 - Ultors Trojan
port 1245 - VooDoo Doll
port 1492 - FTP99CMP
port 1600 - Shivka-Burka
port 1807 - SpySender
port 1981 - Shockrave
port 1999 - BackDoor
port 2001 - Trojan Cow
port 2023 - Ripper
port 2115 - Bugs
port 2140 - Deep Throat, The Invasor
port 2801 - Phineas Phucker
port 3024 - WinCrash
port 3129 - Masters Paradise
port 3150 - Deep Throat, The Invasor
port 3700 - Portal of Doom
port 4092 - WinCrash
port 4590 - ICQTrojan
port 5000 - Sockets de Troie
port 5001 - Sockets de Troie
port 5321 - Firehotcker
port 5400 - Blade Runner
port 5401 - Blade Runner
port 5402 - Blade Runner
port 5569 - Robo-Hack
port 5742 - WinCrash
port 6670 - DeepThroat
port 6771 - DeepThroat
port 6969 - GateCrasher, Priority
port 7000 - Remote Grab
port 7300 - NetMonitor
port 7301 - NetMonitor
port 7306 - NetMonitor
port 7307 - NetMonitor
port 7308 - NetMonitor
port 7789 - ICKiller
port 9872 - Portal of Doom
port 9873 - Portal of Doom
port 9874 - Portal of Doom
port 9875 - Portal of Doom
port 9989 - iNi-Killer
port 10067 - Portal of Doom
port 10167 - Portal of Doom
port 11000 - Senna Spy
port 11223 - Progenic trojan
port 12223 - Hack´99 KeyLogger
port 12345 - GabanBus, NetBus
port 12346 - GabanBus, NetBus
port 12361 - Whack-a-mole
port 12362 - Whack-a-mole
port 16969 - Priority
port 20001 - Millennium
port 20034 - NetBus 2 Pro
port 21544 - GirlFriend
port 22222 - Prosiak
port 23456 - Evil FTP, Ugly FTP
port 26274 - Delta
port 31337 - Back Orifice
port 31338 - Back Orifice, DeepBO
port 31339 - NetSpy DK
port 31666 - BOWhack
port 33333 - Prosiak
port 34324 - BigGluck, TN
port 40412 - The Spy
port 40421 - Masters Paradise
port 40422 - Masters Paradise
port 40423 - Masters Paradise
port 40426 - Masters Paradise
port 47262 - Delta
port 50505 - Sockets de Troie
port 50766 - Fore
port 53001 - Remote Windows Shutdown
port 61466 - Telecommando
port 65000 - Devil


Du kan se at du har været angrebet af 3 forskellige programmer.

Det er da for dumt af ham/hende at hacke når de har fast internet. Det gør dem en del lettere at spore. (I forhold til hvis de havde dynamiske ip-adresser og dermed fik en ny hver gang de angreb.)

Du ser da ud til at værer godt beskyttet men det må da værer ekstremt provokerende at have en eller anden der hale tiden pinger ens computer, ikke fordi jeg tror det er noget du kan mærke på forbindelsen..... men hvad tror han, han foretager sig????

Normalt kan det teoretisk set godt værer en side du lige havde forladt der pingede meeen med de programmer er det nok udlukket.

nåå men NIS ser ud til at kunne klare det, jeg må lige tænke over hvad jeg skal gøre.
Hvis nu man anmelder det, hvad sker der så. >De kommer vel ikke ud til mig :) eller...

He, forstår din frygt. Ved det faktisk ikke. Jeg anmeldte engang en, der pingede mig med BO i 3 timer. Fik ingen mail eller noget. Tror bare de samler ind indtil de har nok på EN person. Du kan måske blive indkaldt som vidne? Hvad ved jeg...

- Parazite

Prøv at tjekke http://www.ripe.net/cgi-bin/whois den er faktisk blevet en del bedre. Bare indtast ip-adressen og se så hvad den finder til dig.

Du kan også søge på http://www.tucows.com efter Whois eller TraceRoute. :o)

Det er ikke sikkert at den som gør det er klar over at det sker.
Mange af de forskellige \'bagdøre\' kan distribuere angreb.
Hvis dit ur på maskinen ikke går præcist kan man ikke bruge en anmeldelse til noget.
I øvrigt er grænsen mellem angreb og probing meget flydende. Så det du skal gøre er at vurdere om det er et ondsindet forsøg eller et \'tilfældigt\' glitch.
Nu ser det ud til at alle prober kommer fra samme ip og så kan det jo godt se ud som om at vedkommende har været i ond tro, men fordi der er en der forsøger at forbinde sig til en port som også bruges af en \'bagdør\' kan man ikke altid være sikker på at det er et angreb.

victor44 : Jvf. følgende sætning Rule \"Default Block NetBus Trojan\" blocked (ip52.arcnxx2.adsl.tele.dk,NetBus-Pro) og flere andre, så tror jeg næppe det er en flink prober... :o)

Kig nærmere på alle meddelelserne - de har næsten alle noget med et eller andet hackerprogram at gøre.

newbie.dk : victor44 har ret. Ret dit ur efter frk. Klokken eller lign. i aften og så begynd at gemme logfiler. Hvis det fortsætter så anmeld! :o)

- Parazite

Parazite > Det er jo præcis det jeg skriver, blot med den tilføjelse at det ikke er sikkert at han selv er klar over hvad der foregår.

Ja det ser ud som om han har været rimmelig ivrig :)
Men det er altså kun muligt for en hacker at komme ind på min maskine, hvis jeg har fået et af programmerne eller viruserne på min maskine???

Ja.

victor44 : OK, så er vi enige! :o) Dog er der så mange probes fra mange forskellige programmer, så det næsten ikke kan ske uden brugerens vidende.

newbie.dk : Du SKAL have en klient-fil fra et af programmerne installeret, eller have en FTP-server før han kan røre dig. Desuden tyder hans programvalg på, at han ik aner en hujende fiz om hacking! :o)

- Parazite

Det kunne værer sjovt at få hans tlf. oplyst og så ringe til ham :)

tommyf : He, kunne da være spaaas! :o) Men mon ikke newbie.dk lige skulle tjekke om det ikke er en af hans \'venner\', der leger med ham? :o)

- Parazite

Var egentlig også for at komme til at snakke med ham uden politiet skulle blive indblandet.

Jeg er faktisk 100 på at det ikke er en af mine venner.
Fint at jeg skal ha\' en klint-fil, må bare til at updatere min virus lidt oftere :)
Ja det kunne da være sjovt at få hans nnummer. :)
Det der med klokken, igår var der jo rigtig mange forsøg inde for en time, så betyder det vel ikke så meget med klokken. Det var jo fra samme ip hele tiden.

Prøv at samle lidt mere info, og så send hele lortet til it-kriminalitet@politiet.dk. Du burde have nok til en mindre sag! :o)

- Parazite

Forresten... hvem er din egen udbyder?

Jeg har også tele.dk, netexpres.

Hmm... bare lige for at have tjekket det (ikke at jeg tror det er mulighed på NOGEN måde) så tjek lige din egen IP... :o)

heh havde samme tanke, så den tjekkede jeg med det samme, og det var en anden ip jeg havde.

:o) OK, kunne jo være. Hmmm, personligt ville jeg nok smide en lille mail til politiet. Som sagt holdt jeg kun 3 timer sidst jeg havde besøg af en \'ubuden gæst\', så man må da sige at du er overmåde tålmodig.

- Parazite

Parazite, jeg har lige lavet et nyt spm http://www.eksperten.dk/spm/33184 så kan det være vi får løst spørgsmålet ang. politiet gøren.

Jeg mindes at have hørt et sted langt ude at Netexpress også i teorien kører med dynamisk IP? Jeg er overhovedet ik sikker på dette. Så ret mig endelig hvis jeg tager fejl. Hvis de gør det kan det vel også blive et problem ved anmeldelse...

CC fastnet kører i hvert fald med fast, og er der ikke noget med at udbyderen kan gå tilbage i computeren og så se hvem der har haft den ip hvornår? Det burde vel ikke værer svært omend ikke andet så at lave det sådan for fremtiden :) 

tommyf >> Det kan jo stadig være en tredje person der har hacket sig ind på den computer med den gældende IP. Det ku jo nemt ske.

groggy.... netexpress kører med dynamisk IP