Angreb for indtrængning

Hvilken slags angreb er det? Det kune jo tænkes at det bare er en der scanner nettet igennem for at finde webservere, bare fordi han keder sig lidt.. Det kender jeg fra mig selv :]

Den ser iøvrigt ud til at være nede nu.

det kan være en der skriver forkert adresse i IE eller en der desperat forsøger at joine en CSV server og bare har skrevet forkert IP...

Hvad siger Norton helt præcist?

Glem det, hold i stedet øje med hvad der sker. Oftest er det en inficeret maskine, og ejeren ved det ikke engang selv. Før du får fundet ud af hvem han er, har han skifte ip adresse og forhåbentlig selv fundet viraen.

Hvis "angrebene" skifter karakter, skal du reagere, så er den nemlig ikke en orm/virus, men noget aktivt han har gang i.

Du kan sende en email til abuse@stofanet.dk så tager de ifølge www.ripe.net sig af det.
/TheEmail

Norton siger HØJ RISIKO og det er den samme angriber hvergang. På kortet viser Norton også at det er fra Aalborg vedkommen angriber fra.

At det er fra Aalborg kan man vist ikke stole på. Enten betyder det at udbyderen er i Aalborg, eller også betyder det at vedkommende er tilsluttet en central i Aalborg, hvilket kun antyder at han er fra Aalborg eller omegn. Fx kender jeg en fra Esbjerg som også ser ud til at være fra Aalborg, og en fra Taastrup der åbenbart er fra Albertslund.

xyboex: Jeg kan jo jo beskrive hvor Norton viser anviser angriber fra. Har lige fulgt "email" råd om at sende en mail med IP adresse og så se hvad de siger til dette.

Rettelse: xyboex: Jeg kan jo kun beskrive hvor Norton viser anviser angriber fra. Har lige fulgt "email" råd om at sende en mail med IP adresse og så se hvad de siger til dette.

Rolig nu :) Jeg ville bare lige gøre opmærksom på det, selvom det måske nok ikke er så vigtigt.

Er der ikke en log eller sådan noget i Norton, der kan fortælle mere om hvilken slags angreb det er? -Hvilke porte der blev scannet, osv. Ellers er der da lidt til deres Todo-liste :)

Detaljer: Forsøg på indtrængen "URL_Directory_Traversal" fra din computer mod www.bosch.dk(139.15.251.239) blev konstateret og blokeret
Indtrængende: localhost(3983)
Risikoniveau: Høj
Protokol: TCP
Angrebet IP: www.bosch.dk(139.15.251.239)
Angrebet port: http(80)

Det er etret almindeligt kandt angreb, hvor en angriber forsøger at gå længere ud i din biblioteksstruktur end wwweoot. et godt eksempel på den slags er nimda ormen der brugte UNICode til at traversere længere ud og derefter ind til cmd.exe.

Din firewall blokkere dette, hvorfor du ikke skal være bange. Hvis angrebet er det samme hele tiden, er der en orm der forsøger at undytte en kendt sårbarhed. Nimda er et godt eksempel på dette.

Ændres angrebene skal du straks vende tilbage

Venter lige med at lukke spørgsmål for at se om den samme angreb kommer igen. Men til oplysning kan siges at der ikke har været noget siden den aften.

Til the_email: Vedr. Kommentar: the_email
13/06-2004 23:45:04 - har ikke hørt noget fra dem endnu, sende en mail samme aften.

Det var her jeg læste om abuse@stofanet.dk: http://www.ripe.net/perl/whois?form_type=simple&full_query_string=&searchtext=212.10.177.231

Du kan også prøve at kontakte dem vha. denne form: http://www.stofa.dk/omteliastofa/kontaktos.php
men jeg ville nok give dem en uge til at besvare den anden først.
/TheEmail

Til the_email: Jeg har nu fået svar fra abuse, dette svar.

Vi har taget passende aktion på sagen.
Med venlig hilsen / Best regards

Jim Juel Hansen
StofaNet - Network Operation Center / Abuse Department

Telia Stofa A/S
http://www.stofa.dk

Så kan jeg vist snart lukke dette spørgsmål.

Da alle er kommet med gode kommetar, så læg lige et svar så jeg kan lukke spørgsmået, og tilgode se jer alle.

Venter på at i lægger et svar så jeg kan afslutte denne indlæg. Bare skriv i svar "ok"

ok

ok :)

Så mangler der kun the_email

Godt du fik problemet løst :)
/TheEmail