Willkommen bei Network & Security     remoteshell-security.com
Partnerseiten
login.php?sid=1c7e06d9d80c00940a3544f29a09c1b3 profile.php?mode=register&sid=1c7e06d9d80c00940a3544f29a09c1b3 faq.php?sid=1c7e06d9d80c00940a3544f29a09c1b3 memberlist.php?sid=1c7e06d9d80c00940a3544f29a09c1b3 search.php?sid=1c7e06d9d80c00940a3544f29a09c1b3 index.php?sid=1c7e06d9d80c00940a3544f29a09c1b3

Foren-Übersicht » Netzwerktechnik » Jemand scannt meine Ports Gehe zu Seite 1, 2  Weiter
Neues Thema eröffnen  Neue Antwort erstellen Vorheriges Thema anzeigen :: Nächstes Thema anzeigen 
Jemand scannt meine Ports
BeitragVerfasst am: 03.01.2006 17:22 Antworten mit Zitat
Lukas
Anmeldedatum: 31.12.2005
Beiträge: 257
Wohnort: Wien




Hallo,

Seit geraumer Zeit macht jemand Port-Scans bei mir.
Vor 4 Monaten hat (vermutlich der Selbe) jemand auch portscans gemacht und wollte Zugriff auf meinen Pc bekommen.
Die Firewall meldete 60 Zugriffsversuche höchsten Grades.
Danach wurden meine "Internet-Dateien" (so nannte die Firewall diese) zerstört und sämtlich Internetverbindungen wurden gekappt.
Ich konnte danach auch keine mehr herstellen.
Nach allen Versuchen (es ist sogar ein Techniker gekommen) musste das System neu aufgestzt werden.
Was kann ich tun um den Port-Scan zu unterbinden?
Bzw. was kann man sonst tun?
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 03.01.2006 17:53 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Hi,

könntest du uns mal die IP-Adressen des jenigen verraten, der diese Portscans ausführt?

Dann kannst du gleich mal bei ripe nachgucken, welcher Provider diese IP-Range verwendet; dadurch weißt du schonmal aus welchem Land die Person kommt.

Solange alle Ports dicht sind, brauchst du dir überhaupt keine Sorgen zu machen - angreifen kann man nur einen Dienst auf einem offenen Port. Für DoS oder DDoS Angriffe fehlt dir wohl etwas an Berühmtheit - anders ausgedrückt: es macht keinen Sinn sich die Arbeit bei einer Privatperson zu machen.

Welche Firewall verwendest du - anscheinend eine Personal Firewall wenn du schon so darauf eingehst. Dann wäre interessant worauf (auf welche Ports, Protokoll) Zugriffsversuche erfolgen.

Zitat:
Ich konnte danach auch keine mehr herstellen.
Nach allen Versuchen (es ist sogar ein Techniker gekommen) musste das System neu aufgestzt werden


Das kann absolut nicht sein - dann hatte der Techniker leider keine Ahnung. Im Notfall hätte man die Firewall auch deinstallieren können.

In Zukunft würde ich dir zu einer sichereren Lösung als einer Personal Firewall raten. Entweder ein separates Gerät, dass das interne Netz, auch wenn es nur aus einem PC besteht, durch NAT schützt, oder direkt auf dem jeweiligen PC mit netfilter.

Dabei hast du auch umpfangreiche Logging-Optionen und dir wird nicht ständig Sicherheit von einer Software suggeriert.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 03.01.2006 23:59 Antworten mit Zitat
Lukas
Anmeldedatum: 31.12.2005
Beiträge: 257
Wohnort: Wien




Also ich benutze Sygate Personal Firewall.
Dieser Jemand hat gerade eben versucht meine Ports zu scannen.

Jemand scannt Ihren Computer.
Ihre UDP ports:
1028, 1029, 1030, 4081 und 2 wurden von 220.168.158.12 gescannt.
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 04.01.2006 00:04 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Zitat:
Ihre UDP ports:
1028, 1029, 1030, 4081


Werden immer dieselben Ports gescannt?

Ein grafisches Traceroute ergibt, dass sich der Host in der Nähe von Peking befindet. Entweder wird ein Proxy-Server verwendet oder der "Angreifer" ist bloß ein Bot.


Zuletzt bearbeitet von Cerox am 04.01.2006 00:10, insgesamt einmal bearbeitet
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 04.01.2006 00:09 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beiträge: 569
Wohnort: /proc




Hi,

ich weiß nicht ob es das für Windows gibt aber man könnte ein NIDS (Network Intrusion Detection Sysmtem) benutzen oder ein Honeypot dies schützt dich zwar nicht vor Portscans aber damit täuscht du ein anderes OS vor.

Postscans sind ansich nichts schlimmes solange der vermeintliche Angreifer keine Attacken startet(z.B. DDOS).

mfg duddits
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 04.01.2006 00:15 Antworten mit Zitat
Lukas
Anmeldedatum: 31.12.2005
Beiträge: 257
Wohnort: Wien




lol, Peking....das heisst es ist höchstwahrscheinlich ein Proxy.
Proxys und datastores aus China sind sehr beliebt weil die Chinesischen Behörden dafür bekannt sind alles andere als kooperativ zu sein und die ip ganz sicher nicht rausrücken.
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 04.01.2006 00:17 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Naja, mal abgesehen davon, dass es nicht schlimm ist, würde ich mir mal Gedanken um eine andere Firewalllösung machen.

Kauf dir einen Router oder setze einen Linux-PC zwischen dich und das DSL-Modem - das ist schonmal etwas.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 04.01.2006 00:24 Antworten mit Zitat
Lukas
Anmeldedatum: 31.12.2005
Beiträge: 257
Wohnort: Wien




Werd ich machen, danke.
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 06.01.2006 13:48 Antworten mit Zitat
DeKarlsQuell
Anmeldedatum: 04.01.2006
Beiträge: 36




Und du bist auch auf die Sygate Firewall reingefallen Laughing
Der Fehler besteht darin, dass der Firewall einfach stumpf Attacken meldet, die nicht da sind, nimm mal einen netten sniffer, und du wirs sehen, das die netten Packete für die netten Portscanns garnicht vorhanden sind....

Und Sygate Firewall bietet keinen Schutz, da sie gegen diverse Packetfragmentierungs Attacken verwundbar ist und sie zieht dir dann prommt 100% der Systemressourcen weg...
Benutzer-Profile anzeigen Private Nachricht senden ICQ-Nummer
BeitragVerfasst am: 06.01.2006 14:03 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Also Fehlanschläge sind es nicht, da ich zum Test auch mal seine Ports gescannt habe und die Firewall schlägt auch dann an.

Aber ansonsten bin ich deiner Meinung; von Personal Firewalls halte ich sowieso nichts, mal ganz abgesehen von der Resourcenverschwändung und dem Nervfaktor.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 06.01.2006 15:39 Antworten mit Zitat
Phara0h
Anmeldedatum: 31.12.2005
Beiträge: 357
Wohnort: /dev/RL




Hmm.... Personal Firewalls haben vor allem beim Zocken nen riesen Nachteil:
Die Performance Very Happy
Ne chicke Hardwarelösung a la alter PC + IPCop o.Ä ist definitiv besser!
Benutzer-Profile anzeigen Private Nachricht senden Jabber ID
BeitragVerfasst am: 06.01.2006 18:05 Antworten mit Zitat
DeKarlsQuell
Anmeldedatum: 04.01.2006
Beiträge: 36




Ich beforzuge Intrusion Detection Systeme, Honneypots und eine nette DMZ ist auch nicht zu verachten Very Happy
Benutzer-Profile anzeigen Private Nachricht senden ICQ-Nummer
BeitragVerfasst am: 06.01.2006 23:51 Antworten mit Zitat
BlackLotus
Anmeldedatum: 04.01.2006
Beiträge: 717
Wohnort: www and 127.0.0.1/localhost




Ich hab ein Router das reicht Very Happy

_________________
Eine Kette ist nur so stark wie ihr schwächstes Glied.

Die Welt wird nicht von denen bedroht die böse sind,sondern von denen die das Böse zulassen.
Albert Einstein

Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das Very Happy

http://blackwiki.bl.ohost.de
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 06.01.2006 23:58 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Naja mir reicht es bald auch nicht mehr. Der Router blockiert nur standardmäßig alle Ports leitet welche bei Bedarf weiter, wodurch du gegen eingehende Verbindungen geschützt bist. Außerdem lässt der Router hergestellte TCP-Verbindungen zu; muss er ja denn sonst könnten keine Replys z.B. HTTP Responses zurück kommen.

Ausgehende Verbindungen lässt der DSL-Router komplett passieren - d.h. jemand könnte mit einer Software eine Verbindung nach außen zu einem Server aufbauen. Die Verbindung wurde dann hergestellt wodurch der Client eingehend alles zulässt, da es zu der Verbindung gehört.

Ich hoffe, dass ich es bald hinkriege auf meinem Linksys OpenWRT zu installieren, um so die iptables modifizieren zu können.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 07.01.2006 00:11 Antworten mit Zitat
BlackLotus
Anmeldedatum: 04.01.2006
Beiträge: 717
Wohnort: www and 127.0.0.1/localhost




Mir reichts denn keiner der was von PC versteht hat was gegen mich oder hasst ihr mich?*g*

_________________
Eine Kette ist nur so stark wie ihr schwächstes Glied.

Die Welt wird nicht von denen bedroht die böse sind,sondern von denen die das Böse zulassen.
Albert Einstein

Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das Very Happy

http://blackwiki.bl.ohost.de
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
Jemand scannt meine Ports
Foren-Übersicht » Netzwerktechnik
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Alle Zeiten sind GMT + 1 Stunde  
Seite 1 von 2  
Gehe zu Seite 1, 2  Weiter
  
  
 Neues Thema eröffnen  Neue Antwort erstellen  


Forensicherheit

Powered by phpBB © 2001-2004 phpBB Group
phpBB Style by Vjacheslav Trushkin
Deutsche Übersetzung von phpBB.de


remoteshell-security.com | Partner | Boardregeln | Impressum