TranceAddict Forums

TranceAddict Forums (www.tranceaddict.com/forums)
- Europe - Germany
-- Zonealarm meldet ständig Alarm..

Posted by Parafox on Aug-12-2003 08:21:

Zonealarm meldet ständig Alarm..

Ich habe seit dem "Remoteprozeduraufruf-Ereignis" sicherheitshalber mal Zonealarm installiert. (die kostenlose Version)

Nun kommen jede 30sek Meldungen, wie diese (aus der LOG Datei):

FWIN,2003/08/12,10:12:16 +2:00 GMT,80.128.148.99:46471,217.84.179.77:4462,TCP (flags:S)
FWIN,2003/08/12,10:12:30 +2:00 GMT,217.229.175.110:46588,217.84.179.77:4462,TCP (flags:S)
FWIN,2003/08/12,10:12:34 +2:00 GMT,217.229.175.110:46588,217.84.179.77:4462,TCP (flags:S)
FWIN,2003/08/12,10:12:36 +2:00 GMT,80.128.148.99:46471,217.84.179.77:4462,TCP (flags:S)
FWIN,2003/08/12,10:12:46 +2:00 GMT,217.226.206.147:44118,217.84.179.77:4462,TCP (flags:S)
FWIN,2003/08/12,10:12:48 +2:00 GMT,217.226.206.147:44118,217.84.179.77:4462,TCP (flags:S)
FWIN,2003/08/12,10:12:52 +2:00 GMT,217.229.175.110:46588,217.84.179.77:4462,TCP (flags:S)
FWIN,2003/08/12,10:12:54 +2:00 GMT,80.131.223.175:4168,217.84.179.77:20855,UDP
FWIN,2003/08/12,10:12:58 +2:00 GMT,210.23.241.155:1107,217.84.179.77:137,UDP
FWIN,2003/08/12,10:13:12 +2:00 GMT,82.82.156.123:4611,217.84.179.77:4462,TCP (flags:S)
FWIN,2003/08/12,10:13:14 +2:00 GMT,82.82.156.123:4611,217.84.179.77:4462,TCP (flags:S)
FWIN,2003/08/12,10:14:24 +2:00 GMT,212.114.232.168:17478,217.84.179.77:4462,TCP (flags:S)
FWIN,2003/08/12,10:15:20 +2:00 GMT,62.104.64.21:34267,217.84.179.77:4462,TCP (flags:S)
FWIN,2003/08/12,10:15:26 +2:00 GMT,217.229.175.110:48254,217.84.179.77:4462,TCP (flags:S)
FWIN,2003/08/12,10:16:02 +2:00 GMT,217.229.175.110:48611,217.84.179.77:4462,TCP (flags:S)

Die meisten Meldungen werden glaub gar nicht in der LOG Aufgezeichnet, das Warnfesnterchen sieht meist so aus: "The firewall has blocked Internet Access to your computer (UDP Port 18346) from xxx.xx.xxx.xxx (UDP Port 1600) -> das kommt beinahe alle 15 sek.
Immer andere IPs und Ports (mal TCP mal UDP)

was ist das? Sind das standard Portscans oder irgendetwas anderes.
Die Firwewall ist so eingestellt:
Internet Security: HIGH
Trustet Zone Security: MEDIUM

thx

Posted by TranceGiant on Aug-12-2003 08:27:

Skynet begint den Aufstand der Maschinen

Posted by Parafox on Aug-12-2003 08:32:

ne im Ernst, ist das normal wenn alle 5 sekunden irgendwas auf meinen Rechner connected...

Posted by Unimog on Aug-12-2003 08:39:

Remoteprozeduraufruf-Ereignis?? schon mal nach nem Backdoor gesucht?
Und seit heute nacht is n Wurm gegen Windoof unterwegs
Scan mal lieber mit nem Antivirus Prog
das oben sind scans

Posted by NetX on Aug-12-2003 08:39:

willkommen im Internet...

nachdem es ja genügend Bastel-Kits und Portscanner gibt, sind die Dinger auch pausenlos in Action - und das kommt dann auch ziemlich wahllos bei Dir an.

Leider ganz normal...

EDIT: ev auch connects von anderen Filesharing-Usern ? eMule ?

Posted by Parafox on Aug-12-2003 08:43:

quote:
Originally posted by NetX
willkommen im Internet...

nachdem es ja genügend Bastel-Kits und Portscanner gibt, sind die Dinger auch pausenlos in Action - und das kommt dann auch ziemlich wahllos bei Dir an.

Leider ganz normal...

EDIT: ev auch connects von anderen Filesharing-Usern ? eMule ?


eMule oder ähnliches lief nicht, aber alle 15-30 Sekunden kommt so ne Meldung, jedes mal ne andere IP und meist ein anderer Port.

Naja ich hab das DIng nun so eingestellt, dass nur dann Meldungen kommen wenn Programme ins Netz wollen.

Posted by NetX on Aug-12-2003 08:54:

quote:
Originally posted by Parafox
eMule oder ähnliches lief nicht, aber alle 15-30 Sekunden kommt so ne Meldung, jedes mal ne andere IP und meist ein anderer Port.

Naja ich hab das DIng nun so eingestellt, dass nur dann Meldungen kommen wenn Programme ins Netz wollen.


Reicht ja, wenn Du mal irgendetwas geshared hast - und jetzt die User, die damals gesaugt haben, noch immer (weil damals vielleicht unvollständig etc) connecten wollen.

Aber die meisten davon dürften Port-scanner etc sein...

Posted by Parafox on Aug-12-2003 08:58:

quote:
Originally posted by NetX
Reicht ja, wenn Du mal irgendetwas geshared hast - und jetzt die User, die damals gesaugt haben, noch immer (weil damals vielleicht unvollständig etc) connecten wollen.

Aber die meisten davon dürften Port-scanner etc sein...


naja, wenn man sich überlegt wieviele Leute solche Scanner einsetzen.. da kann das schons ein das da alle 30 Sekunden einer auf deinen PC trifft.

Posted by NetX on Aug-12-2003 09:03:

quote:
Originally posted by Parafox
naja, wenn man sich überlegt wieviele Leute solche Scanner einsetzen.. da kann das schons ein das da alle 30 Sekunden einer auf deinen PC trifft.



meist werden die portscanner ja auch nicht komplett wild in die gegend geschickt, sondern schon einigermaßen bekannte adressbereiche, also da, wo Privat-User normalerweise connecten (sprich in Deutschland T-Online- Schlund&Partner etc), damit die "Erfolgsquote" zumindest einigermaßen tragbar ist.

Wenn man dann auch noch bedenkt, wieviel Scans so ein Scanner in der Sekunde durchführen kann, dann brauchen gar nicht sooo viele Leute sowas machen. Schneeball-System... wie bei HMI (Hamburg Mannheimer Invest) *lol*

Posted by DJHypermaniac on Aug-12-2003 09:10:

neuer wurm.... fährt den rechner selbständig runter. seit gestern im netz. geht rum wie ein guter porno

selbst mein server musste dran glauben

http://forums.techguy.org/t152866/s...0bbb770bd5.html

Posted by Parafox on Aug-12-2003 09:12:

quote:
Originally posted by NetX
meist werden die portscanner ja auch nicht komplett wild in die gegend geschickt, sondern schon einigermaßen bekannte adressbereiche, also da, wo Privat-User normalerweise connecten (sprich in Deutschland T-Online- Schlund&Partner etc), damit die "Erfolgsquote" zumindest einigermaßen tragbar ist.

Wenn man dann auch noch bedenkt, wieviel Scans so ein Scanner in der Sekunde durchführen kann, dann brauchen gar nicht sooo viele Leute sowas machen. Schneeball-System... wie bei HMI (Hamburg Mannheimer Invest) *lol*


was machen diese Portscanne eigentlich genau?

Und danke nochmal für deine Rasche Hilfe!

Mein Wissen was was I-Security angeht ist nicht wirklich ausgereift Ich fange immer erst dann an Maßnahmen zu ergreifen wenn was passiert ist, aber bisher hat ich noch nie Datenverlust durch ein Virus oder einen Trojaner habe ich auch noch nie gefunden/bemerkt. Immer die neusten Virendefinitionen und beim Downloaden von Dateien bin ich auch supervorsichtig. Das hat bisher gereicht

Posted by Parafox on Aug-12-2003 09:13:

quote:
Originally posted by DJHypermaniac
neuer wurm.... fährt den rechner selbständig runter. seit gestern im netz. geht rum wie ein guter porno

selbst mein server musste dran glauben

http://forums.techguy.org/t152866/s...0bbb770bd5.html


siehe hier

Posted by NetX on Aug-12-2003 09:20:

quote:
Originally posted by Parafox
was machen diese Portscanne eigentlich genau?


Rein Port-Scannen ersteinmal, um zu sehen, welche "Türen" beim Gegenüber offen sind. Wenn offen, dann kann man da ev einen exploit benutzen und eine denial-of-service und anderen Schweinkrams hinschicken.

Mit einer "richtigen" Firewall (also keine Personal FW wie Zonealarm, sondern eine FW 1, Watchguards, Nokia etc) machst Du normalerweise nur bestimmte Ports auf, die Du brauchst (zB Port 80 für WWW, dann noch Mail-Ports etc) und fast alle anderen (von 65536) dicht... es sei denn, Du hast spezielle Anforderungen und brauchst diese non-standard-ports (zB für Citrix oder Filesharing oder Voice-over-IP)

EDIT: mal ganz abgesehen, daß diese FWs dann meist doch noch ein "bißchen" mehr machen... zB stateful packet filtering (Untersuchen jeden Paketes), ev content filtering etc

Posted by Unimog on Aug-12-2003 09:24:

das sind bestimmt die ganzen infizierten PCs die nach neuen Opfern suchen

Posted by X4216354 on Aug-12-2003 09:44:

warum blockst Du nicht einfach alles und machst dann Regeln?

Eigentlich braucht man nur die Ports (incoming)

25 SMTP
80 WWW
125 POP
443 https

...und die ganzen anderen Sachen wie DC++ usw.

Ich habs bei mir zu haus so gemacht:

alles geblockt:

Port 8080 auf und die Sharing-Programme... mehr nicht.

Ich habe einen Proxy dazwischen... für ICQ sowie auch für SMTP, FTP und POP.


...und Zone Alarm ist scheisse!

Auch wenn die meisten die Norton Personal Firewall nicht mögen: sie ist ziemlich gut, aber auch z.B. Sygate Pro ist gut.

Ach Net: einen Stateful Filter haben die mittlerweile alle, sogar die Interne WinXP FW....

Wichtig ist, dass man Anti-Spoofing hat, also mit absicht falsch codierte Pakete an jemanden schickt und somit die Firewall knacken könnte.

Posted by Holodoc on Aug-12-2003 10:46:

quote:
Originally posted by DJHypermaniac
neuer wurm.... fährt den rechner selbständig runter. seit gestern im netz. geht rum wie ein guter porno

selbst mein server musste dran glauben


Wohl kein regelmäßiges Windowsupdate gemacht, was? Naja ich auch nich, aber jetz

Posted by DJHypermaniac on Aug-12-2003 10:50:

doch hab ich.. auf meinem client.
der server mag kein windowsupdate da eine.. ähm.. 2003 server testversion aus dem netz

Posted by X4216354 on Aug-12-2003 12:05:

quote:
Originally posted by DJHypermaniac
doch hab ich.. auf meinem client.
der server mag kein windowsupdate da eine.. ähm.. 2003 server testversion aus dem netz


...dann nimm doch das Win-Update für die Corporate!

http://v4.windowsupdate.microsoft.c...?corporate=true


Powered by: vBulletin
Copyright © 2000-2021, Jelsoft Enterprises Ltd.