portscans

geforceraid

Big d00d

Registered: Mar 2003
Location: Uhrwerk
Posts: 299

20.04.2004 - 18:53

Ich in habe letzter Zeit so viele Portscans.
Keine Ahnung warum.
Das komische ist, dass das nur AON-Speed User sind. Ich selbst hab das 4,5GB Angebot.
Hab vorher nie Portscans gehabt, erst seit 3Tagen.
Bevor ich svchost geblockt habe, hat netstat immer ausgegeben, dass eben diese IP eine Verbindung über diesen Systemservice etabliert hat.

Will AON mir nachspionieren oder soll ich an abuse@aon ein mail schreiben?

Sygate Security Log:
-------------------------------------
04/20/2004 18:42:33 Port Scan Minor Incoming TCP 62.47.xxxx 01-00-20-00-01-00 62.47.xxxx 00-00-01-00-00-00 admin ADMIN-819SOS6IA Normal 1 04/20/2004 18:42:33 04/20/2004 18:42:33

04/20/2004 18:42:31 Port Scan Minor Incoming TCP 62.47.xxx 01-00-20-00-01-00 62.47.xxx 00-00-01-00-00-00 admin ADMIN-819SOS6IA Normal 1 04/20/2004 18:42:31 04/20/2004 18:42:31

04/18/2004 19:37:48 Port Scan Minor Incoming TCP 62.47.xxx 02-00-20-00-02-00 62.47.xxx 00-00-02-00-00-00 admin ADMIN-819SOS6IA Normal 1 04/18/2004 19:37:48 04/18/2004 19:37:48

04/18/2004 19:37:42 Port Scan Minor Incoming TCP 62.47.xxx 02-00-20-00-02-00 62.47.xxx 00-00-02-00-00-00 admin ADMIN-819SOS6IA Normal 1 04/18/2004 19:37:42 04/18/2004 19:37:42

04/18/2004 19:37:39 Port Scan Minor Incoming TCP 62.47.xxx 02-00-20-00-02-00 62.47.xxx 00-00-02-00-00-00 admin ADMIN-819SOS6IA Normal 1 04/18/2004 19:37:39 04/18/2004 19:37:39

04/18/2004 11:30:56 Port Scan Minor Incoming TCP 62.47.xxx 01-00-20-00-01-00 62.47.xxx 00-00-01-00-00-00 admin ADMIN-819SOS6IA Normal 1 04/18/2004 11:30:56 04/18/2004 11:30:56

04/18/2004 11:30:50 Port Scan Minor Incoming TCP 62.47.xxx 01-00-20-00-01-00 62.47.xxx 00-00-01-00-00-00 admin ADMIN-819SOS6IA Normal 1 04/18/2004 11:30:50 04/18/2004 11:30:50

04/18/2004 11:30:56 Port Scan Minor Incoming TCP 62.47.xxx 01-00-20-00-01-00 62.47.xxx 00-00-01-00-00-00 admin ADMIN-819SOS6IA Normal 1 04/18/2004 11:30:56 04/18/2004 11:30:56

04/18/2004 11:30:47 Port Scan Minor Incoming TCP 62.47.xxx 01-00-20-00-01-00 62.47.xxx 00-00-01-00-00-00 admin ADMIN-819SOS6IA Normal 1 04/18/2004 11:30:47 04/18/2004 11:30:47
--------------------------------------

moidaschl

Vollzeit-Hackler

Registered: Aug 2002
Location: 1210, ABK-D/L
Posts: 4029

20.04.2004 - 18:56

wenns immer der selbe ist, dann kannst es ja machen
mhm wenns verschiedene wären, wärs mehr oder weniger egal IMHO

da es aber der selbe dauernd ist kannst dich ja an AON wenden, die werden dir sicher helfen

ein visual trace wär ned schlecht, dann weist mal wo dein scanner angesiedelt ist

daisho

Vereinsmitglied
SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19815

20.04.2004 - 18:57

Was für eine Firewall hast du ? Maybe irgendeine "Personal ..." ?

Da steht Port Scan "Minor" ... soll das heißen nur ein Port!? Da steht ausserdem nicht welcher.

Kann es sein, dass dies der normale Inbound-Traffic der Blaster-Verteiler (unwissende User) ist ?

Edit: Ist ADMIN-XXXXX... dein Computername oder der Name des Rechners der Quelle?

geforceraid

Big d00d

Registered: Mar 2003
Location: Uhrwerk
Posts: 299

20.04.2004 - 18:58

est ist immer eine andere IP und auch eine andere mac-Adresse.
Visual-Trace würd glaub ich nicht viel bringen, da AON die IPs immer dynamisch vergibt.

Ich wundere mich aber (da ich selbst eine dynamische IP habe) wie der Angreifer meine aktuelle IP immer herausfindet.

Kann es sein, dass AON selbst mir nachspionieren will?

edit:
nein es sind mehrere Ports:

Your computer's TCP ports:
6129, 139, 80, 135 and 2745 have been scanned from 62.47.xxx

und immer 2 minuten später vom selben user:
Your computer's TCP ports:
2745, 135, 1025, 445 and 6129 have been scanned from 62.47.xxx.

komisch ist dass es nur AON-Speed User sind

edit: Admin-XXXX ist mein Computername

Bearbeitet von geforceraid am 20.04.2004, 19:54

daisho

Vereinsmitglied
SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19815

20.04.2004 - 18:59

Zitat von geforceraid
Kann es sein, dass AON selbst mir nachspionieren will?

Das glaube ich eher weniger, wäre illegal.

moidaschl

Vollzeit-Hackler

Registered: Aug 2002
Location: 1210, ABK-D/L
Posts: 4029

20.04.2004 - 19:00

ich kanns mir ned vorstellen, sehr wohl möglich wäre aber, dass du einen trojaner am pc hast!

daisho

Vereinsmitglied
SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19815

20.04.2004 - 19:04

Hmmm, den Ports nach würd ich fast sagen es ist ein Kiddie

Scan auf jeden Fall mal mit einem Trojaner-Scanner, auf Viren etc ...
Die Ports sind ja allgemein bekannt dafür das sie offen sind :rolleyes:

(bis auf die über 1024)

geforceraid

Big d00d

Registered: Mar 2003
Location: Uhrwerk
Posts: 299

20.04.2004 - 19:05

die Frage ist aber (da ich eine dynamische IP habe) wie der Angreifer immer meine aktuelle IP herausfindet.

Ich werd jedenfalls mal Anti-Trojan und Norton installiern.

daisho

Vereinsmitglied
SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19815

20.04.2004 - 19:06

Wenn du einen Trojaner hast, ist eine dynamische IP schnurz, ausserdem muss es nicht sein dass du jedesmal beim Einwählen eine neue IP bekommst...

geforceraid

Big d00d

Registered: Mar 2003
Location: Uhrwerk
Posts: 299

20.04.2004 - 19:07

doch das weiß ich ganz sicher

moidaschl

Vollzeit-Hackler

Registered: Aug 2002
Location: 1210, ABK-D/L
Posts: 4029

20.04.2004 - 19:08

ja, ein trojaner telefoniert nach hause und gibt ihm deine jetzige IP .

des is hald des deppade...

lad dir div. progs runter => nw kabel ausse
und scan deinen rechner durch

:=)

dio

Here to stay

Registered: Nov 2002
Location: Graz
Posts: 4961

20.04.2004 - 19:34

Zitat von geforceraid
die Frage ist aber (da ich eine dynamische IP habe) wie der Angreifer immer meine aktuelle IP herausfindet.

Ich werd jedenfalls mal Anti-Trojan und Norton installiern.

aon hat ja nur einen bestimmten ip pool zur verfügung, wenn den jemand weiß lässt er einfach alle ips von x.x.x.x bis x.x.x.x durchscannen.

btw. i hab auch andauernd solche portscans und bin ned mehr bei da telekom

.

geforceraid

Big d00d

Registered: Mar 2003
Location: Uhrwerk
Posts: 299

20.04.2004 - 19:42

Zitat von diokletian
aon hat ja nur einen bestimmten ip pool zur verfügung, wenn den jemand weiß lässt er einfach alle ips von x.x.x.x bis x.x.x.x durchscannen.

btw. i hab auch andauernd solche portscans und bin ned mehr bei da telekom .

Das komische ist ja, dass ich diese erst seit 2 Tagen habe.

Dürften rein rechtlich bei einer Strafverfolgung solche Methoden angewandt werden (zb. von AON)?

edit: hast du die Portscans auch nur von AON-Speed User? Das erscheint mir ja komisch.

Hab jetzt ein Mail an protected geschickt.

Bearbeitet von geforceraid am 20.04.2004, 19:50

daisho

Vereinsmitglied
SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19815

20.04.2004 - 19:44

Hmmm, Datenschutzgesetz gibts eh ned. Die Polizei darf es sicher (gibts sowas wie ein Durchsuchungsbefehl für Computer ?

) und Firmen kommen sowieso an alle Informationen ran

Aber so dauernde "billige" Portscans könnten höchstens Zufall/blödes Scriptkiddie das irgendwo ne Lücke sucht oder so sein

T3XT4

Beißer

Registered: Jan 2003
Location: .
Posts: 3794

22.04.2004 - 20:13

Hi!

Also, ich hab auch des öfteren (sagen wir einmal pro Stunde) Portscans.

Auch immer von 62.4x...

Bin auch Aon User (siehe Custom Title).

Können auch noch andere AonUser schaun ob sie PortAtacks von Aon-IP's haben?

mfg

geforceraid Big d00d Registered: Mar 2003 Location: Uhrwerk Posts: 299	20.04.2004 - 18:53 Ich in habe letzter Zeit so viele Portscans. Keine Ahnung warum. Das komische ist, dass das nur AON-Speed User sind. Ich selbst hab das 4,5GB Angebot. Hab vorher nie Portscans gehabt, erst seit 3Tagen. Bevor ich svchost geblockt habe, hat netstat immer ausgegeben, dass eben diese IP eine Verbindung über diesen Systemservice etabliert hat. Will AON mir nachspionieren oder soll ich an abuse@aon ein mail schreiben? Sygate Security Log: ------------------------------------- 04/20/2004 18:42:33 Port Scan Minor Incoming TCP 62.47.xxxx 01-00-20-00-01-00 62.47.xxxx 00-00-01-00-00-00 admin ADMIN-819SOS6IA Normal 1 04/20/2004 18:42:33 04/20/2004 18:42:33 04/20/2004 18:42:31 Port Scan Minor Incoming TCP 62.47.xxx 01-00-20-00-01-00 62.47.xxx 00-00-01-00-00-00 admin ADMIN-819SOS6IA Normal 1 04/20/2004 18:42:31 04/20/2004 18:42:31 04/18/2004 19:37:48 Port Scan Minor Incoming TCP 62.47.xxx 02-00-20-00-02-00 62.47.xxx 00-00-02-00-00-00 admin ADMIN-819SOS6IA Normal 1 04/18/2004 19:37:48 04/18/2004 19:37:48 04/18/2004 19:37:42 Port Scan Minor Incoming TCP 62.47.xxx 02-00-20-00-02-00 62.47.xxx 00-00-02-00-00-00 admin ADMIN-819SOS6IA Normal 1 04/18/2004 19:37:42 04/18/2004 19:37:42 04/18/2004 19:37:39 Port Scan Minor Incoming TCP 62.47.xxx 02-00-20-00-02-00 62.47.xxx 00-00-02-00-00-00 admin ADMIN-819SOS6IA Normal 1 04/18/2004 19:37:39 04/18/2004 19:37:39 04/18/2004 11:30:56 Port Scan Minor Incoming TCP 62.47.xxx 01-00-20-00-01-00 62.47.xxx 00-00-01-00-00-00 admin ADMIN-819SOS6IA Normal 1 04/18/2004 11:30:56 04/18/2004 11:30:56 04/18/2004 11:30:50 Port Scan Minor Incoming TCP 62.47.xxx 01-00-20-00-01-00 62.47.xxx 00-00-01-00-00-00 admin ADMIN-819SOS6IA Normal 1 04/18/2004 11:30:50 04/18/2004 11:30:50 04/18/2004 11:30:56 Port Scan Minor Incoming TCP 62.47.xxx 01-00-20-00-01-00 62.47.xxx 00-00-01-00-00-00 admin ADMIN-819SOS6IA Normal 1 04/18/2004 11:30:56 04/18/2004 11:30:56 04/18/2004 11:30:47 Port Scan Minor Incoming TCP 62.47.xxx 01-00-20-00-01-00 62.47.xxx 00-00-01-00-00-00 admin ADMIN-819SOS6IA Normal 1 04/18/2004 11:30:47 04/18/2004 11:30:47 --------------------------------------
moidaschl Vollzeit-Hackler Registered: Aug 2002 Location: 1210, ABK-D/L Posts: 4029	20.04.2004 - 18:56 wenns immer der selbe ist, dann kannst es ja machen mhm wenns verschiedene wären, wärs mehr oder weniger egal IMHO da es aber der selbe dauernd ist kannst dich ja an AON wenden, die werden dir sicher helfen ein visual trace wär ned schlecht, dann weist mal wo dein scanner angesiedelt ist
daisho Vereinsmitglied SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19815	20.04.2004 - 18:57 Was für eine Firewall hast du ? Maybe irgendeine "Personal ..." ? Da steht Port Scan "Minor" ... soll das heißen nur ein Port!? Da steht ausserdem nicht welcher. Kann es sein, dass dies der normale Inbound-Traffic der Blaster-Verteiler (unwissende User) ist ? Edit: Ist ADMIN-XXXXX... dein Computername oder der Name des Rechners der Quelle?
geforceraid Big d00d Registered: Mar 2003 Location: Uhrwerk Posts: 299	20.04.2004 - 18:58 est ist immer eine andere IP und auch eine andere mac-Adresse. Visual-Trace würd glaub ich nicht viel bringen, da AON die IPs immer dynamisch vergibt. Ich wundere mich aber (da ich selbst eine dynamische IP habe) wie der Angreifer meine aktuelle IP immer herausfindet. Kann es sein, dass AON selbst mir nachspionieren will? edit: nein es sind mehrere Ports: Your computer's TCP ports: 6129, 139, 80, 135 and 2745 have been scanned from 62.47.xxx und immer 2 minuten später vom selben user: Your computer's TCP ports: 2745, 135, 1025, 445 and 6129 have been scanned from 62.47.xxx. komisch ist dass es nur AON-Speed User sind edit: Admin-XXXX ist mein Computername Bearbeitet von geforceraid am 20.04.2004, 19:54
daisho Vereinsmitglied SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19815	20.04.2004 - 18:59 Zitat von geforceraid Kann es sein, dass AON selbst mir nachspionieren will? Das glaube ich eher weniger, wäre illegal.
moidaschl Vollzeit-Hackler Registered: Aug 2002 Location: 1210, ABK-D/L Posts: 4029	20.04.2004 - 19:00 ich kanns mir ned vorstellen, sehr wohl möglich wäre aber, dass du einen trojaner am pc hast!
daisho Vereinsmitglied SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19815	20.04.2004 - 19:04 Hmmm, den Ports nach würd ich fast sagen es ist ein Kiddie Scan auf jeden Fall mal mit einem Trojaner-Scanner, auf Viren etc ... Die Ports sind ja allgemein bekannt dafür das sie offen sind (bis auf die über 1024)
geforceraid Big d00d Registered: Mar 2003 Location: Uhrwerk Posts: 299	20.04.2004 - 19:05 die Frage ist aber (da ich eine dynamische IP habe) wie der Angreifer immer meine aktuelle IP herausfindet. Ich werd jedenfalls mal Anti-Trojan und Norton installiern.
daisho Vereinsmitglied SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19815	20.04.2004 - 19:06 Wenn du einen Trojaner hast, ist eine dynamische IP schnurz, ausserdem muss es nicht sein dass du jedesmal beim Einwählen eine neue IP bekommst...
geforceraid Big d00d Registered: Mar 2003 Location: Uhrwerk Posts: 299	20.04.2004 - 19:07 doch das weiß ich ganz sicher
moidaschl Vollzeit-Hackler Registered: Aug 2002 Location: 1210, ABK-D/L Posts: 4029	20.04.2004 - 19:08 ja, ein trojaner telefoniert nach hause und gibt ihm deine jetzige IP . des is hald des deppade... lad dir div. progs runter => nw kabel ausse und scan deinen rechner durch :=)
dio Here to stay Registered: Nov 2002 Location: Graz Posts: 4961	20.04.2004 - 19:34 Zitat von geforceraid die Frage ist aber (da ich eine dynamische IP habe) wie der Angreifer immer meine aktuelle IP herausfindet. Ich werd jedenfalls mal Anti-Trojan und Norton installiern. aon hat ja nur einen bestimmten ip pool zur verfügung, wenn den jemand weiß lässt er einfach alle ips von x.x.x.x bis x.x.x.x durchscannen. btw. i hab auch andauernd solche portscans und bin ned mehr bei da telekom .
geforceraid Big d00d Registered: Mar 2003 Location: Uhrwerk Posts: 299	20.04.2004 - 19:42 Zitat von diokletian aon hat ja nur einen bestimmten ip pool zur verfügung, wenn den jemand weiß lässt er einfach alle ips von x.x.x.x bis x.x.x.x durchscannen. btw. i hab auch andauernd solche portscans und bin ned mehr bei da telekom . Das komische ist ja, dass ich diese erst seit 2 Tagen habe. Dürften rein rechtlich bei einer Strafverfolgung solche Methoden angewandt werden (zb. von AON)? edit: hast du die Portscans auch nur von AON-Speed User? Das erscheint mir ja komisch. Hab jetzt ein Mail an protected geschickt. Bearbeitet von geforceraid am 20.04.2004, 19:50
daisho Vereinsmitglied SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19815	20.04.2004 - 19:44 Hmmm, Datenschutzgesetz gibts eh ned. Die Polizei darf es sicher (gibts sowas wie ein Durchsuchungsbefehl für Computer ? ) und Firmen kommen sowieso an alle Informationen ran Aber so dauernde "billige" Portscans könnten höchstens Zufall/blödes Scriptkiddie das irgendwo ne Lücke sucht oder so sein
T3XT4 Beißer Registered: Jan 2003 Location: . Posts: 3794	22.04.2004 - 20:13 Hi! Also, ich hab auch des öfteren (sagen wir einmal pro Stunde) Portscans. Auch immer von 62.4x... Bin auch Aon User (siehe Custom Title). Können auch noch andere AonUser schaun ob sie PortAtacks von Aon-IP's haben? mfg

portscans

Forum Index > Hardware > Peripherie > Netzwerktechnik

geforceraid

moidaschl

daisho

geforceraid

daisho

moidaschl

daisho

geforceraid

daisho

geforceraid

moidaschl

dio

geforceraid

daisho

T3XT4