Trojaner-Meldung, was bedeutet sie

Dumdideldum

Here to stay

Registered: Jun 2001
Location: Vienna
Posts: 1511

30.01.2002 - 22:46

Vor kurzem habe ich die LOG-Datei meiner Linux-Firewall durstöbert, und dabei entdeckt, dass es einen vermeintlichen Einbruchsversuch gegeben hat.

Snort (das ist ein intrusion-detection-system unter linux) hat gemeldet, dass

xxx.xx.xxx.xxx:1370 einen Angriff auf meine IP yyy.yyy.yyy.yyy
mit dem Zusatz
Back orifice traffic detected
key 31337 welches mein Port ist.

Nun will ich wissen, wie dies zu verstehen ist.
Dass es sich um den Trojaner Back Orifice handelt ist schon klar.

Wie ist dies jedoch geschehen: Hat ein Hacker aktiv versucht, meinen Rechner mit Back-Orifice zu infizieren, oder geschieht das automatisiert, wie bei Viren?

Weiters möchte ich wissen, ob ich auf so einen Angriff, wenn er einer ist, überhaupt reagieren soll - sprich an den Admin der IP, die ich per ripe.net aufgelöst habe, eine Mail zu schreiben - ist dies überhaupt sinnvoll?

Daher wollte ich prinzipiell mal nachfragen, ob dieser "Angriff" auch wirklich einer ist, d.h. böswillig gemacht wurde, ohne gleich den Admin auf den User zu hetzen.

Komisch bei der Sache ist, dass sich die IP des Bösnigls im Adressenraum eines ungarischen GSM-Anbieters befindet.

thx

vEspertine

offline..

Registered: Sep 2000
Location: graz
Posts: 4753

30.01.2002 - 22:50

er hat vermutlich nur gschaut, ob bei dir ein bo server aktiv is.. solangst virenscanner hast gibts da aber ka problem..

mail mit log von firewall würd i auf jedenfall an den eigenen provider schicken.. die unternehmen sicher was dagegen (weiterleiten an isp vom attacker und der kriegt entweder a nettes mail, oder wird rausgschmissn)

mfg ska

Dumdideldum

Here to stay

Registered: Jun 2001
Location: Vienna
Posts: 1511

30.01.2002 - 22:52

Also ist dies mit voller Absicht geschehen?

vEspertine

offline..

Registered: Sep 2000
Location: graz
Posts: 4753

30.01.2002 - 23:01

soweit ich mich da auskenn schon..

also infizieren kann er dich nur, wennst a infiziertes file ausführst..

der attacker wird wahrscheinlich an portscan gmacht haben.. dh er schaut bei einer reihe von ip adressen, ob ein programm auf einem bestimmten port (bo is standartmässig 1370 glaubi ) aktiv ist.. wenn der server auf seinem port was empfängt gibt er antwort und dann kann der angreifer kontrolle über dein pc übernehmen..

Dumdideldum

Here to stay

Registered: Jun 2001
Location: Vienna
Posts: 1511

30.01.2002 - 23:06

Ist es nicht gescheiter, gleich an den Admin der Angreifer-IP eine Mail zu schreiben?
Nur wie gesagt:
Die Ip stammt von einem Adressenraum, der von keinem ISP stammt, sondern von einem ungarischen GSM-Anbieter

Ich überleg, ob es den Aufwand überhaupt wert ist, naja wir werden sehen.

mfg

MadDoc

Registered: Oct 2000
Location: Austria
Posts: 1814

31.01.2002 - 00:08

Ach vergiss es, war ja nur ein Portscan, um einen BO-Server zu finden, war also sicher nicht gezielt gegen dich gerichtet. Außerdem hast bei einer Breitbandverbindung hunderte solcher Scans täglich.
Also mein BlackIce Defender z.B. kommt kaum mit dem Log-File-schreiben nach, so oft wird bei mir auf BO,SubSeven und Co. gescannt. Wenn ich da jedesmal eine Mail an den Provider schreiben würde, hehe, dann könnt ich das hauptberuflich machen

Dumdideldum

Here to stay

Registered: Jun 2001
Location: Vienna
Posts: 1511

31.01.2002 - 10:49

Stimmt eh

Mit meiner Linux-Firewall sollt ich eh nix zu befürchten haben.

Dumdideldum Here to stay Registered: Jun 2001 Location: Vienna Posts: 1511	30.01.2002 - 22:46 Vor kurzem habe ich die LOG-Datei meiner Linux-Firewall durstöbert, und dabei entdeckt, dass es einen vermeintlichen Einbruchsversuch gegeben hat. Snort (das ist ein intrusion-detection-system unter linux) hat gemeldet, dass xxx.xx.xxx.xxx:1370 einen Angriff auf meine IP yyy.yyy.yyy.yyy mit dem Zusatz Back orifice traffic detected key 31337 welches mein Port ist. Nun will ich wissen, wie dies zu verstehen ist. Dass es sich um den Trojaner Back Orifice handelt ist schon klar. Wie ist dies jedoch geschehen: Hat ein Hacker aktiv versucht, meinen Rechner mit Back-Orifice zu infizieren, oder geschieht das automatisiert, wie bei Viren? Weiters möchte ich wissen, ob ich auf so einen Angriff, wenn er einer ist, überhaupt reagieren soll - sprich an den Admin der IP, die ich per ripe.net aufgelöst habe, eine Mail zu schreiben - ist dies überhaupt sinnvoll? Daher wollte ich prinzipiell mal nachfragen, ob dieser "Angriff" auch wirklich einer ist, d.h. böswillig gemacht wurde, ohne gleich den Admin auf den User zu hetzen. Komisch bei der Sache ist, dass sich die IP des Bösnigls im Adressenraum eines ungarischen GSM-Anbieters befindet. thx
vEspertine offline.. Registered: Sep 2000 Location: graz Posts: 4753	30.01.2002 - 22:50 er hat vermutlich nur gschaut, ob bei dir ein bo server aktiv is.. solangst virenscanner hast gibts da aber ka problem.. mail mit log von firewall würd i auf jedenfall an den eigenen provider schicken.. die unternehmen sicher was dagegen (weiterleiten an isp vom attacker und der kriegt entweder a nettes mail, oder wird rausgschmissn) mfg ska
Dumdideldum Here to stay Registered: Jun 2001 Location: Vienna Posts: 1511	30.01.2002 - 22:52 Also ist dies mit voller Absicht geschehen?
vEspertine offline.. Registered: Sep 2000 Location: graz Posts: 4753	30.01.2002 - 23:01 soweit ich mich da auskenn schon.. also infizieren kann er dich nur, wennst a infiziertes file ausführst.. der attacker wird wahrscheinlich an portscan gmacht haben.. dh er schaut bei einer reihe von ip adressen, ob ein programm auf einem bestimmten port (bo is standartmässig 1370 glaubi ) aktiv ist.. wenn der server auf seinem port was empfängt gibt er antwort und dann kann der angreifer kontrolle über dein pc übernehmen..
Dumdideldum Here to stay Registered: Jun 2001 Location: Vienna Posts: 1511	30.01.2002 - 23:06 Ist es nicht gescheiter, gleich an den Admin der Angreifer-IP eine Mail zu schreiben? Nur wie gesagt: Die Ip stammt von einem Adressenraum, der von keinem ISP stammt, sondern von einem ungarischen GSM-Anbieter Ich überleg, ob es den Aufwand überhaupt wert ist, naja wir werden sehen. mfg
MadDoc MadDoc Registered: Oct 2000 Location: Austria Posts: 1814	31.01.2002 - 00:08 Ach vergiss es, war ja nur ein Portscan, um einen BO-Server zu finden, war also sicher nicht gezielt gegen dich gerichtet. Außerdem hast bei einer Breitbandverbindung hunderte solcher Scans täglich. Also mein BlackIce Defender z.B. kommt kaum mit dem Log-File-schreiben nach, so oft wird bei mir auf BO,SubSeven und Co. gescannt. Wenn ich da jedesmal eine Mail an den Provider schreiben würde, hehe, dann könnt ich das hauptberuflich machen
Dumdideldum Here to stay Registered: Jun 2001 Location: Vienna Posts: 1511	31.01.2002 - 10:49 Stimmt eh Mit meiner Linux-Firewall sollt ich eh nix zu befürchten haben.

Trojaner-Meldung, was bedeutet sie

Forum Index > Hardware > Peripherie > Netzwerktechnik

Dumdideldum

vEspertine

Dumdideldum

vEspertine

Dumdideldum

MadDoc

Dumdideldum