Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
Neuer Wurm ...?

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sicherheit
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
Stormbringer



Anmeldungsdatum: 11.01.2001
Beiträge: 1570
Wohnort: Ruhrgebiet

BeitragVerfasst am: 10. Apr 2002 20:51   Titel: Neuer Wurm ...?

Hallo,

ist ein neuer Wurm unterwegs, oder wird nur einfach so versucht, den Rechner zu knacken?
code:

Apr 10 20:27:27 gateway pppd[1481]: rcvd [LCP EchoRep id=0x93 magic=0x173d634c] 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
Apr 10 20:27:40 gateway kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=24.94.90.66 DST=80.135.141.221 LEN=48 TOS=0x00 PREC=0x00 TTL=107 ID=37460 DF PROTO=TCP SPT=1678 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204059C01010402)
Apr 10 20:27:43 gateway kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=24.94.90.66 DST=80.135.141.221 LEN=48 TOS=0x00 PREC=0x00 TTL=107 ID=37716 DF PROTO=TCP SPT=1678 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204059C01010402)
Apr 10 20:27:49 gateway kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=24.94.90.66 DST=80.135.141.221 LEN=48 TOS=0x00 PREC=0x00 TTL=107 ID=37972 DF PROTO=TCP SPT=1678 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204059C01010402)
Apr 10 20:27:57 gateway pppd[1481]: sent [LCP EchoReq id=0x94 magic=0xd96b6c15]
...
Apr 10 20:41:27 gateway pppd[1481]: sent [LCP EchoReq id=0xaf magic=0xd96b6c15]
Apr 10 20:41:27 gateway pppd[1481]: rcvd [LCP EchoRep id=0xaf magic=0x173d634c] 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
Apr 10 20:41:53 gateway kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=67.218.13.131 DST=80.135.141.221 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=51023 DF PROTO=TCP SPT=1753 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204021801010402)
Apr 10 20:41:56 gateway kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=67.218.13.131 DST=80.135.141.221 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=54863 DF PROTO=TCP SPT=1753 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204021801010402)
Apr 10 20:41:57 gateway pppd[1481]: sent [LCP EchoReq id=0xb0 magic=0xd96b6c15]
Apr 10 20:41:57 gateway pppd[1481]: rcvd [LCP EchoRep id=0xb0 magic=0x173d634c] 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
Apr 10 20:42:02 gateway kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=67.218.13.131 DST=80.135.141.221 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=59983 DF PROTO=TCP SPT=1753 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204021801010402)
Apr 10 20:42:14 gateway kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=67.218.13.131 DST=80.135.141.221 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=4688 DF PROTO=TCP SPT=1753 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204021801010402)
Apr 10 20:42:27 gateway pppd[1481]: sent [LCP EchoReq id=0xb1 magic=0xd96b6c15]
...
Apr 10 21:41:30 gateway pppd[1481]: sent [LCP EchoReq id=0x27 magic=0xd96b6c15]
Apr 10 21:41:30 gateway pppd[1481]: rcvd [LCP EchoRep id=0x27 magic=0x173d634c] 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
Apr 10 21:41:45 gateway kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=217.164.243.55 DST=80.135.141.221 LEN=48 TOS=0x00 PREC=0x00 TTL=108 ID=6152 DF PROTO=TCP SPT=4430 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (02040F6601010402)
Apr 10 21:41:48 gateway kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=217.164.243.55 DST=80.135.141.221 LEN=48 TOS=0x00 PREC=0x00 TTL=108 ID=6664 DF PROTO=TCP SPT=4430 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (02040F6601010402)
Apr 10 21:41:54 gateway kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=217.164.243.55 DST=80.135.141.221 LEN=48 TOS=0x00 PREC=0x00 TTL=108 ID=7432 DF PROTO=TCP SPT=4430 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (02040F6601010402)
Apr 10 21:42:00 gateway pppd[1481]: sent [LCP EchoReq id=0x28 magic=0xd96b6c15]
Apr 10 21:42:00 gateway pppd[1481]: rcvd [LCP EchoRep id=0x28 magic=0x173d634c] 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
Apr 10 21:42:06 gateway kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=217.164.243.55 DST=80.135.141.221 LEN=48 TOS=0x00 PREC=0x00 TTL=108 ID=8712 DF PROTO=TCP SPT=4430 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (02040F6601010402)
Apr 10 21:42:30 gateway pppd[1481]: sent [LCP EchoReq id=0x29 magic=0xd96b6c15]
Apr 10 21:42:38 gateway pppd[1481]: rcvd [LCP EchoRep id=0x29 magic=0x173d634c] 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
...


usw. usf.

Gruß
_________________
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
 
Benutzer-Profile anzeigen Private Nachricht senden

MrDeath
Gast





BeitragVerfasst am: 11. Apr 2002 16:07   Titel: Re: Neuer Wurm ...?

Hi,

sieht nach nem normalen Portscan auf Port 139 (vermutlich über ein größeres Subnet) aus. Da wird wohl nur wieder jemand überprüft haben, ob sich ein Opfer unter den T-Online-Kunden befindet (der ohne Router oder Firewall über T-DSL ins Netz geht), der vergessen hat, die Netzwerk-Freigabe seines Windows-Rechners zu deaktivieren ... Ist ja die einfachste Angriffsstelle, wenn man ein Windows-System angreifen will. Wahrscheinlich sollte es hierfür schon fertige Exploits geben, damit auch Script-Kiddies sich wieder Hacker schimpfen wollen

Keine Sorge, solche Einträge habe ich (ebenfalls T-Online-Kunde) auch tagtäglich in den Logfiles stehen, die machen zwar ne Sauerei in den Logfiles, aber in Deutschland sind Portscans ja erlaubt (dazu sage ich aber nichts mehr) ...
 

Stormbringer



Anmeldungsdatum: 11.01.2001
Beiträge: 1570
Wohnort: Ruhrgebiet

BeitragVerfasst am: 12. Apr 2002 16:30   Titel: Re: Neuer Wurm ...?

... ups, hatte ich ja die Hälfte vergessen ...

Es gab dazu noch eine Menge Einträge im httpd/error_log. Es wurde nach WinNT/2000/... Verzeichnisstrukturen, bzw. Systemdateien gesucht.

Angst habe ich da keine .. hehehe ...

Gruß
_________________
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
 
Benutzer-Profile anzeigen Private Nachricht senden

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sicherheit Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy