Neuer Wurm ...?

Message

#1 Post by **Stormbringer** » 10. Apr 2002 20:51

Hallo,

ist ein neuer Wurm unterwegs, oder wird nur einfach so versucht, den Rechner zu knacken?
<blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">
Apr 10 20:27:27 gateway pppd[1481]: rcvd [LCP EchoRep id=0x93 magic=0x173d634c] 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
Apr 10 20:27:40 gateway kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=24.94.90.66 DST=80.135.141.221 LEN=48 TOS=0x00 PREC=0x00 TTL=107 ID=37460 DF PROTO=TCP SPT=1678 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204059C01010402)
Apr 10 20:27:43 gateway kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=24.94.90.66 DST=80.135.141.221 LEN=48 TOS=0x00 PREC=0x00 TTL=107 ID=37716 DF PROTO=TCP SPT=1678 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204059C01010402)
Apr 10 20:27:49 gateway kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=24.94.90.66 DST=80.135.141.221 LEN=48 TOS=0x00 PREC=0x00 TTL=107 ID=37972 DF PROTO=TCP SPT=1678 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204059C01010402)
Apr 10 20:27:57 gateway pppd[1481]: sent [LCP EchoReq id=0x94 magic=0xd96b6c15]
...
Apr 10 20:41:27 gateway pppd[1481]: sent [LCP EchoReq id=0xaf magic=0xd96b6c15]
Apr 10 20:41:27 gateway pppd[1481]: rcvd [LCP EchoRep id=0xaf magic=0x173d634c] 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
Apr 10 20:41:53 gateway kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=67.218.13.131 DST=80.135.141.221 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=51023 DF PROTO=TCP SPT=1753 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204021801010402)
Apr 10 20:41:56 gateway kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=67.218.13.131 DST=80.135.141.221 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=54863 DF PROTO=TCP SPT=1753 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204021801010402)
Apr 10 20:41:57 gateway pppd[1481]: sent [LCP EchoReq id=0xb0 magic=0xd96b6c15]
Apr 10 20:41:57 gateway pppd[1481]: rcvd [LCP EchoRep id=0xb0 magic=0x173d634c] 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
Apr 10 20:42:02 gateway kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=67.218.13.131 DST=80.135.141.221 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=59983 DF PROTO=TCP SPT=1753 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204021801010402)
Apr 10 20:42:14 gateway kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=67.218.13.131 DST=80.135.141.221 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=4688 DF PROTO=TCP SPT=1753 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (0204021801010402)
Apr 10 20:42:27 gateway pppd[1481]: sent [LCP EchoReq id=0xb1 magic=0xd96b6c15]
...
Apr 10 21:41:30 gateway pppd[1481]: sent [LCP EchoReq id=0x27 magic=0xd96b6c15]
Apr 10 21:41:30 gateway pppd[1481]: rcvd [LCP EchoRep id=0x27 magic=0x173d634c] 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
Apr 10 21:41:45 gateway kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=217.164.243.55 DST=80.135.141.221 LEN=48 TOS=0x00 PREC=0x00 TTL=108 ID=6152 DF PROTO=TCP SPT=4430 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (02040F6601010402)
Apr 10 21:41:48 gateway kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=217.164.243.55 DST=80.135.141.221 LEN=48 TOS=0x00 PREC=0x00 TTL=108 ID=6664 DF PROTO=TCP SPT=4430 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (02040F6601010402)
Apr 10 21:41:54 gateway kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=217.164.243.55 DST=80.135.141.221 LEN=48 TOS=0x00 PREC=0x00 TTL=108 ID=7432 DF PROTO=TCP SPT=4430 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (02040F6601010402)
Apr 10 21:42:00 gateway pppd[1481]: sent [LCP EchoReq id=0x28 magic=0xd96b6c15]
Apr 10 21:42:00 gateway pppd[1481]: rcvd [LCP EchoRep id=0x28 magic=0x173d634c] 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
Apr 10 21:42:06 gateway kernel: SuSE-FW-DROP IN=ppp0 OUT= MAC= SRC=217.164.243.55 DST=80.135.141.221 LEN=48 TOS=0x00 PREC=0x00 TTL=108 ID=8712 DF PROTO=TCP SPT=4430 DPT=139 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (02040F6601010402)
Apr 10 21:42:30 gateway pppd[1481]: sent [LCP EchoReq id=0x29 magic=0xd96b6c15]
Apr 10 21:42:38 gateway pppd[1481]: rcvd [LCP EchoRep id=0x29 magic=0x173d634c] 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
...
</font><hr></pre></blockquote>
usw. usf.

Gruß

MrDeath · #2 Post by **MrDeath** » 11. Apr 2002 16:07

Hi,

sieht nach nem normalen Portscan auf Port 139 (vermutlich über ein größeres Subnet) aus. Da wird wohl nur wieder jemand überprüft haben, ob sich ein Opfer unter den T-Online-Kunden befindet (der ohne Router oder Firewall über T-DSL ins Netz geht), der vergessen hat, die Netzwerk-Freigabe seines Windows-Rechners zu deaktivieren ... Ist ja die einfachste Angriffsstelle, wenn man ein Windows-System angreifen will. Wahrscheinlich sollte es hierfür schon fertige Exploits geben, damit auch Script-Kiddies sich wieder Hacker schimpfen wollen <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

Keine Sorge, solche Einträge habe ich (ebenfalls T-Online-Kunde) auch tagtäglich in den Logfiles stehen, die machen zwar ne Sauerei in den Logfiles, aber in Deutschland sind Portscans ja erlaubt (dazu sage ich aber nichts mehr) ...

#3 Post by **Stormbringer** » 12. Apr 2002 16:30

... ups, hatte ich ja die Hälfte vergessen ... <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle">

Es gab dazu noch eine Menge Einträge im httpd/error_log. Es wurde nach WinNT/2000/... Verzeichnisstrukturen, bzw. Systemdateien gesucht.

Angst habe ich da keine .. <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle"> hehehe ...

Gruß

Pro-Linux

Neuer Wurm ...?

Neuer Wurm ...?

Re: Neuer Wurm ...?

Re: Neuer Wurm ...?