WK 2026: Scoor de beste deals! Stel jouw winnende opstelling samen met behulp van ons advies.
Toon posts:

DOS attack? Port Scan?

Pagina: 1
Acties:
  • 445 views sinds 30-01-2008
  • Reageer

dinsdag 27 januari 2004 23:28

Acties:

Verwijderd

Topicstarter
Sinds enkele uren wordt mijn netwerk meerdere keren per minuut aangevallen vanaf internet, de laatste 15 min zo'n 127x vanaf 28 verschillende IP adressen. Via NSlookup blijken dat servers in Belgie, Italie, UK, etc. te zijn.

Het netwerk, bestaande uit 6 PCs, hangt via Wanadoo Cable Broadband Premium aan internet. Beveiliging is dmv een SMC Barricade 2804WBR router/firewall. Alle PCs zijn dmv MAC adressen aangemeld, verder staat alles dicht. WLAN access staat uit.

In de security log vind ik honderden entries:

code:
1
2
3
4
5
6
7
8
9

2004/01/27 22:35:24 : Blocked access attempt from 212.76.59.14
2004/01/27 22:35:19 : Blocked access attempt from 213.84.117.73
2004/01/27 22:35:19 : Blocked access attempt from 80.116.147.41
2004/01/27 22:35:18 : Blocked access attempt from 212.76.59.14
2004/01/27 22:35:16 : Blocked access attempt from 80.116.147.41
2004/01/27 22:35:15 : Blocked access attempt from 212.76.59.14
2004/01/27 22:35:10 : Blocked access attempt from 213.84.117.73
2004/01/27 22:35:07 : Blocked access attempt from 193.217.128.178
2004/01/27 22:34:56 : Blocked access attempt from 213.46.151.89


Inmiddels zijn 5 van de 6 PCs veiligheidshalve afgekoppeld. De 6e draait inmiddels ook ZoneAlarm Pro v4. Dit draaide niet ten tijde van alle meldingen, dus kan niet de oorzaak zijn.

Ik maak geen gebruik van P2P filesharing (dit staat allemaal dicht), wel van news maar dit is inmiddels zeer traag geworden (2 kB/s ipv 128).

Wat doe ik hieraan? Casema helpdesk is gesloten tot morgenochtend. Uit de logs van de firewall kan ik niet opmaken op welke port er geprobeerd wordt te connecten. Zone Alarm meldt dat wel maar blijkjbaar komt men nog niet voorbij de firewall, want de ZA logs blijven leeg.

Alle hulp wordt zeer gewaardeerd want ik wil de zaak graag weer ASAP normaal aan de praat hebben.

dinsdag 27 januari 2004 23:30

Acties:
  • Arno
  • Registratie: Juli 2000
  • Laatst online: 08-06 21:17

Arno

PF5A

Ik denk dat dit te maken heeft met een van de recentere virussen ;)

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

dinsdag 27 januari 2004 23:33

Acties:
  • Genghis Khan
  • Registratie: September 2001
  • Niet online

Genghis Khan

Arno schreef op 27 januari 2004 @ 23:30:
Ik denk dat dit te maken heeft met een van de recentere virussen ;)
Dat denk ik ook. Niets om je druk over te maken.

Als je duidelijkere logs wil, kun je DMZ aanzetten in de router naar de PC met zonealarm, dan kun je welke poort er aangevallen wordt, etc. Van de logfile uit je topicstart word je in ieder geval niet veel duidelijker.

dinsdag 27 januari 2004 23:34

Acties:
  • 0xDEADBEEF
  • Registratie: December 2003
  • Niet online

0xDEADBEEF

Arno schreef op 27 januari 2004 @ 23:30:
Ik denk dat dit te maken heeft met een van de recentere virussen ;)
Recentere.. er zijn nog steeds machines die niet tegen Blaster gepatched zijn :X

En niet beveiligde Windows PC's ? NetBIOS broadcast ?

edit:
@ TS: poortnummers perhaps ;) ?

[ Voor 4% gewijzigd door 0xDEADBEEF op 27-01-2004 23:35 ]

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

dinsdag 27 januari 2004 23:36

Acties:

Verwijderd

Topicstarter
Genghis Khan schreef op 27 januari 2004 @ 23:33:
[...]

Dat denk ik ook. Niets om je druk over te maken.

Als je duidelijkere logs wil, kun je DMZ aanzetten in de router naar de PC met zonealarm, dan kun je welke poort er aangevallen wordt, etc. Van de logfile uit je topicstart word je in ieder geval niet veel duidelijker.
Dat die logfile niet veel helpt snap ik ook wel. Dat is uitsluitend om te voorkomen dat iedereen om de logfile gaat vragen ;)

Die truc met DMZ daar had ik niet aan gedacht, ik ga het nu even proberen. bedankt zover!

dinsdag 27 januari 2004 23:41

Acties:

Verwijderd

Topicstarter
LaLaLand schreef op 27 januari 2004 @ 23:34:
[...]

Recentere.. er zijn nog steeds machines die niet tegen Blaster gepatched zijn :X

En niet beveiligde Windows PC's ? NetBIOS broadcast ?

edit:
@ TS: poortnummers perhaps ;) ?
Ik neem aan dat je het nu over niet beveiligde PCs buiten mijn netwerk hebt? Mijn PCs zijn allemaal volledig up to date:

- zondag nog de laatste Micros*ft patches geinstalleerd
- antivirus software van McAfee is van vandaag, virus definities v4.0.4319

Ze draaien default ZoneAlarm als secondary defense. Niet dat er iets voorbij de firewall zou moeten kunnen komen, maar toch...

dinsdag 27 januari 2004 23:44

Acties:
  • MikeN
  • Registratie: April 2001
  • Laatst online: 19:44

MikeN

Als jij op die router geen portforwardings hebt hoef je je echt nergens druk over te maken :)
Gewoon wat virussen/kiddo's/w/e die aan het klooien zijn.

dinsdag 27 januari 2004 23:46

Acties:
  • 0xDEADBEEF
  • Registratie: December 2003
  • Niet online

0xDEADBEEF

Verwijderd schreef op 27 januari 2004 @ 23:41:
Ik neem aan dat je het nu over niet beveiligde PCs buiten mijn netwerk hebt?
Jep.
Verwijderd schreef op 27 januari 2004 @ 23:41:
- zondag nog de laatste Micros*ft patches geinstalleerd
MicroSoft mag je hier gewoon voluit spellen hoor :>
Verwijderd schreef op 27 januari 2004 @ 23:36:
[...]


Dat die logfile niet veel helpt snap ik ook wel. Dat is uitsluitend om te voorkomen dat iedereen om de logfile gaat vragen ;)

Die truc met DMZ daar had ik niet aan gedacht, ik ga het nu even proberen. bedankt zover!
Ik zou niet weten hoe je echt antwoord zou willen krijgen zonder poortnummers en/of protocol :7

Maar goed, enough flaming, ik zou een andere firewall installeren ( kerio bijv. ) die heeft die logfunctie wel.

Want zoals je in je startpost/topictitel vroeg: "DoS of Portscan ?" valt IMO nu niet 1 2 3 te beoordelen B)

Woops bijna 0:00 bedtijd :z

[ Voor 3% gewijzigd door 0xDEADBEEF op 27-01-2004 23:48 ]

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

dinsdag 27 januari 2004 23:55

Acties:

Verwijderd

als je geluk hebt gaat het vanzelf weer weg, voor de rest kan je er toch weinig tegen doen.
of je moet een andere ip aanvragen bij casema, maarja dan is de volgende gebruiker de klos.
op mijn isa firewall/proxy server heb ik dus ingestelt staan dat het ip geblockt wordt als er meer als 5 poorten achter elkaar gescand worden.
het scannen stopt dan wel niet maar mocht er een exploit zijn, dan kunnen ze er niks meer mee.
maar de lijst met ip's is niet erg groot.
mischien is dat bij jouw ook mogelijk.

[ Voor 12% gewijzigd door Verwijderd op 27-01-2004 23:56 ]

dinsdag 27 januari 2004 23:57

Acties:

Verwijderd

Topicstarter
OK, de truc met DMZ werkt! Binnen een paar minuten tientallen hits op port 1084, oftewel Anasoft License Manager.

Dat zegt me verder helemaal niets dus ik neem aan dat het inderdaad het gevolg is van een virus. Zo te zien gaat het wel rap rond want inmiddels krijg ik inbound connecties vanuit zo ongeveer heel West-Europa ;)

Ik maak me er verder niet zo heel druk om maar mijn internet verbinding ligt bijna stil en die heb ik vannacht toch echt wel nodig (nadeel van zaken doen met Singapore en de USA).

Maar ik ben bang dat er niets anders op zit dan morgen Casema te vragen port 1084 op hun routers dicht te gooien, dan heb ik er in elk geval geen last meer van.

Tenzij jullie nog suggesties hebben, natuurlijk...

dinsdag 27 januari 2004 23:58

Acties:
  • Mizitras
  • Registratie: September 2002
  • Niet online

Mizitras

Heel wat gebruikers van firewalls gaan opeens doro het lint omdat ze plots toevallig die dag opeens wroden aangevallen en dergelijke.

Ook bij dit geval: Trek het je niet aan. Is harmless.

"the fucking alpha cpp compiler seems to fuck up the goddam type "LPITEMIDLIST", so to work around the fucking peice of shit compiler we pass the last param as an void *instead of a LPITEMIDLIST"

dinsdag 27 januari 2004 23:59

Acties:
  • Jimbolino
  • Registratie: Januari 2001
  • Laatst online: 01-06 18:37

Jimbolino

troep.com

het zou evt. een ddos attack kunnen zijn, maar dan zou iemand jouw ip adres moeten hebben, en een reden moeten hebben om jou te ddossen natuurlijk :)

de ip adressen:
14-moc-8.acn.waw.pl [212.76.59.14]
213-84-117-73.adsl.xs4all.nl [213.84.117.73]
host41-147.pool80116.interbusiness.it [80.116.147.41]
217-128-178.adsl.tele2.no [193.217.128.178]
d151089.upc-d.chello.nl [213.46.151.89]

je kunt allemaal abuse mailtjes richting hun providers sturen... Zodat de gebruikers worden geinformeerd over een evt. virus op hun pc.

Als het dus echt een ddos is, is er weinig wat de Casema helpdesk kan doen. Het enige wat ze wel kunnen doen is je een nieuwe hostname+ip geven.

The two basic principles of Windows system administration:
For minor problems, reboot
For major problems, reinstall

woensdag 28 januari 2004 00:08

Acties:

Verwijderd

Topicstarter
Mizitras schreef op 27 januari 2004 @ 23:58:
Heel wat gebruikers van firewalls gaan opeens doro het lint omdat ze plots toevallig die dag opeens wroden aangevallen en dergelijke.

Ook bij dit geval: Trek het je niet aan. Is harmless.
Vriend ;) ik ben al sinds 1996 part time systeem beheerder van diverse netwerken. Ik ga niet zo snel door het lint hoor...

Maar, een DOS attack is een Denial of Service. En dat is precies de reden waarom ik het me wel aantrek. Ik kan gewoon mijn werk niet goed doen door dit gelazer. En volgens mij heeft Casema het zelf ook zwaar want diverse servers zijn errug traag.

Vandaar toch enige activiteit van mijn kant. Ik heb inmiddels mijn hele IP netwerk op een ander public IP adres gehangen, en het lijkt nu opgelost te zijn.

De vraag is natuurlijk voor hoelang... Waarschijnlijk heeft DutchTubbie hierboven gelijk en is nu een andere Casema klant de sigaar :X

[ Voor 7% gewijzigd door Verwijderd op 28-01-2004 00:11 ]

woensdag 28 januari 2004 07:59

Acties:

Verwijderd

PNS > NT :)

woensdag 28 januari 2004 09:29

Acties:
  • _JGC_
  • Registratie: Juli 2000
  • Laatst online: 01:08

_JGC_

Zolang je een internetroutertje gebruikt kan je overigens firewalls als zonealarm wel lozen op die bakken, die zijn dan toch al beschermd van buitenaf. Misschien dat je nog per programma wilt bepalen wat er op een PC naar buiten mag, dan is zonealarm nog wel nuttig, wil je dat niet -> lozen die troep.

Verder kan je net zo goed die logging van je firewall geval uitzetten, wat interesseert het jou nou of iemand probeert te kijken welke poortjes jij open hebt, jaag je jezelf alleen maar mee op. Vergelijk het maar met de politie bellen zodra iemand die zn hondje even uitlaat bij jou de ramen binnenkijkt, dat doe je ook niet.

woensdag 28 januari 2004 09:34

Acties:

Verwijderd

JGC, hij heeft Zonealarm geinstalleerd om te kunnen kijken welke poorten worden benadert, dit kan hij namelijk niet in z'n log van de router vinden

woensdag 28 januari 2004 11:02

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op 28 januari 2004 @ 07:59:
PNS > NT :)
Dit heeft toch helemaal niets met Network Trouble shooting te maken? Het netwerk werkt prima, alleen wordt er geprobeerd de boel te saboteren.

Net zo goed als ik dan contact opneem met beheerders van systemen waarvandaan de aanvallen komen, doe ik dat hier dan toch ook met collega beheerders???

Misschien moet je toch nog eens goed uitleggen wat er dan wel in PNS thuishoort.

woensdag 28 januari 2004 11:38

Acties:

Verwijderd

Topicstarter
_JGC_ schreef op 28 januari 2004 @ 09:29:
Zolang je een internetroutertje gebruikt kan je overigens firewalls als zonealarm wel lozen op die bakken, die zijn dan toch al beschermd van buitenaf. Misschien dat je nog per programma wilt bepalen wat er op een PC naar buiten mag, dan is zonealarm nog wel nuttig, wil je dat niet -> lozen die troep.

Verder kan je net zo goed die logging van je firewall geval uitzetten, wat interesseert het jou nou of iemand probeert te kijken welke poortjes jij open hebt, jaag je jezelf alleen maar mee op. Vergelijk het maar met de politie bellen zodra iemand die zn hondje even uitlaat bij jou de ramen binnenkijkt, dat doe je ook niet.
Niet mee eens. Als er nu op een van de PCs een ZoneAlarm melding komt, weet ik dat mijn firewall op de een of andere manier niet waterdicht is.

Lees maar eens een goed boek over security, dan begrijp je waarom dat zo handig is. Bijvoorbeeld "Practical Unix & Internet Security" van Garfinkel & Spafford, of "Building Internet Firewalls" van Chapman en Zwicky.

Ik moet overigens toegeven dat ik die boeken ook pas gekocht had nadat ik een keer live meemaakte dat de dure professionele firewall bij een groot IT bedrijf in Nederland zo lek als een mandje bleek te zijn :X

Configuratiefout, dat wel, maar toch. Dat kan iedereen overkomen vandaar die second line of defense.

En het kan geen kwaad een seintje te krijgen als er iemand tevergeefs aan de deuren rammelt. De volgende poging zou namelijk wel kunnen lukken. Natuurlijk waarschuw je niet onmiddelijk de politie maar je komt wel in actie na enkele duizenden pogingen in een paar uur tijd.

woensdag 28 januari 2004 11:53

Acties:
  • bjck
  • Registratie: Mei 2000
  • Laatst online: 03-01 20:09

bjck

Is het niet zo bij casema (cable.wanadoo) dat wanneer je de PPPoE of IPSECtunnel (motorola modems) disconnect en re-connect je een ander ip krijgt van de DHCP? Dat is wel het geval met de motorola modems in iedergeval bij mijn ouders.

Dan moet je er vanaf zijn lijkt me :P

Hmmz lees zojuist in andere thread:

http://eservice.casema.tv...e/helpdesk/dhcp/dhcp.html

Moet ik langs mijn ouders zo te lezen :D

[ Voor 23% gewijzigd door bjck op 28-01-2004 11:58 ]

Een onderschrift moet altijd zinvol zijn.

woensdag 28 januari 2004 12:00

Acties:
  • Erkens
  • Registratie: December 2001
  • Niet online

Erkens

Fotograaf

Verwijderd schreef op 28 januari 2004 @ 11:02:
Dit heeft toch helemaal niets met Network Trouble shooting te maken? Het netwerk werkt prima, alleen wordt er geprobeerd de boel te saboteren.
ehm, je hebt toch een probleem? een "DoS-attack" ;)

Uit de PNS Faq:
Professional Networking en Servers is vast dé plek om mijn vraag onder de aandacht te brengen bij de échte experts?

Helaas niet. Professional Networking & Servers is bedoeld voor de gevorderde netwerkproblemen en serverproblemen.
Net zo goed als ik dan contact opneem met beheerders van systemen waarvandaan de aanvallen komen, doe ik dat hier dan toch ook met collega beheerders???
ehm, alsof die niet in NT zitten :/

woensdag 28 januari 2004 16:32

Acties:

Verwijderd

eh 127x64/15/60 = nog niet eens 10 bytes/seconde nou, als dat een dos attack moet zijn ???? daar krijg je nog niet eens een 2400 baud modem mee in de stress dusssss leave it, stopt vanzelf wel weer.

port scan op alleen 1084 ????? nee, lijkt me ook stug dat je dan maar 1 poort polled, m.a.w. je zult wel een vaag stukje software gebruikt hebben die je ip aan andere clients doorgeeft.

maarre kzou dan ff een paar frames capturen met een sniffer, mischien dat je wat meer ziet.

[ Voor 42% gewijzigd door Verwijderd op 28-01-2004 16:39 ]

woensdag 28 januari 2004 17:00

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op 28 januari 2004 @ 16:32:
eh 127x64/15/60 = nog niet eens 10 bytes/seconde nou, als dat een dos attack moet zijn ???? daar krijg je nog niet eens een 2400 baud modem mee in de stress dusssss leave it, stopt vanzelf wel weer.
Jij berekent de hoeveelheid data die in de logfile terecht komt. Dat is niet interessant. De vraag is hoeveel data er over het netwerk gepompt wordt EN hoe alle netwerk componenten daarop REAGEREN. Daarbij is het soort data veel belangrijker dan de hoeveelheid. Een berucht voorbeeld is de 'ping of death'. Daarbij gaat het ook maar om enkele bytes, maar voldoende om sommige systemen plat te krijgen.
port scan op alleen 1084 ????? nee, lijkt me ook stug dat je dan maar 1 poort polled, m.a.w. je zult wel een vaag stukje software gebruikt hebben die je ip aan andere clients doorgeeft.
Een port scan hoeft niet alle portnumbers af te fietsen. Je kunt ook gewoon heel veel IP adressen op hetzelfde portnumber scannen. Sterker nog, dat komt veel vaker voor dan hele portnumber reeksen. Simpelweg, omdat bepaalde portnumbers en gerelateerde software, bekende zwakke punten zijn.

In dit geval blijken er veel Casema klanten + Casema zelf 'gescand' te zijn. Volgens een man van tech support zijn er verschillende systemen down gegaan.
maarre kzou dan ff een paar frames capturen met een sniffer, mischien dat je wat meer ziet.
Absoluut, dat zou de volgende stap zijn. Maar vooralsnog heeft een wijziging van IP adres het probleem voor 90% opgelost. Hoewel ik vermoed dat Casema zelf ook wel wat security maatregelen genomen heeft.

woensdag 28 januari 2004 17:15

Acties:
  • nzyme
  • Registratie: November 2001
  • Laatst online: 26-04 08:04

nzyme

terror

idd, sniffen met ethereal ofzo en misschien ff netspeed runnen, kan je meteen zien hoeveel dr in en uit de pc gaat.

| Hardcore - Terror |

woensdag 28 januari 2004 22:26

Acties:

Verwijderd

hoe veel data dacht jij dan dat een tcp syn pakket is ?

Hoe weet je dat het een scan van dezelfde poort is op meerdere ip's ? (je hebt er toch maar een ?)

woensdag 28 januari 2004 22:31

Acties:

Verwijderd

Als je zone-alarm gaat gebruiken is het handig om daarnaast ZoneLog Analyser te draaine. Daarmee kun je in 1 oogopslag zien mogelijke wat scans, trojans, attacks enzo zijn.

donderdag 29 januari 2004 00:10

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op 28 januari 2004 @ 22:26:
hoe veel data dacht jij dan dat een tcp syn pakket is ?

Hoe weet je dat het een scan van dezelfde poort is op meerdere ip's ? (je hebt er toch maar een ?)
SYN is geen pakket, maar een bit in een TCP segment, dat verder geen data hoeft te bevatten. Kortom, bij een SYN flood (ik neem aan dat je daar op doelt), heb je ook maar heel weinig data nodig om een flink probleem te veroorzaken. Er gaan verhalen rond over slechts 360 SYNs per uur om een systeem volledig over de zeik te helpen...

Het feit dat het een scan is van dezelfde poort op meerdere IPs ontleen ik aan uitspraken van tech support van Casema, die het op diverse systemen waargenomen hebben. Daarnaast beschik ik over meerdere IP adressen, waarvan 1 dynamisch. Op al die adressen kwam deze 'wave' voorbij, en telkens op port 1084.

donderdag 29 januari 2004 10:03

Acties:

Verwijderd

Verwijderd schreef op 28 januari 2004 @ 17:00:
[...]


Jij berekent de hoeveelheid data die in de logfile terecht komt. Dat is niet interessant. De vraag is hoeveel data er over het netwerk gepompt wordt EN hoe alle netwerk componenten daarop REAGEREN. Daarbij is het soort data veel belangrijker dan de hoeveelheid. Een berucht voorbeeld is de 'ping of death'. Daarbij gaat het ook maar om enkele bytes, maar voldoende om sommige systemen plat te krijgen.
dos en ddos verschil. zou je als netwerkbeheerder toch moeten weten... aangezien je overal vandaan de aanval krijgt >> ddos lijkt me.

ping of death is achterhaald. zover ik weet waren dat alleen NT4 systemen t/m sp2. maar idd een voorbeeld van een dos attack.

overigens lijken me het gewoon scans naar dit... tcp WinHole [trojan] WinHole. als netwerk beheerder zou je toch ook moeten weten dat het best iets anders kan zijn dan anasoft license manager...

[ Voor 13% gewijzigd door Verwijderd op 29-01-2004 10:10 ]

donderdag 29 januari 2004 13:40

Acties:
  • MikeN
  • Registratie: April 2001
  • Laatst online: 19:44

MikeN

Verwijderd schreef op 29 januari 2004 @ 00:10:
[...]


SYN is geen pakket, maar een bit in een TCP segment, dat verder geen data hoeft te bevatten. Kortom, bij een SYN flood (ik neem aan dat je daar op doelt), heb je ook maar heel weinig data nodig om een flink probleem te veroorzaken. Er gaan verhalen rond over slechts 360 SYNs per uur om een systeem volledig over de zeik te helpen...
Het probleem bij een SYN flood is dat je "nieuwe" verbindingen binnenkrijgt en die bijgehouden moeten worden door je TCP/IP stack. Als die het niet meer kan bijhouden, omdat het teveel geheugen kost bijvoorbeeld, kan je systeem inderdaad over de zeik gaan.

Gelukkig bieden firewalls en sommige kernels (Linux heeft bv syncookies) hier tegenwoordig wel een goede bescherming tegen. Ik kreeg laatst een synflood van 500+ pakketjes per seconde, en de pc handelde het wel goed af. Enige die het minder leuk vond was m'n ADSL verbinding, die nogal vol zat :p

Dus of 360 SYN pakketjes per uur genoeg is om een systeem over de zeik te helpen betwijfel ik.

donderdag 29 januari 2004 14:05

Acties:
  • JeroenT
  • Registratie: Juli 2001
  • Laatst online: 07-06 14:42

JeroenT

hoi!

Kortom , weer veel geblaat van een simpel routertje ;)

donderdag 29 januari 2004 14:12

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op 29 januari 2004 @ 10:03:
[...]

dos en ddos verschil. zou je als netwerkbeheerder toch moeten weten... aangezien je overal vandaan de aanval krijgt >> ddos lijkt me.
Klopt helemaal. DDOS is ook DOS, maar iets specifieker. Antwoord rekenen we goed, je gaat door voor de koelkast ;)
ping of death is achterhaald. zover ik weet waren dat alleen NT4 systemen t/m sp2. maar idd een voorbeeld van een dos attack.
Was het maar zo simpel. MacOS, Dec Unix, Solaris, OpenVMS, Win95, AIX, zelfs Linux :( Inmiddels is het inderdaad grotendeels achterhaald, alle OSen en routers zijn gepatched mag ik hopen. Het was dan ook slechts een (oud) voorbeeld hoe je met heel weinig dataverkeer toch een hoop schade aan kunt richten.
overigens lijken me het gewoon scans naar dit... tcp WinHole [trojan] WinHole. als netwerk beheerder zou je toch ook moeten weten dat het best iets anders kan zijn dan anasoft license manager...
Tuurlijk. Anasoft heeft dat portnumber waarschijnlijk in het jaar 1853 toegewezen gekregen. Ik weet niet eens of die club nog bestaat. Anasofts genoeg op internet, dat wel.

Maar ik ben met je eens dat de kans groot is dat iemand gewoon op zoek is naar een achterdeurtje. Ik zie Winhole [trojan] overigens niet bij port 1084 staan, wel bij 1083. Toch denk ik inderdaad dat het wel zoiets als WinHole moet zijn. Maar ja, iedereen is nu op MyDoom gefocussed :X
Pagina: 1
Reageer