Ik heb nu in 2 dagen al zo'n 100 portscans gehad vanaf verschillende ip adressen. Alle IP adressen geblokkeerd in mijn firewall maar er blijven nieuwe komen. Iemand enig idee wat er aan de hand kan zijn? Lijkt een nogal koppige hacker te zijn.
Het zal niet 1 hacker zijn geweest omdat je zegt dat er meerdere ip adressen zijn. Je zou een firewall kunnen nemen (of een andere) of proberen contact te zoeken met de hacker en/of isp om hem zo erop te wijzen dat hij niet echt lief bezig is 
Verder kan je alle onnodige poorten dicht zetten (kijk hier eens: http://grc.com/default.htm), en je verder niet zo druk maken
Verder kan je alle onnodige poorten dicht zetten (kijk hier eens: http://grc.com/default.htm), en je verder niet zo druk maken
[ Voor 22% gewijzigd door UTM op 03-04-2004 18:18 ]
:strip_exif()/u/46648/psycho.gif?f=community)
Heb zoals ik al schreef de grote van mijn traffic log vergroot, want de logs van de scans zijn al overschreven omdat de log size te klein was. Nu is het wachten op een portscan om te zien welke incoming en outgoing ports er gebruikt worden. 
/u/25784/ResNot.GIF?f=community)
Poort 7441 blijkt een backdoor poort:
http://securityresponse.s...backdoor.meteorshell.html
Poort 9777 blijkt een backdoor poort:
http://securityresponse.s.../backdoor.stealtheye.html
Voor meer info zoek hier welke applicatie bij welke poort gebruikt kan worden: http://www.bekkoame.ne.jp/~s_ita/port/port9000-9999.html
Kortom het lijkt erop dat iemand loopt te kijken of je backdoors hebt draaien.
Krijg je deze meldingen alleen van dit IP? Ik zie er maar 1 staan in je lijst. Zo ja blocken die lijer.
edit: Ripe.net herkent dat IP trouwens niet, Aziatisch ofzo
edit2: misschien toch eens een HijackThis log posten om uit te sluiten dat je niet geinfecteerd bent door iets
http://securityresponse.s...backdoor.meteorshell.html
Poort 9777 blijkt een backdoor poort:
http://securityresponse.s.../backdoor.stealtheye.html
Voor meer info zoek hier welke applicatie bij welke poort gebruikt kan worden: http://www.bekkoame.ne.jp/~s_ita/port/port9000-9999.html
Kortom het lijkt erop dat iemand loopt te kijken of je backdoors hebt draaien.
Krijg je deze meldingen alleen van dit IP? Ik zie er maar 1 staan in je lijst. Zo ja blocken die lijer.
edit: Ripe.net herkent dat IP trouwens niet, Aziatisch ofzo
edit2: misschien toch eens een HijackThis log posten om uit te sluiten dat je niet geinfecteerd bent door iets
[ Voor 23% gewijzigd door Mike Jarod op 03-04-2004 20:54 ]
HJT geeft na het scannen output / de mogelijkheid om logs te saven.
HiJackThis
[rml][ Howto] Spyware scannen en opruimen[/rml]
/edit @ MJ :
:
edit: Ripe.net herkent dat IP trouwens niet, Aziatisch ofzo
code:
1
2
| host 200.51.38.2 2.38.51.200.in-addr.arpa domain name pointer voldemort.sinectis.com.ar |
[ Voor 61% gewijzigd door 0xDEADBEEF op 03-04-2004 21:18 ]
"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg
dubbelpost
[ Voor 97% gewijzigd door 0xDEADBEEF op 03-04-2004 21:19 ]
"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg
/u/34216/avatar-60x60.png?f=community){kind=avatar}
Dit zijn gewoon simpele scans hoor, niets persoonlijks. Waarschijnlijk scannen die personen gewoon een hele range adressen op zoek naar een leuk slachtoffer. Scriptkiddietjes dus 
Valt al voor een aardig deel terug te dringen door gewoon ICMP echo-requests te droppen: 9 van de 10 tooltjes pingt eerst om te zien welke hosts in een range adressen up zijn.
Valt al voor een aardig deel terug te dringen door gewoon ICMP echo-requests te droppen: 9 van de 10 tooltjes pingt eerst om te zien welke hosts in een range adressen up zijn.
All my posts are provided as-is. They come with NO WARRANTY at all.
"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg
Lijkt me bij nader inzien dat je n virus hebt 
Lees deze draad maar eens [rml][ Backdoor] ADS Afcore variant *[/rml]
Alleen is hier de filename anders.
Lees deze draad maar eens [rml][ Backdoor] ADS Afcore variant *[/rml]
Alleen is hier de filename anders.
code:
1
| rundll32 C:\WINDOWS\System32:nkxzkbi.dll,Init 1 |
"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg
:strip_icc():strip_exif()/u/64489/hoogtevorst.jpg?f=community)
* Glashelder agrees wiith ^^^
Verder: 100 portscans in 2 dagen stelt echt niets voor. Sinds ik m'n server 24 uur per dag aan het internet heb hangen, ontvang ik zo'n 5 a 600 portscans per dag (soms ook vage incoming packets op poorten 5000/15000 UDP). M'n server staat vandaag sinds 18:00 aan, en er zijn alweer 301 meldingen.
Portscans zijn heel normaal. Scriptkiddies vinden dat leuk. De tools ervoor kan je ook zo van internet downloaden. Pas als je geen meldingen ontvangt van poortscans, zou ik me zorgen gaan maken
Verder: 100 portscans in 2 dagen stelt echt niets voor. Sinds ik m'n server 24 uur per dag aan het internet heb hangen, ontvang ik zo'n 5 a 600 portscans per dag (soms ook vage incoming packets op poorten 5000/15000 UDP). M'n server staat vandaag sinds 18:00 aan, en er zijn alweer 301 meldingen.
Portscans zijn heel normaal. Scriptkiddies vinden dat leuk. De tools ervoor kan je ook zo van internet downloaden. Pas als je geen meldingen ontvangt van poortscans, zou ik me zorgen gaan maken
PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc
Verwijderd
Great, nóg iemand met een Afcore variant op dezelfde dag.
Voer dit in in een command prompt:
Dan krijg je als het goed is een pop up met "AF has been removed", of iig iets wat daar op lijkt.
Scan daarna je bak eens met een fatsoenlijke virusscanner.
Edit ook je post aub zodat je HT log tussen [code] tags staat svp.
Voer dit in in een command prompt:
code:
1
| rundll32.exe C:\WINDOWS\System32:nkxzkbi.dll, Uninstall |
Dan krijg je als het goed is een pop up met "AF has been removed", of iig iets wat daar op lijkt.
Scan daarna je bak eens met een fatsoenlijke virusscanner.
Edit ook je post aub zodat je HT log tussen [code] tags staat svp.
/u/88958/vwavatar.png?f=community){kind=avatar}
Verwijderd
De naam van de dll is random, kans is érg klein dat je net precies dezelfde hebt als TS.
Kijk dus eens naar je HijackThis log of je daar wat vreemds vindt, als het niet om ADS gaat, is het misschien handiger om een eigen topic over te openen.
Laat maar ik ben dom . Even een whois gedraait op 't ip. Resultaat:
En ja hoor ik hang op irc.quakenet
. Even een whois gedraait op 't ip. Resultaat:code:
1
2
3
4
5
6
7
8
9
10
| inetnum: 81.216.64.80 - 81.216.64.87 netname: SONG-QNET descr: IRC Infrastructure descr: NOTE: 81.216.64.82 runs the 'PROXYSCANNER' for the QuakeNet IRC Network. descr: It will only scan you if you connect to the IRC network. descr: For More Information see: descr: http://www.quakenet.org/openproxies.html descr: If you were scanned by that IP and believe you do not connect to descr: QuakeNet - We suggest you get your system checked by a descr: Virus/Trojan Scanner. |
En ja hoor ik hang op irc.quakenet
[ Voor 3% gewijzigd door G F0rce 1 op 03-04-2004 22:03 ]
I feel absolutely clean inside, and there is nothing but pure euphoria. - Alexander Shulgin
Pagina: 1