---

Jeg har lige installeret Zonealarm her i dag, jeg får disse "angreb"
flere gange i timen, hvad betyder det?

The firewall has blocked Internet access to your computer (HTTP) from
80.62.141.212 (TCP Port 4944) [TCP Flags: S].

The firewall has blocked Internet access to your computer (HTTP) from
80.62.141.212 (TCP Port 1538) [TCP Flags: S].

The firewall has blocked Internet access to your computer (HTTP) from
80.62.141.212 (TCP Port 2426) [TCP Flags: S].


The firewall has blocked Internet access to your computer (UDP Port
2078) from 212.242.156.92 (UDP Port 2078).
The firewall has blocked Internet access to your computer (HTTP) from
80.62.160.88 (TCP Port 3061) [TCP Flags: S].


The firewall has blocked Internet access to your computer (FTP) from
212.242.111.33 (TCP Port 20955) [TCP Flags: S].
The firewall has blocked Internet access to your computer (FTP) from
80.63.224.41 (TCP Port 2014) [TCP Flags: S].

The firewall has blocked Internet access to your computer (FTP) from
80.63.224.41 (TCP Port 2015) [TCP Flags: S].

The firewall has blocked Internet access to your computer (NetBIOS
Session) from 80.62.14.49 (TCP Port 2641) [TCP Flags: S].

The firewall has blocked Internet access to your computer (UDP Port
2078) from 212.242.156.92 (UDP Port 2078).


The firewall has blocked Internet access to your computer (NetBIOS
Session) from 80.62.11.230 (TCP Port 1262) [TCP Flags: S].

En ting der undrer mig, der står ftp, jeg har ingen ftp, de andre
hvad betyder de?

Hvad skal jeg gøre ved disse "angreb"?
--
Mvh/best regards
Henning Lund
icq 18805021

---

Den Thu, 31 Jan 2002 20:03:15 +0100 skrev Henning Lund:
>Jeg har lige installeret Zonealarm her i dag, jeg får disse "angreb"
>flere gange i timen, hvad betyder det?
>
>The firewall has blocked Internet access to your computer (HTTP) from
>80.62.141.212 (TCP Port 4944) [TCP Flags: S].
>
>The firewall has blocked Internet access to your computer (FTP) from
>212.242.111.33 (TCP Port 20955) [TCP Flags: S].
>
>The firewall has blocked Internet access to your computer (NetBIOS
>Session) from 80.62.14.49 (TCP Port 2641) [TCP Flags: S].
>
>The firewall has blocked Internet access to your computer (UDP Port
>2078) from 212.242.156.92 (UDP Port 2078).
>
>En ting der undrer mig, der står ftp, jeg har ingen ftp,

Det er en der er gået forkert. Når du ikke kører FTP-server, så gør
han ingen skade.

>de andre hvad betyder de?

HTTP = www. Hvis du ikke kører WWW-server, så gør de heller ingen
skade.

NetBIOS = windows filsharing. Hvis du ikke kører windows filsharing,
så gør de heller ingen skade.

>Hvad skal jeg gøre ved disse "angreb"?

Ignorere dem.

Mvh
Kent
--
Whatever I said, Whatever I did I didn't mean it
I just want you back for good
Whenever I'm wrong just tell me the song and I'll sing it
You'll be right and understood

---

Kent Friis skrev:


>Det er en der er gået forkert. Når du ikke kører FTP-server, så gør
>han ingen skade.
>
>>de andre hvad betyder de?
>
>HTTP = www. Hvis du ikke kører WWW-server, så gør de heller ingen
>skade.
>
>NetBIOS = windows filsharing. Hvis du ikke kører windows filsharing,
>så gør de heller ingen skade.
>
>>Hvad skal jeg gøre ved disse "angreb"?
>
>Ignorere dem.
>
>Mvh
>Kent

Jeg takker for lynhurtigt svar, dvs jeg bare skal sætte flueben i at
den ikke skal komme med popup vinduet næste gang der scannes?

Hvad skyldes det at de der beskeder popper op med jævne
tidsintervaller?

--
Mvh/best regards
Henning Lund
icq 18805021

---

Henning Lund skrev:


>Hvad skyldes det at de der beskeder popper op med jævne
>tidsintervaller?

Sikke da noget vrøvl, jeg mente hvad/hvem det er der evt hamrer på
hele tiden?
--
Mvh/best regards
Henning Lund
icq 18805021

---

Henning Lund wrote:

> Henning Lund skrev:
>
>
>
>>Hvad skyldes det at de der beskeder popper op med jævne
>>tidsintervaller?
>>
>
> Sikke da noget vrøvl, jeg mente hvad/hvem det er der evt hamrer på
> hele tiden?
>

Hamrer på??? tja der en der evt. med portscan forsøger at se om du har
en invitation til at ligge, på hjemmeside/ftp. Efter min mening meget
normalt.

Hilsen Mikkel

---

Mikkel Bundgaard skrev:


>Hamrer på??? tja der en der evt. med portscan forsøger at se om du har
>en invitation til at ligge, på hjemmeside/ftp. Efter min mening meget
>normalt.
>
>Hilsen Mikkel

Ok jeg takker for svaret.
--
Mvh/best regards
Henning Lund
icq 18805021

---

Den Thu, 31 Jan 2002 20:43:25 +0100 skrev Henning Lund:
> Henning Lund skrev:
>
>
>>Hvad skyldes det at de der beskeder popper op med jævne
>>tidsintervaller?
>
>Sikke da noget vrøvl, jeg mente hvad/hvem det er der evt hamrer på
>hele tiden?

Du kan prøve at lave en "nslookup a.b.c.d", men det er sikkert en eller
anden tilfældig idiot på en dialup.

Mvh
Kent

PS: erstat a.b.c.d med det ip-nr. den skriver.
--
Whatever I said, Whatever I did I didn't mean it
I just want you back for good
Whenever I'm wrong just tell me the song and I'll sing it
You'll be right and understood

---

Kent Friis skrev:


>Du kan prøve at lave en "nslookup a.b.c.d", men det er sikkert en eller
>anden tilfældig idiot på en dialup.
>
>Mvh
>Kent
>
>PS: erstat a.b.c.d med det ip-nr. den skriver.

Tak for svaret, den skal jeg sq lige have på vestjydsk, nslookup
hvordan laver jeg den?
--
Mvh/best regards
Henning Lund
icq 18805021

---

Henning Lund wrote:
>
> Kent Friis skrev:
>
> >Du kan prøve at lave en "nslookup a.b.c.d", men det er sikkert en eller
> >anden tilfældig idiot på en dialup.
> >
> >Mvh
> >Kent
> >
> >PS: erstat a.b.c.d med det ip-nr. den skriver.
>
> Tak for svaret, den skal jeg sq lige have på vestjydsk, nslookup
> hvordan laver jeg den?

nslookup kan slå op hvilken IP addresse et navn peger
på eller slå op hvilket navn en IP addresse har.

Whois kan bruges til at slå op hvem der ejer et navn
eller en IP addresse.

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

Kasper Dupont skrev:


>nslookup kan slå op hvilken IP addresse et navn peger
>på eller slå op hvilket navn en IP addresse har.

Hehe det gav mig jo ikke svaret, _hvordan_ laver jeg den der nslookup,
eller rettere hvor gør jeg det?

--
Mvh/best regards
Henning Lund
icq 18805021

---

Den Thu, 31 Jan 2002 22:48:08 +0100 skrev Henning Lund:
> Kasper Dupont skrev:
>
>
>>nslookup kan slå op hvilken IP addresse et navn peger
>>på eller slå op hvilket navn en IP addresse har.
>
>Hehe det gav mig jo ikke svaret, _hvordan_ laver jeg den der nslookup,
>eller rettere hvor gør jeg det?

Start -> Kør -> CMD
C:\> nslookup 1.2.3.4

Mvh
Kent
--
Whatever I said, Whatever I did I didn't mean it
I just want you back for good
Whenever I'm wrong just tell me the song and I'll sing it
You'll be right and understood

---

Kent Friis skrev:

>Den T
>Start -> Kør -> CMD
>C:\> nslookup 1.2.3.4

Bingo, jeg takker.
--
Mvh/best regards
Henning Lund
icq 18805021

---

Henning Lund wrote:
>
> Kasper Dupont skrev:
>
> >nslookup kan slå op hvilken IP addresse et navn peger
> >på eller slå op hvilket navn en IP addresse har.
>
> Hehe det gav mig jo ikke svaret, _hvordan_ laver jeg den der nslookup,
> eller rettere hvor gør jeg det?
>

Det kunne være jeg skulle have læst spørgsmålet
lidt bedre før jeg svarede.

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

> Du kan prøve at lave en "nslookup a.b.c.d", men det er sikkert en eller
> anden tilfældig idiot på en dialup.

> PS: erstat a.b.c.d med det ip-nr. den skriver.

Med fordel kan http://www.cyberabuse.org/whois/?page=whois også bruges
nslookup ikke virker.


--
Mvh. Mogens
Bach.scient. i datalogi. Søger IT-job på Fyn!
www.momech.dk

---

Den Thu, 31 Jan 2002 20:28:44 +0100 skrev Henning Lund:
> Kent Friis skrev:
>
>
>>Det er en der er gået forkert. Når du ikke kører FTP-server, så gør
>>han ingen skade.
>>
>>>de andre hvad betyder de?
>>
>>HTTP = www. Hvis du ikke kører WWW-server, så gør de heller ingen
>>skade.
>>
>>NetBIOS = windows filsharing. Hvis du ikke kører windows filsharing,
>>så gør de heller ingen skade.
>>
>>>Hvad skal jeg gøre ved disse "angreb"?
>>
>>Ignorere dem.
>>
>>Mvh
>>Kent
>
>Jeg takker for lynhurtigt svar, dvs jeg bare skal sætte flueben i at
>den ikke skal komme med popup vinduet næste gang der scannes?

Det kommer an på hvor nysgerrig du er / hvor irriterende popup'en
er... Min egen firewall er sat til at logge al uønsket trafik ned i en
fil, som jeg så kigger i en gang imellem.

Mvh
Kent
--
Whatever I said, Whatever I did I didn't mean it
I just want you back for good
Whenever I'm wrong just tell me the song and I'll sing it
You'll be right and understood

---

Kent Friis skrev:

>Det kommer an på hvor nysgerrig du er / hvor irriterende popup'en
>er... Min egen firewall er sat til at logge al uønsket trafik ned i en
>fil, som jeg så kigger i en gang imellem.
>
>Mvh
>Kent

Ok nu er det første dag jeg bruger programmet, så jeg smækker nok et
flueben i og kigger i loggen som du gør.
--
Mvh/best regards
Henning Lund
icq 18805021

---

On Thu, 31 Jan 2002 22:23:25 +0100, Henning Lund <hla@tdcspace.dk> wrote:

>Ok nu er det første dag jeg bruger programmet, så jeg smækker nok et
>flueben i og kigger i loggen som du gør.

Lad mig så lige gøre opmærksom på denne side.
Hvor der ligger et program som gør det lidt lettere at kigge i de logfiler
som ZA genererer.

http://www.zonelog.co.uk/

M.v.h.
--
Rune Kronenberg
My opinions are those of my employer because I work for myself.

---

"Kent Friis" <kfr@fleggaard.dk> wrote in message
news:a3c4ls$6kk$1@sunsite.dk...

> NetBIOS = windows filsharing. Hvis du ikke kører windows filsharing,
> så gør de heller ingen skade.

Men hvad hvis man gør? Er windows automatisk konfigureret til ikke at sende
filesharing videre til inet, eller?

> >Hvad skal jeg gøre ved disse "angreb"?
>
> Ignorere dem.

Enig mht. alle de andre.


--
Mvh. Mogens
Bach.scient. i datalogi. Søger IT-job på Fyn!
www.momech.dk

---

Den Thu, 31 Jan 2002 20:38:28 +0100 skrev Mogens Meier Christensen:
>"Kent Friis" <kfr@fleggaard.dk> wrote in message
>news:a3c4ls$6kk$1@sunsite.dk...
>
>> NetBIOS = windows filsharing. Hvis du ikke kører windows filsharing,
>> så gør de heller ingen skade.
>
>Men hvad hvis man gør? Er windows automatisk konfigureret til ikke at sende
>filesharing videre til inet, eller?

Der må jeg henvise til OSS'en, eller lade windows-eksperterne svare. Jeg
kører ikke selv windows.

Mvh
Kent
--
Whatever I said, Whatever I did I didn't mean it
I just want you back for good
Whenever I'm wrong just tell me the song and I'll sing it
You'll be right and understood

---

"Kent Friis" <kfr@fleggaard.dk> wrote in message
news:a3caq4$9cj$3@sunsite.dk...

> Der må jeg henvise til OSS'en, eller lade windows-eksperterne svare. Jeg
> kører ikke selv windows.

http://a.area51.dk/sikkerhed/ indeholder kapitlet:

Case Studies
1.. Opsætning af Windows 2000 som sikker arbejdsstation.
2.. Opsætning af Windows XP som sikker arbejdsstation.

Desværre er der ikke linket til disse overskrifter - vil det sige at det er
planlagt men ikke blevet lavet?


--
Mvh. Mogens
Bach.scient. i datalogi. Søger IT-job på Fyn!
www.momech.dk

---

Mogens Meier Christensen <mmc@nospam.dk> wrote:
> http://a.area51.dk/sikkerhed/ indeholder kapitlet:
>
> Case Studies
> 1.. Opsætning af Windows 2000 som sikker arbejdsstation.
> 2.. Opsætning af Windows XP som sikker arbejdsstation.
>
> Desværre er der ikke linket til disse overskrifter - vil det sige at det er
> planlagt men ikke blevet lavet?

Jep, bidrag modtages gerne.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:

>> Case Studies
>> 1.. Opsætning af Windows 2000 som sikker arbejdsstation.
>> 2.. Opsætning af Windows XP som sikker arbejdsstation.
>>
>> Desværre er der ikke linket til disse overskrifter - vil det sige at det er
>> planlagt men ikke blevet lavet?
>
> Jep, bidrag modtages gerne.

Måske lidt for generelt (dvs ikke detaljeret nok), men jeg skrev for et
stykke tid siden følgende:

So you wanna secure your workstation?

Do the following. If you need help to any of the tasks, ask for it. Do
not proceed to next task until you have successfully implemented all
the previous tasks.


For UNIX workstations:

1) Make sure your machine is uptodate with patches.
2) Disable all services (/etc/inetd.conf, init.d-scripts)
3) Implement automatic screenlock after 1 minute of inactivity, but do
lock the screen manually when you leave it.
4) If you run X with 'startx' og 'xinit' make sure one cannot kill X
with ctrl+alt+backspace and access your console login. Run XDM or use
vlock for that console.
5) If you need to be able to login to your workstation over the net,
install and configure the newest version of OpenSSH to allow logins
from specific ip addresses only and not as the root user.
6) Add a user for yourself with ordinary privileges. Install and use
only sudo for all work which requires escalated privileges.
7) Implement logcheck or similar automatic checking of the
logfiles. Read the mails it sends you.
8) Run nessus and nmap against your machine with a "clean" result.
9) Subscribe to relevant security-bullentins for your operating
system.
10) Repeat monthly.

For Win32 workstations:

1) If you are running Reflection X or another X-server, make sure you
do not grant xhost access to everybody. Use hostbased or userbased
xhost settings.
2) Use only the company provided workstations and do not login as
local administrator. Do not bypass or disable antivirus software.
3) Do not install 3rd party software not supported and authorized by
the company/IT-helpdesk (ie ICQ, MSN messenger, games etc).
4) Lock your screen when you leave it. Do not wait for the automatic
screen lock to take effect.
5) Use a different password for logging on to the NT-domain than for
logging on to Unix servers.
6) Run nessus and nmap against your machine with a "clean" result.
7) Repeat monthly.

Det er selvfølgelig mere en guideline for sikring af en allerede installeret
arbejdsstation stillet til rådighed af IT-afdelingen, og fortæller som
sådan ikke noget om hvordan man installerer win32 sikkert.

Retningslinjerne er rettet mod systemadministratorernes arbejdsstationer, som
de bruger til at tilgå servernetværket fra.

Konstruktive kommentarer modtages gerne.

Vh,

Ole M.

---

Henning Lund wrote:
>
> Jeg har lige installeret Zonealarm her i dag, jeg får disse "angreb"
> flere gange i timen, hvad betyder det?
>
> The firewall has blocked Internet access to your computer (HTTP) from
> 80.62.141.212 (TCP Port 4944) [TCP Flags: S].
>
> The firewall has blocked Internet access to your computer (HTTP) from
> 80.62.141.212 (TCP Port 1538) [TCP Flags: S].
>
> The firewall has blocked Internet access to your computer (HTTP) from
> 80.62.141.212 (TCP Port 2426) [TCP Flags: S].
>
> The firewall has blocked Internet access to your computer (UDP Port
> 2078) from 212.242.156.92 (UDP Port 2078).
> The firewall has blocked Internet access to your computer (HTTP) from
> 80.62.160.88 (TCP Port 3061) [TCP Flags: S].
>
> The firewall has blocked Internet access to your computer (FTP) from
> 212.242.111.33 (TCP Port 20955) [TCP Flags: S].
> The firewall has blocked Internet access to your computer (FTP) from
> 80.63.224.41 (TCP Port 2014) [TCP Flags: S].
>
> The firewall has blocked Internet access to your computer (FTP) from
> 80.63.224.41 (TCP Port 2015) [TCP Flags: S].
>
> The firewall has blocked Internet access to your computer (NetBIOS
> Session) from 80.62.14.49 (TCP Port 2641) [TCP Flags: S].
>
> The firewall has blocked Internet access to your computer (UDP Port
> 2078) from 212.242.156.92 (UDP Port 2078).
>
> The firewall has blocked Internet access to your computer (NetBIOS
> Session) from 80.62.11.230 (TCP Port 1262) [TCP Flags: S].
>
> En ting der undrer mig, der står ftp, jeg har ingen ftp, de andre
> hvad betyder de?

HTTP requestene kan komme fra en maskine inficeret med
CodeRed eller Nimda, hvis du kører Windows og IIS kunne
du være udsat uden en firewall.

FTP og NetBIOS requestene kunne komme fra personer som
leder efter fejlconfigurerede maskiner, hvor de kan
finde nogle interessante filer og eventuelt deponere
noget piratsoftware.

UDP port 2078 kender jeg intet til. Den står ikke på
min liste over services.

Ingen af disse behøver være angreb, det kan være fra
personer, der blot er gået forkert.

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

Kasper Dupont skrev:

>Ingen af disse behøver være angreb, det kan være fra
>personer, der blot er gået forkert.

Tak for det fine svar.
--
Mvh/best regards
Henning Lund
icq 18805021