---

Denne her IP: 24.242.235.38 har forsøgt at komme ind i min computer med en
Trojan, Backdoor Orifice de sidste to dage. Hvordan fanden får jeg smidt
skiderikken af helvede til? indtil videre har han forsøgt 11 gange!!

--
-=JESPER=-
http://www.jespersunivers.dk/arkiv/pulterkammer.htm

---

In <3cb9ea73$0$78760$edfadb0f@dspool01.news.tele.dk> "Jesper Winding" <jesperw@tdcadsl.dk> writes:

>Denne her IP: 24.242.235.38 har forsøgt at komme ind i min computer med en
>Trojan, Backdoor Orifice de sidste to dage. Hvordan fanden får jeg smidt
>skiderikken af helvede til? indtil videre har han forsøgt 11 gange!!

Hvad oensker du praecist at opnaa ?
Din firewall "smider skiderikken af helvede til" allerede og hvis du ingen
firewall havde, saa var der heller ikke ting sket.


/Martin

---

Hvad mener du? - en trojan er beregnet til at kontrollere andres computer -
for alt jeg ved kan han starte fra en ende af og slette hele skidtet! -
ligenu klarer Firewall'en paragraferne, men hvad hvis han finder på noget
andet?

--
-=JESPER=-
http://www.jespersunivers.dk/arkiv/pulterkammer.htm

---

Hi Jesper Winding you wrote:

> Hvad mener du? - en trojan er beregnet til at kontrollere andres
> computer - for alt jeg ved kan han starte fra en ende af og slette
> hele skidtet! - ligenu klarer Firewall'en paragraferne, men hvad
> hvis han finder på noget andet?

Du ved ikke hvad du snakker om! En trojan virker kun, hvis en klient er
installeret! DU er den eneste som kan gøre det, enten med vilje eller
af uvidenhed.

Lidt ligesom: hvad sker der med din maskine, hvis jeg prøver at få
forbindelse med den FTP-server du ikke har? keine nicht ingenting

--
Claus U - http://www.cykeltyven.dk
Dette indlæg er skrevet uden hensyn til usenet's stereotyper

---

Godt så - hjælper lidt på min bekymring, Men hvis han ikke kan få kontrol
over min computer - hvorfor bliver han så ved? jeg mener, hvad kan han få ud
af det?

--
-=JESPER=-
http://www.jespersunivers.dk/arkiv/pulterkammer.htm

---

"Jesper Winding" <jesperw@tdcadsl.dk> wrote in message news:3cba6a93$0$26660$edfadb0f@dspool01.news.tele.dk...
> Godt så - hjælper lidt på min bekymring, Men hvis han ikke kan få kontrol
> over min computer - hvorfor bliver han så ved? jeg mener, hvad kan han få ud
> af det?

'Han' bliver ved fordi det værktøj han bruger bliver ved. Måske fordi det scanner
hver gang det bliver startet, eller også fordi det prøver når det ser en posting,
din adresse i en IRC kanal eller lignende.

Det dit filter ser er slet og ret en tcp-connect (tcp syn) til port 31337.
På dansk betyder det cirka "Hallo, kan man få noget service her?"
Hvis jeg tager en prompt og skriver
telnet 80.197.50.60 31337
så siger den nøjagtig det samme.
I alle tilfælde dropper dit filter pakken (du kørere med en default-deny policy).
Hvis du ikke havde firewall, så ville din maskine reject'e pakken i stedet for at
droppe den, men resultatet ville blive det samme. (forskellen er om du ikke
svarer, eller informerer mig/ham om at der altså er lukket)

Min anbefaling er, hvis dit filter ellers kan, at se godt på disse requests een
gang, og derefter bede den om ikke at putte dem i rapporten. De er ufarlige
og vil bare virke som støj, der måske vil fjerne opmærksomheden fra det
der fortjener det (dit arbejde, spil eller noget andet traffik der fortjener at
blive kigget på)

Jeg er en gang blevet truet af min inet udbyder fordi jeg tilsyneladende kørte
NetBus til en kunde hos en anden udbyder regelmæssigt. Jeg måtte have
'den anden' til at kontakte sin udbyder, og så min, før der kom orden i sagerne.
Problemet var at vi brugte den mest naturlige port for en programmør når man
lige skal lave en test - 12345 - og den kunne ham den andens udbyder ikke lide.
Nej, det var ikke netbus.

/Kasper

---

Jesper Winding <jesperw@tdcadsl.dk> wrote:
> Godt så - hjælper lidt på min bekymring, Men hvis han ikke kan få kontrol
> over min computer - hvorfor bliver han så ved? jeg mener, hvad kan han få ud
> af det?

Jeg ved ikke hvorfor folk bliver ved med at svare paa dine spoergsmaal i
stedet for blot at bede dig laese OSS'en som forklarer en masse om dette
fra enden til anden.

http://a.area51.dk/sikkerhed/

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Alex Holst" <a@area51.dk> skrev i en meddelelse news:slrnablhtl.srr.a@C-Tower.Area51.DK...
> Jeg ved ikke hvorfor folk bliver ved med at svare paa dine spoergsmaal i
> stedet for blot at bede dig laese OSS'en som forklarer en masse om dette
> fra enden til anden.

Af venlighed?

--
Ole S

---

Ole & Christina <stigardNOSPAM@NOSPAM.dk> wrote:
> "Alex Holst" <a@area51.dk> skrev i en meddelelse news:slrnablhtl.srr.a@C-Tower.Area51.DK...
>> Jeg ved ikke hvorfor folk bliver ved med at svare paa dine spoergsmaal i
>> stedet for blot at bede dig laese OSS'en som forklarer en masse om dette
>> fra enden til anden.
>
> Af venlighed?

Hvad er der uvenligt ved at bede vedkommende om at laese OSS'en som
allerede har svarene?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Alex Holst" <a@area51.dk> skrev i en meddelelse news:slrnablopb.17cl.a@C-Tower.Area51.DK...
> Ole & Christina <stigardNOSPAM@NOSPAM.dk> wrote:
> > "Alex Holst" <a@area51.dk> skrev i en meddelelse news:slrnablhtl.srr.a@C-Tower.Area51.DK...
> >> Jeg ved ikke hvorfor folk bliver ved med at svare paa dine spoergsmaal i
> >> stedet for blot at bede dig laese OSS'en som forklarer en masse om dette
> >> fra enden til anden.
> >
> > Af venlighed?
>
> Hvad er der uvenligt ved at bede vedkommende om at laese OSS'en som
> allerede har svarene?
Det er der vel heller ikke noget uvenligt ved i sig selv. Det var dit spørgsmål til svarerne, jeg kommenterede.

Der er sat FUT til news://dk.snak
--
Ole S.

---

"Alex Holst" <a@area51.dk> wrote

> Jeg ved ikke hvorfor folk bliver ved med at svare paa dine spoergsmaal i
> stedet for blot at bede dig laese OSS'en som forklarer en masse om dette
> fra enden til anden.
>

Fordi jeg f.eks. havde stor fornøjelse af at læse indlægget og synes det er
ganske informativt.

Thomas

---

In article <a9eqkd$f35$1@sunsite.dk>, Thomas Christensen wrote:
>
>> Jeg ved ikke hvorfor folk bliver ved med at svare paa dine spoergsmaal i
>> stedet for blot at bede dig laese OSS'en som forklarer en masse om dette
>> fra enden til anden.
>
> Fordi jeg f.eks. havde stor fornøjelse af at læse indlægget og synes det er
> ganske informativt.

Og det mener du ikke OSSen er?

--
Andreas Plesner Jacobsen | Pardon me while I laugh.

---

"Andreas Plesner Jacobsen" <apj@daarligstil.dk> wrote
>
> Og det mener du ikke OSSen er?
>

OSS er mener jeg også er informativ. Hvorfor spørger du??

Thomas

---

Jesper Winding wrote:

> Denne her IP: 24.242.235.38 har forsøgt at komme ind i min computer med en
> Trojan, Backdoor Orifice de sidste to dage. Hvordan fanden får jeg smidt
> skiderikken af helvede til? indtil videre har han forsøgt 11 gange!!


Hvad er problemet?

Har du trojen installeret?

---

Nej ikke endnu - men jeg er da bekymret - han er jo ret energisk. Problemet
er at jeg føler mig udsat, hvad nu hvis han prøver noget pis min Firewall
ikke har styr på?

--
-=JESPER=-
http://www.jespersunivers.dk/arkiv/pulterkammer.htm

---

Den Mon, 15 Apr 2002 06:23:56 +0200 skrev Jesper Winding:
>Nej ikke endnu - men jeg er da bekymret - han er jo ret energisk. Problemet
>er at jeg føler mig udsat, hvad nu hvis han prøver noget pis min Firewall
>ikke har styr på?

Når du ikke engang har en trojan installeret, så laver din firewall ikke
andet end at blokere en lukket dør. Du kan afinstallere firewall'en, og
han kommer stadig ikke ind.

Hvis du også har lukket alle andre døre (windows fil-sharing fx), så
kommer han heller ikke ind den vej.

Mvh
Kent
--
Advarsel: ny e-mail adresse - med risiko for at mails går tabt.
Den gamle adresse virker stadig, men bliver primært checket i
arbejdstiden.

---

Kent Friis wrote:

> Når du ikke engang har en trojan installeret, så laver din firewall ikke
> andet end at blokere en lukket dør. Du kan afinstallere firewall'en, og


Du mener vel at den blokere for en dør der ikke er der? :)

> han kommer stadig ikke ind.

---

Den Mon, 15 Apr 2002 21:00:51 +0200 skrev Christian E. Lysel:
>Kent Friis wrote:
>
>> Når du ikke engang har en trojan installeret, så laver din firewall ikke
>> andet end at blokere en lukket dør. Du kan afinstallere firewall'en, og
>
>
>Du mener vel at den blokere for en dør der ikke er der? :)

Nej, jeg mener en dør der kun kan åbnes indefra.

Mvh
Kent
--
Advarsel: ny e-mail adresse - med risiko for at mails går tabt.
Den gamle adresse virker stadig, men bliver primært checket i
arbejdstiden.

---

Kent Friis wrote:

>>Du mener vel at den blokere for en dør der ikke er der? :)
> Nej, jeg mener en dør der kun kan åbnes indefra.


En dør kan vel sparkes ind?

---

Den Mon, 15 Apr 2002 22:16:10 +0200 skrev Christian E. Lysel:
>Kent Friis wrote:
>
>>>Du mener vel at den blokere for en dør der ikke er der? :)
>> Nej, jeg mener en dør der kun kan åbnes indefra.
>
>
>En dør kan vel sparkes ind?

Ikke en binær dør. Enten er den åben, eller også er den ikke.

Mvh
Kent
--
Advarsel: ny e-mail adresse - med risiko for at mails går tabt.
Den gamle adresse virker stadig, men bliver primært checket i
arbejdstiden.

---

Kent Friis wrote:

>>En dør kan vel sparkes ind?
> Ikke en binær dør. Enten er den åben, eller også er den ikke.


Hvis man sparker hård nok, kan den gå i baglås! *grin*

Fx med en syn flooding, eller:

http://online.securityfocus.com/archive/1/266380

http://support.microsoft.com/default.aspx?scid=kb;EN-US;q280446

http://www.cert.org/advisories/CA-2000-21.html

http://www.cert.org/advisories/CA-1998-13.html

http://online.securityfocus.com/archive/1/195457

http://online.securityfocus.com/archive/1/210053

---

"Christian E. Lysel" wrote:
>
> Kent Friis wrote:
>
> >>En dør kan vel sparkes ind?
> > Ikke en binær dør. Enten er den åben, eller også er den ikke.
>
> Hvis man sparker hård nok, kan den gå i baglås! *grin*
>
> Fx med en syn flooding

Syn flooding af en lukket port kan vel ikke gøre
nogen væsentlig skade?

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

Kasper Dupont wrote:

> Syn flooding af en lukket port kan vel ikke gøre
> nogen væsentlig skade?


De andre døre kan sidde fast.

---

"Christian E. Lysel" wrote:
>
> Kasper Dupont wrote:
>
> > Syn flooding af en lukket port kan vel ikke gøre
> > nogen væsentlig skade?
>
> De andre døre kan sidde fast.

Lad os nu stoppe med de håbløse analogier og holde os
til facts. Siger du, at der findes TCP implementationer,
hvor flooding af en lukket port kan blokere for
forbindelser til en anden åben port? I så fald vil jeg
kalde den TCP implementation for uhensigtsmæssig.

I øvrigt er der jo ingen grund til at floode en lukket
port, hvis der er en åben port man kunne floode i
stedet. Så jeg synes ikke at der er nogen væsentlig
forskel. Hvis man derimod kunne blokkere for f.eks.
udgående forbindelser med syn flooding ville der være
et problem.

Flooding vil naturligvis altid belaste netforbindelsen,
det væsentlige problem med syn flooding er, at det også
øger den ramte computers hukommelsesforbrug. Jeg kan
ikke gennemskue, hvordan en TCP implementation kunne
have det problem på en lukket port.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

Kasper Dupont wrote:

>>>Syn flooding af en lukket port kan vel ikke gøre
>>>nogen væsentlig skade?
>>De andre døre kan sidde fast.
> Lad os nu stoppe med de håbløse analogier og holde os


Tak.

> til facts. Siger du, at der findes TCP implementationer,
> hvor flooding af en lukket port kan blokere for
> forbindelser til en anden åben port? I så fald vil jeg
> kalde den TCP implementation for uhensigtsmæssig.


En flooding vil altid være mere "effektiv" på en åben port, end en
lukket port, men er stadigvæk mulig på en lukket port.

Typisk i et WAN, vil andre ting dog stå af først.

Men i et LAN med stor båndbredde er det muligt at floode en maskine
således den bliver overbelastet med I/O.


> I øvrigt er der jo ingen grund til at floode en lukket
> port, hvis der er en åben port man kunne floode i
> stedet. Så jeg synes ikke at der er nogen væsentlig
> forskel. Hvis man derimod kunne blokkere for f.eks.
> udgående forbindelser med syn flooding ville der være
> et problem.


Enig.


> Flooding vil naturligvis altid belaste netforbindelsen,
> det væsentlige problem med syn flooding er, at det også
> øger den ramte computers hukommelsesforbrug. Jeg kan
> ikke gennemskue, hvordan en TCP implementation kunne
> have det problem på en lukket port.


Det skal nok eksistere, men ikke i så stor en grad som med åbne porte.

---

On Tue, 16 Apr 2002 15:18:44 +0200,
Kasper Dupont <kasperd@daimi.au.dk> wrote:
>
> Syn flooding af en lukket port kan vel ikke gøre
> nogen væsentlig skade?

Afhænger af hvilken TCP/IP stack du rammer. Man kan godt
forestille sig der er nogle der har svagheder (som ping-of-death).


--
Povl H. Pedersen - ALF#2 - D-482 - nospam@home.terminal.dk
Return e-mail is a spam tarpit.
Use 2 letters from first+last name to form username@[127.0.0.1]

---

leeloo@phreaker.net (Kent Friis) wrote:

>Ikke en binær dør. Enten er den åben, eller også er den ikke.

Hvorved adskiller en lukket binær dør sig fra en binær mur?

Analogier er noget bras.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Den Tue, 16 Apr 2002 18:12:47 +0200 skrev Allan Olesen:
>leeloo@phreaker.net (Kent Friis) wrote:
>
>>Ikke en binær dør. Enten er den åben, eller også er den ikke.
>
>Hvorved adskiller en lukket binær dør sig fra en binær mur?

At man ikke kan åbne en mur. Heller ikke indefra.

Mvh
Kent
--
Advarsel: ny e-mail adresse - med risiko for at mails går tabt.
Den gamle adresse virker stadig, men bliver primært checket i
arbejdstiden.

---

leeloo@phreaker.net (Kent Friis) wrote:

>At man ikke kan åbne en mur. Heller ikke indefra.

En murstensmur: nej.

En binær mur: hvem ved?


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

"Jesper Winding" <jesperw@tdcadsl.dk> wrote in message
news:3cba55e5$0$97325$edfadb0f@dspool01.news.tele.dk...
> Nej ikke endnu - men jeg er da bekymret - han er jo ret energisk.
Problemet
> er at jeg føler mig udsat, hvad nu hvis han prøver noget pis min Firewall
> ikke har styr på?

Personer som benytter sig af trojan-scans til at "hacke" folk, tvivler jeg
på kan
andet end det....måske har de også lige lært at brute-force, men du skal dig
ikke tage
af det. Med mindre du selvfølgelig har installeret server-delen af en trojan
på din computer.
Se med "netstat" om der kører noget underligt på din PC.

mvh
db

---

"Daniel Blankensteiner" <db@traceroute.dk> wrote in message
news:a9f1d2$aa1$1@sunsite.dk...
> "Jesper Winding" <jesperw@tdcadsl.dk> wrote in message
> news:3cba55e5$0$97325$edfadb0f@dspool01.news.tele.dk...
> > Nej ikke endnu - men jeg er da bekymret - han er jo ret energisk.
> Problemet
> > er at jeg føler mig udsat, hvad nu hvis han prøver noget pis min
Firewall
> > ikke har styr på?
>
> Personer som benytter sig af trojan-scans til at "hacke" folk, tvivler jeg
> på kan
> andet end det....måske har de også lige lært at brute-force, men du skal
dig
> ikke tage [snio]

, men du skal ikke tage dig af det. (skulle der stå

*GG* det er hvad der sker, når man ikke lige læser det igennem man har
skrevet,
inden man trykker send.


mvh
db

---

Jesper Winding wrote:

> Nej ikke endnu - men jeg er da bekymret - han er jo ret energisk. Problemet

Hvad føler du dig udsat for?

At blive angrebet, hvorfor...har du (stadigvæk) ikke læst OSS'en? :)

Hvis du virkelig føler dig udsat hvorfor så ikke fx udskifte outlook
express med noget andet?

> er at jeg føler mig udsat, hvad nu hvis han prøver noget pis min Firewall
> ikke har styr på?

Hvis personen/maskinen "angriber" dig på en port som du ikke har en troj
på, gentagende gange ville jeg ikke bekymre mig, det er nok en scanner
der har "sat sig fast" og scanner det samme range af IP adresser.

---

On Mon, 15 Apr 2002 06:23:56 +0200,
Jesper Winding <jesperw@tdcadsl.dk> wrote:
> Nej ikke endnu - men jeg er da bekymret - han er jo ret energisk. Problemet
> er at jeg føler mig udsat, hvad nu hvis han prøver noget pis min Firewall
> ikke har styr på?

Hvis det er hvad du er bange for, så skal du STRAKS afinstallere
din firewall.

Lav derefter en lockdown på din maskine, så det kun er de processer
der skal servere data til Internet der lytter.

netstat -an

fortæller om der er noget der venter på indkommende forbindelser.
De står som LISTENING.


--
Povl H. Pedersen - ALF#2 - D-482 - nospam@home.terminal.dk
Return e-mail is a spam tarpit.
Use 2 letters from first+last name to form username@[127.0.0.1]

---

On Sun, 14 Apr 2002 22:45:30 +0200,
Jesper Winding <jesperw@tdcadsl.dk> wrote:
> Denne her IP: 24.242.235.38 har forsøgt at komme ind i min computer med en
> Trojan, Backdoor Orifice de sidste to dage. Hvordan fanden får jeg smidt
> skiderikken af helvede til? indtil videre har han forsøgt 11 gange!!

Du skriver vel til hans ISP RoadRunner og får dem til
at kappe hans forbindelse for misbrug.

--
Povl H. Pedersen - ALF#2 - D-482 - nospam@home.terminal.dk
Return e-mail is a spam tarpit.
Use 2 letters from first+last name to form username@[127.0.0.1]

---

Og hvordan finder man ud af hvem det er?

--
-=JESPER=-
http://www.jespersunivers.dk/arkiv/pulterkammer.htm

---

> Og hvordan finder man ud af hvem det er?
>


Search results for: 24.242.235.38

ROADRUNNER-SOUTHWEST (NETBLK-RR-SOUTHWEST-3BLK)
13241 Woodland Park Road
Herndon, VA 20171
US

Netname: RR-SOUTHWEST-3BLK
Netblock: 24.242.0.0 - 24.243.175.255
Maintainer: RRSW

Coordinator:
ServiceCo LLC (ZS30-ARIN) abuse@rr.com
1-703-345-3416

Domain System inverse mapping provided by:

DNS1.RR.COM 24.30.200.3
DNS2.RR.COM 24.30.201.3
DNS3.RR.COM 24.30.199.7
DNS4.RR.COM 65.24.0.172

ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE

Record last updated on 30-Oct-2001.
Database last updated on 14-Apr-2002 19:58:00 EDT.



MJ

---

takker, og der er ligefrem en abuse mail - fornemt!

--
-=JESPER=-
http://www.jespersunivers.dk/arkiv/pulterkammer.htm