|
| Hacker fangst Fra : Mikkel |
Dato : 02-06-02 12:36 |
|
Hej
En bestemt hacker modtager data fra mit netværk når der er
internetforbindelse. Jeg får følgende advarsel men der overføres alligevel
en del data fra routeren som jeg ikke selv har forårsaget. Jeg har scannet
for spyware og trojan - men der blev ikke fundet noget.
Findes der software som kan fortælle hvilke filer der sendes til modtager IP
?
Jeg benytter NAT, Firewall, portmonitor og netmonitor, virusscan,
trojanscan, spywarescan
Loggen i min net- og portmonitor:
-----------------------------------------
[2002-06-02 12:04:57] ** A Hacker could be attempting to gain access using
RASmin on port 1045 (remote port: 20).
[2002-06-02 12:05:09] ** Incoming TCP hack attempt from IP Address:
206.204.212.72
[2002-06-02 12:05:09] ** A Hacker could be attempting to gain access using
GateCrasher.c on port 1047 (remote port: 20).
Hvorfor kan hackeren ikke traces ?
** Tracing IP: 206.204.212.72 **
1 - 192.168.1.1 - - 0ms
2 - 195.249.12.1 - 16261paisdn.ip.tele.dk - 31ms
3 - 195.249.65.80 - ge1-0-2.1000M.naenxg1.ip.tele.dk - 350ms
4 - 195.249.1.45 - fe0-1.100M.albnxa2.ip.tele.dk - 40ms
5 - 195.249.1.2 - ge5-0-2.1000M.albnxg1.ip.tele.dk - 30ms
6 - 62.12.33.77 - so-0-3-0.br1.CPH1.gblx.net - 50ms
7 - 62.12.32.57 - pos4-0-622M.cr1.CPH1.gblx.net - 50ms
8 - 208.178.174.118 - pos1-0-622M.cr1.WDC2.gblx.net - 121ms
9 - 208.178.174.54 - so1-1-0-622M.br1.WDC2.gblx.net - 120ms
10 - 208.49.231.22 - - 120ms
11 - 206.204.251.73 - hevacis-10-g11.conxion.net - 120ms
** Cannot Trace host (206.204.212.72) : Request timed out **
Ville ovenstående være dokumentation nok til politianmeldelse af vedkommende
?
Hvad kan der ellers fortælles og hvilke gode råd har I andre ?
Med venlig hilsen
| |
Peter Brodersen (02-06-2002)
| Kommentar Fra : Peter Brodersen |
Dato : 02-06-02 12:43 |
|
On Sun, 2 Jun 2002 13:36:17 +0200, "Mikkel" <mi830@tele2.dk> wrote:
>Loggen i min net- og portmonitor:
>-----------------------------------------
>[2002-06-02 12:04:57] ** A Hacker could be attempting to gain access using
>RASmin on port 1045 (remote port: 20).
Det tyder på at du er inde på en FTP-server, der vil sende data
tilbage til dig.
I stedet for at have et almindeligt system., har du tilsyneladende
valgt at have et system, der anklager de servere, du selv går ind på,
for "hackere".
>Ville ovenstående være dokumentation nok til politianmeldelse af vedkommende
>?
Hvad vil du politianmelde for? At du tilsyneladende selv går ind på
FTP-sites?
Med hvilket formål har du overhovedet installeret alle de programmer?
--
- Peter Brodersen
| |
Mikkel (02-06-2002)
| Kommentar Fra : Mikkel |
Dato : 02-06-02 12:56 |
|
"Peter Brodersen" <professionel@nerd.dk> wrote in message
news:0xnK8.37096$4f4.1251192@news000.worldonline.dk...
>
> Det tyder på at du er inde på en FTP-server, der vil sende data
> tilbage til dig.
>
Ja umiddelbart, men det sker i samme sekund at jeg åbner routeren og jeg har
ikke benyttet hverken webbrowser, FTP client eller email på dette tidspunkt
og der kører ingen applikationer - men kun services (Win2000), og ingen af
disse services er blevet fundet spyware eller trojan.
> Hvad vil du politianmelde for? At du tilsyneladende selv går ind på
> FTP-sites?
>
Med mindre at FTP sites som er besøgt for 3 dage siden - stadig forsøger at
trace mit faste IP, men det bør de vel ikke efter så lang tid. Jeg ved det
sker umiddelbart efter at jeg besøger FTP sites men 3 dage efter og med
lukket router ?
> Med hvilket formål har du overhovedet installeret alle de programmer?
Jeg havde da regnet med at jeg kunne spille Quake på dem, eller har jeg
misset noget ?
Med venlig hilsen
| |
Kasper Pedersen (02-06-2002)
| Kommentar Fra : Kasper Pedersen |
Dato : 02-06-02 14:25 |
|
"Mikkel" <mi830@tele2.dk> wrote in message news:WInK8.37097$4f4.1251835@news000.worldonline.dk...
> "Peter Brodersen" <professionel@nerd.dk> wrote in message
> news:0xnK8.37096$4f4.1251192@news000.worldonline.dk...
> >
> > Det tyder på at du er inde på en FTP-server, der vil sende data
> > tilbage til dig.
> >
> Ja umiddelbart, men det sker i samme sekund at jeg åbner routeren og jeg har
> ikke benyttet hverken webbrowser, FTP client eller email på dette tidspunkt
> og der kører ingen applikationer - men kun services (Win2000), og ingen af
> disse services er blevet fundet spyware eller trojan.
Ahem. Du har en NAT router siger du. Enten har du din maskine stående som
default route, hvilket sikkert er fjollet.
Hvis den ikke er default route, så tænk over hvordan i alverden de pakker er
nået frem til din maskine? Jeg kan kun se een løsning med mindre der er onde
ånder i din router allerede - det er at du åbner en dynamisk mapping. Det
sker når din maskine laver en FTP session ud gennem routeren.
Jeg ville gætte på at du har et eller andet sharing-program, eller rest af sharing
program, eller program der vil opdatere sig selv, liggende.
>Ville ovenstående være dokumentation nok til politianmeldelse af
vedkommende?
Du kører en 'popsmart legetøjs-pfw'. Renser du den ville den for pop
sandsynligvis se sådan ud:
TCP SYN 206.204.212.72:20 -> local:1045
TCP SYN 206.204.212.72:20 -> local:1047
Hvortil du vil få et svar noget hen ad "Lad være med at spilde vores tid!".
Din legetøjs-pfw er beregnet til at sælge sig selv. Derfår råber den ulv ad
alting: Området 1025 - xxx er portnumre der deles ud når en applikation,
det stykke software du ikke kan finde, ønsker en port. Værsgo siger
operativsystemet, 1047. Nu forsøger programmet en overførsel, og der
kommer pakker tilbage. Din legetøjs-pfw ser: indgående pakke til 1047,
kigger i sin liste, og fortæller dig at der engang er en der har skrevet et
slemt program der bruge port 1047. Altså råber den om om 'hacking
attempt' selvom måske 99.99% af traffik til port 1047 er til helt legale
programmer.
Jeg vil være så fræk at sige det samme - "lad være med at spilde
vores tid". Tag google og led efter "firewall forensics"
http://www.google.com/search?hl=en&ie=UTF8&oe=UTF8&q=firewall+forensics
Derefter afinstallerer du alt det skrammel og ser dig om efter et
professionel-brug pakkefilter. Og hvis du forstår hvad du læser
ang. firewall forensics, så vil du sandsynligvis ikke få lyst til
politianmeldelse nogensinde igen. Det er et stort arbejde for
dig selv, og det kræver viden til at forstå hvad der foregår.
/Kasper
| |
Mikkel (02-06-2002)
| Kommentar Fra : Mikkel |
Dato : 02-06-02 20:49 |
|
"Kasper Pedersen" <kasper@traceroute.dk> wrote in message
news:3cfa1c9f$0$58751$edfadb0f@dspool01.news.tele.dk...
>
> Ahem. Du har en NAT router siger du. Enten har du din maskine stående som
> default route, hvilket sikkert er fjollet.
>
NAT og DHCP
>
> Jeg kan kun se een løsning med mindre der er onde
> ånder i din router allerede - det er at du åbner en dynamisk mapping. Det
> sker når din maskine laver en FTP session ud gennem routeren.
>
Jeg skrev jo at jeg INTET foretog mig. (Jeg åbner alene routeren via telnet)
>
> Jeg ville gætte på at du har et eller andet sharing-program, eller rest af
sharing
> program, eller program der vil opdatere sig selv, liggende.
>
Jeg har iøvrigt fundet ud af at det alene var indkomne data til port 20 og
at der IKKE blev afsendt noget gennem port 21.
>
> Du kører en 'popsmart legetøjs-pfw'. Renser du den ville den for pop
> sandsynligvis se sådan ud:
>
> TCP SYN 206.204.212.72:20 -> local:1045
> TCP SYN 206.204.212.72:20 -> local:1047
>
Jeps.
>
> Din legetøjs-pfw er beregnet til at sælge sig selv.
> Hmm, det er Firewall1 og den klarede opgaven. Derimod er det portmonitoren
der er lidt for paranoid.
>
> Derfår råber den ulv ad
> alting: Området 1025 - xxx er portnumre der deles ud når en applikation,
> det stykke software du ikke kan finde, ønsker en port. Værsgo siger
> operativsystemet, 1047. Nu forsøger programmet en overførsel, og der
> kommer pakker tilbage. Din legetøjs-pfw ser: indgående pakke til 1047,
> kigger i sin liste, og fortæller dig at der engang er en der har skrevet
et
> slemt program der bruge port 1047. Altså råber den om om 'hacking
> attempt' selvom måske 99.99% af traffik til port 1047 er til helt legale
> programmer.
>
> Jeg vil være så fræk at sige det samme - "lad være med at spilde
> vores tid".
>
Hørt
>
Tag google og led efter "firewall forensics"
> http://www.google.com/search?hl=en&ie=UTF8&oe=UTF8&q=firewall+forensics
>
> Derefter afinstallerer du alt det skrammel og ser dig om efter et
> professionel-brug pakkefilter. Og hvis du forstår hvad du læser
> ang. firewall forensics, så vil du sandsynligvis ikke få lyst til
> politianmeldelse nogensinde igen.
>
Nej aldrig
>
> Det er et stort arbejde for
> dig selv,
>
Derfor
>
> og det kræver viden til at forstå hvad der foregår.
>
og der gør jeg da
>
Mvh
| |
Daniel Blankensteine~ (02-06-2002)
| Kommentar Fra : Daniel Blankensteine~ |
Dato : 02-06-02 13:37 |
|
"Mikkel" <mi830@tele2.dk> wrote in message
news:YpnK8.14207$N46.649928@news010.worldonline.dk...
> Hej
> En bestemt hacker modtager data fra mit netværk når der er
> internetforbindelse. Jeg får følgende advarsel men der overføres
alligevel
> en del data fra routeren som jeg ikke selv har forårsaget. Jeg har
scannet
> for spyware og trojan - men der blev ikke fundet noget.
>
> Findes der software som kan fortælle hvilke filer der sendes til
modtager IP
> ?
Du ved vel selv hvad der sker på din computer?
> Jeg benytter NAT, Firewall, portmonitor og netmonitor, virusscan,
> trojanscan, spywarescan
>
> Loggen i min net- og portmonitor:
> -----------------------------------------
> [2002-06-02 12:04:57] ** A Hacker could be attempting to gain access
using
> RASmin on port 1045 (remote port: 20).
> [2002-06-02 12:05:09] ** Incoming TCP hack attempt from IP Address:
> 206.204.212.72
> [2002-06-02 12:05:09] ** A Hacker could be attempting to gain access
using
> GateCrasher.c on port 1047 (remote port: 20).
>
>
>
> Hvorfor kan hackeren ikke traces ?
>
> ** Tracing IP: 206.204.212.72 **
> 1 - 192.168.1.1 - - 0ms
> 2 - 195.249.12.1 - 16261paisdn.ip.tele.dk - 31ms
> 3 - 195.249.65.80 - ge1-0-2.1000M.naenxg1.ip.tele.dk - 350ms
> 4 - 195.249.1.45 - fe0-1.100M.albnxa2.ip.tele.dk - 40ms
> 5 - 195.249.1.2 - ge5-0-2.1000M.albnxg1.ip.tele.dk - 30ms
> 6 - 62.12.33.77 - so-0-3-0.br1.CPH1.gblx.net - 50ms
> 7 - 62.12.32.57 - pos4-0-622M.cr1.CPH1.gblx.net - 50ms
> 8 - 208.178.174.118 - pos1-0-622M.cr1.WDC2.gblx.net - 121ms
> 9 - 208.178.174.54 - so1-1-0-622M.br1.WDC2.gblx.net - 120ms
> 10 - 208.49.231.22 - - 120ms
> 11 - 206.204.251.73 - hevacis-10-g11.conxion.net - 120ms
> ** Cannot Trace host (206.204.212.72) : Request timed out **
Fordi det ikke er sådan du "tracer" folk.
> Ville ovenstående være dokumentation nok til politianmeldelse af
vedkommende
> ?
Sikkert ikke.
> Hvad kan der ellers fortælles og hvilke gode råd har I andre ?
Slet latterlige firewalls og lær om TCP/IP og sikkerhed.
> Med venlig hilsen
mvh hvem???
mvh
db
| |
Mikkel (02-06-2002)
| Kommentar Fra : Mikkel |
Dato : 02-06-02 20:53 |
|
"Daniel Blankensteiner" <db@traceroute.dk> wrote in message
news:add3gs$kie$1@sunsite.dk...
> "Mikkel" <mi830@tele2.dk> wrote in message
> news:YpnK8.14207$N46.649928@news010.worldonline.dk...
>
> Du ved vel selv hvad der sker på din computer?
>
Ved du selv om dine programmer har indbygget internetserver, spyware og
trojan måske.
>
> Fordi det ikke er sådan du "tracer" folk.
>
Nå - men sådan har jeg gjort længe
>
> Slet latterlige firewalls og lær om TCP/IP og sikkerhed.
>
Enig
Mvh
| |
Daniel Blankensteine~ (02-06-2002)
| Kommentar Fra : Daniel Blankensteine~ |
Dato : 02-06-02 21:05 |
|
"Mikkel" <mi830@tele2.dk> wrote in message
news:QIuK8.37199$4f4.1279857@news000.worldonline.dk...
> > Du ved vel selv hvad der sker på din computer?
> >
> Ved du selv om dine programmer har indbygget internetserver, spyware
og
> trojan måske.
Jeg ved med 100% sikkerhed hvad den kører. FreeBSD er open source og
'ps' min ven.
> >
> > Fordi det ikke er sådan du "tracer" folk.
> >
> Nå - men sådan har jeg gjort længe
www.ripe.net
> > Slet latterlige firewalls og lær om TCP/IP og sikkerhed.
> >
> Enig
Godt
mvh
db
| |
Klaus Ellegaard (02-06-2002)
| Kommentar Fra : Klaus Ellegaard |
Dato : 02-06-02 21:39 |
|
"Daniel Blankensteiner" <db@traceroute.dk> writes:
>Jeg ved med 100% sikkerhed hvad den kører. FreeBSD er open source og
>'ps' min ven.
Det er jo ingen garanti længere. Et par programmer distribueret
som source har netop givet shell-access til uvedkommende, fordi
deres distributioner var hacket. Det gøres endnu farligere ved,
at folk bare bevidstløst skriver ./configure ; make install som
root.
Så medmindre du har nærlæst hele koden inklusiv samtlige scripts,
der køres under bygning og installation, kan du ikke vide dig
sikker. Det gælder naturligvis også for enhver cvsup, du kører,
og enhver ekstra pakke, du installerer.
Mvh.
Klaus.
| |
Daniel Blankensteine~ (02-06-2002)
| Kommentar Fra : Daniel Blankensteine~ |
Dato : 02-06-02 21:53 |
|
"Klaus Ellegaard" <klaus@ellegaard.dk> wrote in message
news:addvok$kf3$1@katie.ellegaard.dk...
> "Daniel Blankensteiner" <db@traceroute.dk> writes:
>
> >Jeg ved med 100% sikkerhed hvad den kører. FreeBSD er open source og
> >'ps' min ven.
>
> Det er jo ingen garanti længere. Et par programmer distribueret
> som source har netop givet shell-access til uvedkommende, fordi
> deres distributioner var hacket. Det gøres endnu farligere ved,
> at folk bare bevidstløst skriver ./configure ; make install som
> root.
>
> Så medmindre du har nærlæst hele koden inklusiv samtlige scripts,
> der køres under bygning og installation, kan du ikke vide dig
> sikker. Det gælder naturligvis også for enhver cvsup, du kører,
> og enhver ekstra pakke, du installerer.
Jeg vil sige mit system er ret sikkert. Hvis nogen skulle få adgang, så
vil de ikke kunne installere en "backdoor" uden jeg vil finde den.
mvh
db
| |
Martin Schultz (02-06-2002)
| Kommentar Fra : Martin Schultz |
Dato : 02-06-02 21:59 |
|
"Daniel Blankensteiner" <db@traceroute.dk> writes:
> Jeg vil sige mit system er ret sikkert. Hvis nogen skulle få adgang, så
> vil de ikke kunne installere en "backdoor" uden jeg vil finde den.
Hvis nogen skulle få adgang er spillet allerede tabt.
| |
Daniel Blankensteine~ (02-06-2002)
| Kommentar Fra : Daniel Blankensteine~ |
Dato : 02-06-02 22:07 |
|
"Martin Schultz" <di010416@nospam.diku.dk> wrote in message
news:r6v1ybpgzwx.fsf@brok.diku.dk...
> "Daniel Blankensteiner" <db@traceroute.dk> writes:
>
> > Jeg vil sige mit system er ret sikkert. Hvis nogen skulle få adgang,
så
> > vil de ikke kunne installere en "backdoor" uden jeg vil finde den.
> Hvis nogen skulle få adgang er spillet allerede tabt.
Tja, det handler ikke så meget om hvad de kan gøre ved min computer, men
hvad de kan gøre via min computer. Derfor er det rart at opdage et
indbrud med det samme, men også gerne før (hvis det kun er en user shell
personen har fået).
mvh
db
| |
Klaus Ellegaard (02-06-2002)
| Kommentar Fra : Klaus Ellegaard |
Dato : 02-06-02 22:11 |
|
"Daniel Blankensteiner" <db@traceroute.dk> writes:
>Tja, det handler ikke så meget om hvad de kan gøre ved min computer, men
>hvad de kan gøre via min computer. Derfor er det rart at opdage et
>indbrud med det samme, men også gerne før (hvis det kun er en user shell
>personen har fået).
Jeg forstod, at en af de distributions-incidents netop var
kommet af, at nogen fik fat i en shell. Derfra reattachede
de en screen, der tilfældigvis indeholdt en root-shell. Og
så var den hjemme.
Så ja, den slags skal helst opdages i en fart. Eller også
skal man lade være med at have root shells i sin screen -
hvilket jo altid er et hit. Allerbedst begge dele
Mvh.
Klaus.
| |
Peter Brodersen (02-06-2002)
| Kommentar Fra : Peter Brodersen |
Dato : 02-06-02 21:58 |
|
On Sun, 2 Jun 2002 22:53:06 +0200, "Daniel Blankensteiner"
<db@traceroute.dk> wrote:
>Jeg vil sige mit system er ret sikkert. Hvis nogen skulle få adgang, så
>vil de ikke kunne installere en "backdoor" uden jeg vil finde den.
Fordi du stoler 100% på din ps?
--
- Peter Brodersen
| |
Daniel Blankensteine~ (02-06-2002)
| Kommentar Fra : Daniel Blankensteine~ |
Dato : 02-06-02 22:05 |
|
"Peter Brodersen" <usenet@ter.dk> wrote in message
news:zFvK8.14637$N46.680140@news010.worldonline.dk...
> On Sun, 2 Jun 2002 22:53:06 +0200, "Daniel Blankensteiner"
> <db@traceroute.dk> wrote:
>
> >Jeg vil sige mit system er ret sikkert. Hvis nogen skulle få adgang,
så
> >vil de ikke kunne installere en "backdoor" uden jeg vil finde den.
>
> Fordi du stoler 100% på din ps?
En ordentlig trojan vil ikke køre hele tiden, så nej, ikke fordi jeg
stoler 100% på ps.
mvh
db
| |
Klaus Ellegaard (02-06-2002)
| Kommentar Fra : Klaus Ellegaard |
Dato : 02-06-02 22:03 |
|
"Daniel Blankensteiner" <db@traceroute.dk> writes:
>Jeg vil sige mit system er ret sikkert. Hvis nogen skulle få adgang, så
>vil de ikke kunne installere en "backdoor" uden jeg vil finde den.
Du er godt klar over, at ps viser meget lidt af, hvad der går
for sig på din maskine? [Hint: kerne og kernemoduler]
Bortset derfra var det ikke sikkerheden på din maskine, jeg
kommenterede. Det var nærmere den vildfarelse, at open source
altid betyder, at man har styr på alting. Det modbeviser de
seneste distributions-hackings med al ønskelig tydelighed.
Mvh.
Klaus.
| |
Daniel Blankensteine~ (02-06-2002)
| Kommentar Fra : Daniel Blankensteine~ |
Dato : 02-06-02 22:14 |
|
"Klaus Ellegaard" <klaus@ellegaard.dk> wrote in message
news:ade171$kti$1@katie.ellegaard.dk...
> "Daniel Blankensteiner" <db@traceroute.dk> writes:
>
> >Jeg vil sige mit system er ret sikkert. Hvis nogen skulle få adgang,
så
> >vil de ikke kunne installere en "backdoor" uden jeg vil finde den.
>
> Du er godt klar over, at ps viser meget lidt af, hvad der går
> for sig på din maskine? [Hint: kerne og kernemoduler]
Kernemoduler loades og derefter sættes securelevel til 1 eller 2.
ps viser kun de processer der kører nu, så du skal lige have fat i
crontab og lede efter suid programmer, hvis du vil være "sikker" på at
en anden ikke logger ind, bliver root og kører noget "sjovt".
> Bortset derfra var det ikke sikkerheden på din maskine, jeg
> kommenterede. Det var nærmere den vildfarelse, at open source
> altid betyder, at man har styr på alting. Det modbeviser de
> seneste distributions-hackings med al ønskelig tydelighed.
Ja, men installere du det absolute minimum, så er du godt med. Men jeg
har selvfølgelig ikke set al koden i samtlige programmer, på min puter
igennem
mvh
db
| |
Christian E. Lysel (03-06-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 03-06-02 00:50 |
| | |
Daniel Blankensteine~ (03-06-2002)
| Kommentar Fra : Daniel Blankensteine~ |
Dato : 03-06-02 10:15 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in
message news:3CFAAF44.6010804@example.net...
> Daniel Blankensteiner wrote:
> > Jeg vil sige mit system er ret sikkert. Hvis nogen skulle få adgang,
så
> > vil de ikke kunne installere en "backdoor" uden jeg vil finde den.
>
> Har du fx set følgende?
>
>
http://online.securityfocus.com/archive/1/274927/2002-05-30/2002-06-05/0
Nej, men det har jeg nu
Alle de programmer der er i FreeBSD port samlingen, er set igennem for
at tjekke om de er velskrevne, sikre (ingen trojans) og om de opfører
sig som de skal (ligger filerne de rigtige steder). Hvis ovenstående var
en FreeBSD port, så må jeg jo indrømme at der kan ske en smutter, men nu
installere jeg heller ikke så meget fra port samlingen på min server.
mvh
db
| |
Christian E. Lysel (03-06-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 03-06-02 12:57 |
|
Daniel Blankensteiner wrote:
> http://online.securityfocus.com/archive/1/274927/2002-05-30/2002-06-05/0
>
> Nej, men det har jeg nu
> Alle de programmer der er i FreeBSD port samlingen, er set igennem for
> at tjekke om de er velskrevne, sikre (ingen trojans) og om de opfører
> sig som de skal (ligger filerne de rigtige steder). Hvis ovenstående var
> en FreeBSD port, så må jeg jo indrømme at der kan ske en smutter, men nu
> installere jeg heller ikke så meget fra port samlingen på min server.
Ovenstående kan ske for alle, også FreeBSD udviklerne. Selvfølgelig kan
de have gjort noget aktivt for at undgå dette, det ved jeg ikke om de
har eller ikke har.
| |
Bo Simonsen (02-06-2002)
| Kommentar Fra : Bo Simonsen |
Dato : 02-06-02 15:26 |
|
On Sun, 02 Jun 2002 13:36:17 +0200, Mikkel wrote:
> Hvorfor kan hackeren ikke traces ?
>
[snip en masse spam]
> so1-1-0-622M.br1.WDC2.gblx.net - 120ms 10 - 208.49.231.22 - - 120ms 11
> - 206.204.251.73 - hevacis-10-g11.conxion.net - 120ms ** Cannot Trace
> host (206.204.212.72) : Request timed out **
Fordi der sikkert er ICMP filtering på det hop efter
hevacis-10-g11.conxion.net
--
Med venlig hilsen
Bo Simonsen
Join the GNU Generation
| |
Mikkel (02-06-2002)
| Kommentar Fra : Mikkel |
Dato : 02-06-02 20:53 |
|
"Bo Simonsen" <paltas@geekworld.dk> wrote in message
news:pan.2002.06.02.14.26.20.136865.361@geekworld.dk...
> On Sun, 02 Jun 2002 13:36:17 +0200, Mikkel wrote:
>
> Fordi der sikkert er ICMP filtering på det hop efter
> hevacis-10-g11.conxion.net
>
Tak
Mvh
| |
Alex Holst (02-06-2002)
| Kommentar Fra : Alex Holst |
Dato : 02-06-02 15:56 |
|
Mikkel <mi830@tele2.dk> wrote:
> Hej
> En bestemt hacker modtager data fra mit netværk når der er
[..]
Jeg kan se at du er blevet venligt modtaget af andre her i gruppen, og
modtagelsen ville have vaeret perfekt hvis en reference til gruppens OSS
havde vaeret inkluderet:
http://a.area51.dk/sikkerhed/
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Christian Laursen (02-06-2002)
| Kommentar Fra : Christian Laursen |
Dato : 02-06-02 21:14 |
|
"Mikkel" <mi830@tele2.dk> writes:
> Hej
> En bestemt hacker modtager data fra mit netværk når der er
> internetforbindelse. Jeg får følgende advarsel men der overføres alligevel
> en del data fra routeren som jeg ikke selv har forårsaget. Jeg har scannet
> for spyware og trojan - men der blev ikke fundet noget.
[snip]
> Loggen i min net- og portmonitor:
> -----------------------------------------
> [2002-06-02 12:04:57] ** A Hacker could be attempting to gain access using
> RASmin on port 1045 (remote port: 20).
> [2002-06-02 12:05:09] ** Incoming TCP hack attempt from IP Address:
> 206.204.212.72
> [2002-06-02 12:05:09] ** A Hacker could be attempting to gain access using
> GateCrasher.c on port 1047 (remote port: 20).
>
> Hvorfor kan hackeren ikke traces ?
>
> ** Tracing IP: 206.204.212.72 **
Det er en ftp-server hos Symantec.
Noget på din maskine forsøger at hente noget derfra.
Den forsøger ikke at hacke dig.
Kunne denne tråd ikke stoppe nu?
--
Med venlig hilsen
Christian Laursen
| |
Kasper Dupont (02-06-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 02-06-02 22:37 |
|
Christian Laursen wrote:
>
> "Mikkel" <mi830@tele2.dk> writes:
>
> >
> > Hvorfor kan hackeren ikke traces ?
> >
> > ** Tracing IP: 206.204.212.72 **
>
> Det er en ftp-server hos Symantec.
Interesant, det bliver først rigtigt sjovt, hvis det
viser sig, at det er en personlig firewall fra Symantec,
der kigger efter en opdatering på deres ftp server.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk
| |
|
|