---

Hej til jer alle

Jeg har haft en undelig anmodning om oprettelse af en forbindelse i gennem
de sidste ca. 3-4 uger.

Og jeg modtager en alert i min ZoneAlarm Pro flere gange i løbet af dagen,
som meddeler mig at "en anmodning om oprettelse af en forbindelse til
150.24.188.207 er blokeret"

I min logfil fra i dag eller sent hertil aften er (har lige startet pc´en
derfor er den så lille :) der følgende:

ZoneAlarm Logging Client v3.0.133
Windows XP-5.1.2600-Service Pack 1-SP
type,date,time,source,destination,transport
ACCESS,2002/09/18,23:35:34 +2:00 GMT,RealNetworks Dynamic App Launcher was
blocked from connecting to the Internet (207.188.24.150:HTTP).,N/A,N/A
FWOUT,2002/09/18,23:35:34 +2:00 GMT,192.168.1.8:137,150.24.188.207:137,UDP
ACCESS,2002/09/18,23:44:42 +2:00 GMT,RealNetworks Dynamic App Launcher was
blocked from connecting to the Internet (207.188.24.150:HTTP).,N/A,N/A

Og det er FWOUT´en, som det drejer sig om.


Jeg kan finde ud af at 150.24.188.207 er hjemhørende i Japan og fra
ZoneAlarm "Who is this" har jeg:
Whois information for 150.24.188.207


NETWORK: NET-LOTUS-JAPAN [65536]
Lotus Development Japan, Ltd (NET-LOTUS-JAPAN)
Nishigotanda 8-1-5
Shinagawa-ku, Tokyo 1
JP

Netname: LOTUS-JAPAN
Netblock: 150.24.0.0 - 150.24.255.255

Coordinator:
Seki, Shinichi (SS1667-ARIN) sseki@LOTUS.CO.JP
+81-3-5496-3140

Domain System inverse mapping provided by:

NS1.IIJ.AD.JP 202.232.2.35
NS1.LOTUS.CO.JP 150.24.223.240

Record last updated on 29-Feb-1996.
Database last updated on 5-Mar-2002 19:57:42 EDT.


Men jeg kan ikke finde ud af, hvorfor jeg flere gange dagligt får oplysning
om, at omtalte
forespørgelse er blokeret. Da jeg ikke kan se, hvad jeg har af programmer
der på nogen måde har noget som helst med Lotus-Japan på nævnte IP at gøre!

Med mindre det hænger sammen med RealNetWorks Dynamic App Launcher?

Som I, bare i den lille 3 hændelses logfilekopi, kan se er rimelig aktiv.

Og i forbindelse med min installeret RealOne Player kan bare siges det: At
jeg har den på maskinen hvis nu og alt, hvad der kan slås fra, er slået fra.
Så jeg er selv en smule overrasket over at den flere tgange i timen forsøger
at kontakte noget som helst. Men da jeg har den blokeret, så har jeg ikke
gidet at forsøge at finde ud af hvad der kunne være årsagen. Men nu synes
jeg det bliver mere og mere underligt.

Så er der nogen der har samme oplevelse(r), så hører jeg gerne, hvordan de
er sluppet af med dem :)

Og som en lille information, så har jeg både Ad-ware og Ad-watch 5.83 med
nyeste signaturfiler samt en næsten dagligt opdateret My e-Trust EZ
Antivirus 5.4.2 kørende udover min ZoneAlarm Pro 3.0.133 plus at jeg
rimeligt ofte sletter alle de cached files jeg kan finde på normal vis :) Og
alligevel kommer disse 2 hændelse op meget ofte.

Hjælp !!! :)

Mvh
Bjørn

Homepage: http://home1.inet.tele.dk/bjornjen

---

The Bear <bjornjen@no-spam.hotmail.com> scribbled:

> (207.188.24.150:HTTP).,N/A,N/A FWOUT,2002/09/18,23:35:34 +2:00

Nu kender jeg ikke lige formatet på den logfil, men hvis du ikke har en
webserver så er der ikke rigtigt noget at være bekymret over. Det er
formentligt bare nimda der spøger igen ... Dem fanger min apache server 5-6
nye infektioner af, hver uge. Skræmmende, ikke?

Men hvorfor har du egentligt en firewall? Hvad beskytter den dig imod? Du
ved vel hvad du har installeret, ikke? Hvis ikke, så tvivler jeg på at en
firewall kan beskytte dig mod dig selv ... Hvis nu f.eks. den flinke trojan
"patcher" firewall softwaren, så den ikke logger noget som helst, hvad gør
du så?

I det hele taget et glimrende eksempel på hvorfor folk uden det store
kendskab til "baggrundsstrålingen" af portskanninger på internettet *ikke*
burde installere en firewall. De vil aldrig mere kunne sove roligt ...
Ignorance is bliss ...

--
PeKaJe

---

Peter Jensen wrote:
:: The Bear <bjornjen@no-spam.hotmail.com> scribbled:
::
::: (207.188.24.150:HTTP).,N/A,N/A FWOUT,2002/09/18,23:35:34 +2:00
::
:: Nu kender jeg ikke lige formatet på den logfil, men hvis du ikke har
:: en webserver så er der ikke rigtigt noget at være bekymret over. Det
:: er formentligt bare nimda der spøger igen ... Dem fanger min apache
:: server 5-6 nye infektioner af, hver uge. Skræmmende, ikke?

Det lyder nu lidt som en eller anden RealPlayer autoupdate eller phone home
funktion. Jeg ville ikke blive overordentligt overrasket hvis RealOne Player
er befængt med den slags.

:: Men hvorfor har du egentligt en firewall? Hvad beskytter den dig
:: imod? Du ved vel hvad du har installeret, ikke? Hvis ikke, så
:: tvivler jeg på at en firewall kan beskytte dig mod dig selv ...

Nu skrev du det, så jeg behøver ikke Jeg tilslutter mig helt og aldeles,
og tilføjer blot::

http://a.area51.dk/sikkerhed/hjemme_pc#firewall

Mvh.

Lars

---

"Peter Jensen" <pekaje@hotmail.youmightwannaremovethis.com> wrote in message
news:3d899fe8$0$75665$edfadb0f@dspool01.news.tele.dk...
> The Bear <bjornjen@no-spam.hotmail.com> scribbled:
>
> > (207.188.24.150:HTTP).,N/A,N/A FWOUT,2002/09/18,23:35:34 +2:00
>
> Nu kender jeg ikke lige formatet på den logfil, men hvis du ikke har en
> webserver så er der ikke rigtigt noget at være bekymret over. Det er
> formentligt bare nimda der spøger igen ... Dem fanger min apache server
5-6
> nye infektioner af, hver uge. Skræmmende, ikke?

Formattet er et helt almindelig ZoneAlarm logfil format = ZALog.txt og nej
jeg har ikke en webserver. Og jeg er ikke "bekymret" :)
Jeg er nysgerrig og tænkte, at andre, der måske havde oplevet noget af det
samme eller vidste hvad retning jeg skulle kigge i, måske ville fortælle mig
det. Og hvad går nimda eller andre af samme slags, så havde jeg lige scannet
alle 99000 filer på denne pc uden at finde noget som helst. At jeg, som du
kommer ind på nedenfor, bliver scannet fra tid til anden undrer eller
overrasker mig ikke. Men vi taler om en anmodning fra min PC om at oprettet
en forbindelse og at den bliver blokeret af min firewall. Det er altså ikke
"noget udefra" som bliver blokeret. Og at "anmodningen" bliver blokeret af
min firewall giver ikke grund til noget i retning af søvnløshed hos mig
tværtimod - det virker, som også ZoneAlarms "more info"-webpage påpeger.
Det hele er derfor bare nysgerrighed og måske en udvidelse af min personlige
viden omkring lige netop dette problem, intet andet skal ligges i det :)
Jeg får også masser af tilbud med Klez, men de kommer aldrig ind på denne
computer, da min SpamKiller viser disse mail allerede mens de er på TDC´s
server og der bliver de også slettet. Der er en bestemt adresse jeg har fået
rigtigt mange af disse virusmail fra og det er:
svennum_pedersen@mail.tele.dk

Jeg mener, at jeg mindst har fået omkring 20-25 mail fra denne adresse med
tilbud hjælpeværktøjer mod Klez og med den sædvanlige tekst, som vi alle er
blevet advaret imod. Men TDC er involveret, og vi alle håber, at ejeren af
denne adresse tager et eller andet skridt til at sikre hans adresse mod at
blive misbrugt. Vi taler om en misbrug over en periode på mindst 3-4
måneder. Han skulle måske nedlægge adressen "i en eller anden periode med
aftale med udbyderen"

I den forbindelse kan jeg fortælle at efter jeg i forgårs opdaterede denne
pc med WinXP SP1 er stort set alle modulerne "changed". Så jeg får alerts om
"changed modul" en masse gange, da jeg har registreret omkring 700-800
components, som der kan gives "access" eller "?" til, så kan det jo
fortsætte i ugevis. Og det skal nok lige med at disse components er jo kun
filer som bliver brugt af programmer der bruges i forbindelse med en
internetforbindelse :)
Og det mener jeg ikke at nogen kan forlange, at jeg skal vide "alt om".
For selvfølgelig ved jeg hvilket programmer jeg har indstalleret, men jeg
kender ikke alle de underliggende moduller og deres nøjagtige funktion. Jeg
er ikke programmør og jeg mener ikke nogen steder, at have set nogen sælge
beskyttelsesprogrammer med en undertekst i stil med "....for at kunne bruge
dette program, er det en god ide at du har programmørbaggrund i følgende 5
mest brugte kodeprogrammer!"

Og da det er modullerne der meget ofte bliver ændret af de trojanske og
spionprogrammerne så er det jo meget hurtigt uoverskueligt for selv rimeligt
vidende edb personer.

> Men hvorfor har du egentligt en firewall? Hvad beskytter den dig imod? Du
> ved vel hvad du har installeret, ikke? Hvis ikke, så tvivler jeg på at en
> firewall kan beskytte dig mod dig selv ... Hvis nu f.eks. den flinke
trojan
> "patcher" firewall softwaren, så den ikke logger noget som helst, hvad gør
> du så?

For at stoppe "kedelige ting af igår". For jeg ved også (det behøver jeg
ikke at være expert for at vide), at de nye ting kan ingen stoppe, før de
bliver til et problem og dermed opdaget. Det har jo været "politiets"
problemstilling siden den første dag! Altså at de altid kommer 15 eller
meget (ofte meget meget meget mere...) mere forsent.
Og ja - jeg har ikke sat mig ind i alle "problemstillinger" af grunde nævnt
ovenfor, fordi jeg bruger nogle programmer lavet af nogle mennesker, som jeg
formoder - indtil en vis grad - ved hvad f..... de laver og ikke mindst
render rundt og gør sig til "experter" i og oven i købet tager penge for, at
fortælle andre hvad det eller det drejer sig om. Og det ved jeg tilfældigvis
at en aller h....... masse andre mennesker også gør :)

> I det hele taget et glimrende eksempel på hvorfor folk uden det store
> kendskab til "baggrundsstrålingen" af portskanninger på internettet *ikke*
> burde installere en firewall. De vil aldrig mere kunne sove roligt ...
> Ignorance is bliss ...

Og tilsidst, så er det nok rigtigt at jeg ikke er expert, men som ovenfor
nævnt så har såkaldte experter også store problemer med at være up-to-date
på alle områderne.
Og hvad angår min søvn så sover jeg stadigvæk fint mellem 8-9 timer og jeg
føler overhovedet ikke, at noget som helst går mig forbi eller at jeg er
bagud. Kun mennesker der 97% af tiden ønsker at være "et andet sted end de
er eller at være en anden end de er" har disse problemer. At disse mennesker
så desværre for dem selv er i et meget stort overtal er så kedelig for dem.
Andre f.eks. TV-, musik-, reklame- og hvad vi ellers kan nævne af branceher
der sælger "drømme" er himmel henrykte :)

Men du skal have tak for din mening :) Og jeg fortsætter nu uanset det ene
eller andet med mine forsøg på at beskytte mig mod bare noget af skidtet
:)))

Jeg har da også et par bøger om emnet, som jeg har skimmet fra tid til anden
uden dog at føle mig for klog til at spørge andre :)
F.eks. har jeg for flere år siden købt:
Building Internet Firewalls af D.Brent Chapman and Elizabeth D. Zwicky fra
O´Reilly

samt for nylig den lille indføring i emnet på dansk:
Firewalls på PC´en af Jerry Lee Ford ra IDG hæfter.

Sidstnævnte fordi den havde et lille kapitel om ZoneAlarm med nogle
vejledninger, som er meget lette at forstå ikke mindst for os "ikke
experter" :)))

Mvh
Bjørn

Homepage: http://home1.inet.tele.dk/bjornjen

---

The Bear wrote:
|
snip en masse crap...
|

> Jeg får også masser af tilbud med Klez, men de kommer aldrig ind på denne
> computer, da min SpamKiller viser disse mail allerede mens de er på TDC´s
> server og der bliver de også slettet. Der er en bestemt adresse jeg har fået
> rigtigt mange af disse virusmail fra og det er:

|
snip en masse crap (part II)...
|

Jeg er helt sikker på, at staklen (som jeg har skånet for gentagelse) er
helt tilfreds med at få sin email-adresse blæst ud over usenet på denne
ukritiske måde.

Klez benytter jo netop email-spoofing, således det ikke behøver være
"John Doe", der er den rigtige afsender. Hvis det virkelig _er_ ham og
du har et problem, findes der masser af muligheder for abuse-anmeldelser...

mvh
/CM

---

"Claus Madsen" <clamad@_NOSPAM_hotmail.com> wrote in message
news:3d8c76cb$0$39024$edfadb0f@dspool01.news.tele.dk...
> The Bear wrote:
> |
> snip en masse crap...
> |
>
> > Jeg får også masser af tilbud med Klez, men de kommer aldrig ind på
denne
> > computer, da min SpamKiller viser disse mail allerede mens de er på
TDC´s
> > server og der bliver de også slettet. Der er en bestemt adresse jeg har
fået
> > rigtigt mange af disse virusmail fra og det er:
>
> |
> snip en masse crap (part II)...
> |
>
> Jeg er helt sikker på, at staklen (som jeg har skånet for gentagelse) er
> helt tilfreds med at få sin email-adresse blæst ud over usenet på denne
> ukritiske måde.
>
> Klez benytter jo netop email-spoofing, således det ikke behøver være
> "John Doe", der er den rigtige afsender. Hvis det virkelig _er_ ham og
> du har et problem, findes der masser af muligheder for
abuse-anmeldelser...
>

Hvis du har så travlt med at vise din medmenneskelighed og høflighed og ikke
mindst have andre til at tro på det samtidig, så burde du overveje din egen
måde at udtrykke dig på rigtigt meget.
Hvis du synes jeg fornærmer nogen så skulle du læse dit eget lort en gang
mere...

Og jeg gider ikke debatere dine uforskammetheder mod mig, sat op mod hvad du
synes, jeg gør overfor andre.

Men til din information, så sender jeg faktisk en høflig complain-mail
direkte til afsenderen, for at gøre opmærksmom på at hans e-mail bliver
unyttet. Men når man, som jeg, har modtaget over 15 fra samme adresse, så er
der måske noget der er mere end galt.

Hvem ved - jeg gør ikke og med dine bemærkninger her og der , så gør du det
nok heller ikke.

---

::
:: Hvis du har så travlt med at vise din medmenneskelighed og høflighed
:: og ikke mindst have andre til at tro på det samtidig, så burde du
:: overveje din egen måde at udtrykke dig på rigtigt meget.
:: Hvis du synes jeg fornærmer nogen så skulle du læse dit eget lort en
:: gang mere...

Herligt niveau at diskutere på. Bortset fra det, så kan det godt være at
Claus udtrykte sin utilfredshed med dit indlæg på lidt uelegant facon, men
jeg er faktisk enig med ham. Det meste af dit indlæg er noget vrøvl. Hvis du
føler behov for at få en uddybende forklaring på hvorfor jeg synes det, vil
jeg meget gerne komme med en sådan.

:: Men til din information, så sender jeg faktisk en høflig complain-
:: mail direkte til afsenderen, for at gøre opmærksmom på at hans e-
:: mail bliver unyttet. Men når man, som jeg, har modtaget over 15 fra
:: samme adresse, så er der måske noget der er mere end galt.
::
Det ændrer stadig ikke ved, at hvis hans adresse bliver spoofet af en anden,
har han overhovedet ingen indflydelse på dette. Han har sandsynligvis bare
stået i adressebogen hos den person der nu er ramt af klez viraen. Derfor er
det aldeles usmart at poste hans adresse på Usenet. Så kan man nemlig være
sikker på, at han nok skal modtage alt muligt sjovt, i form af spam og evt.
vira. Dit tidligere forslag om at han måske skulle lukke sin email konto i
en periode vil da heller ikke hjælpe en smule, hvis adressen er spoofet.

På mig virker det ikke som om, at du havde overvejet, at adressen kunne være
forfalsket inden du skrev dit harmdirrende indlæg.

Du skriver at du er i besiddelse af "Building Internet Firewalls". Jeg kan
varmt anbefale at læse den.

Nuff said

/FreeMan

---

FreeMan wrote:
|
snip
|
>
> Herligt niveau at diskutere på. Bortset fra det, så kan det godt være at
> Claus udtrykte sin utilfredshed med dit indlæg på lidt uelegant facon, men
> jeg er faktisk enig med ham. Det meste af dit indlæg er noget vrøvl. Hvis du
> føler behov for at få en uddybende forklaring på hvorfor jeg synes det, vil
> jeg meget gerne komme med en sådan.
|
snip
|

> Det ændrer stadig ikke ved, at hvis hans adresse bliver spoofet af en anden,
> har han overhovedet ingen indflydelse på dette. Han har sandsynligvis bare
> stået i adressebogen hos den person der nu er ramt af klez viraen. Derfor er
> det aldeles usmart at poste hans adresse på Usenet. Så kan man nemlig være
> sikker på, at han nok skal modtage alt muligt sjovt, i form af spam og evt.
> vira. Dit tidligere forslag om at han måske skulle lukke sin email konto i
> en periode vil da heller ikke hjælpe en smule, hvis adressen er spoofet.
>
> På mig virker det ikke som om, at du havde overvejet, at adressen kunne være
> forfalsket inden du skrev dit harmdirrende indlæg.
>
> Du skriver at du er i besiddelse af "Building Internet Firewalls". Jeg kan
> varmt anbefale at læse den.
>
> Nuff said
>
> /FreeMan

Jowjow...meget udførligt beskrevet

Tak for støtten, Freeman. Der er altid nogen, som bliver skrækkeligt
indignerede når man indikerer, at de kunne tænke sig bedre om.

/CM