---

....skriver CW sq i dag...:(

<snip>

Portskanninger stammer fra orm
Den kraftige stigninger i skanninger mod porte til diskdeling forleden
fra skyldes en orm, der leder efter svage passwords. Det rapporterer
sikkerhedsorganisationen SANS Institute. Nu er antallet af skanninger
faldet til normalt niveau.
Læs hele artiklen her
<http://www.computerworld.dk/default.asp?Mode=2&ArticleID=16688>

</snip>

Det forstår jeg sq ikke....Lige nu kl. 11:40 har der været 346 attack's,
som ZA har afvist på mine porte fra kl. 08:50...
I sidste uge, hvor det sq ha' været værst var der 300-400 pr. dag...:(

Har stadig til gode at finde ud af, hvordan man bliver det kvit...(?)

--
Venlig hilsen / Best regards
Thore Sorensen - DK-2700 Bronshoj
(Z = spamfilter)

---

Thore <Zdinotec@pc.dk> writes:

>Det forstår jeg sq ikke....Lige nu kl. 11:40 har der været 346 attack's,
>som ZA har afvist på mine porte fra kl. 08:50...
>I sidste uge, hvor det sq ha' været værst var der 300-400 pr. dag...:(

>Har stadig til gode at finde ud af, hvordan man bliver det kvit...(?)

Får ZA til at lade være med at advisere dig om ligegyldige pakker?

Mvh.
   Klaus.

---

On Fri, 25 Oct 2002 09:49:32 +0000 (UTC), Klaus Ellegaard
<klaus@ellegaard.dk> wrote:

>Thore <Zdinotec@pc.dk> writes:
>
>>Det forstår jeg sq ikke....Lige nu kl. 11:40 har der været 346 attack's,
>>som ZA har afvist på mine porte fra kl. 08:50...
>>I sidste uge, hvor det sq ha' været værst var der 300-400 pr. dag...:(
>
>>Har stadig til gode at finde ud af, hvordan man bliver det kvit...(?)
>
>Får ZA til at lade være med at advisere dig om ligegyldige pakker?
>
Ja, det er fint...:) Hvordan skal jeg lige konstatere, hvad der er
ligegyldige og ikke-ligegyldige pakker?
Hele den portscanningseance med 300-400 portscanninger pr. dag startede
for 10-12 dage siden. Inden den tid var det 3-10 pr. dag.
Jeg får ikke "alerten" frem på skærmen, det ville ikke være til at holde
ud. Jeg skal manuelt åbne ZA fra systray'en for at se dem...:)

Jeg vil blot tilbage til "gamle dage" hvor der var max 8-10 stk. pr.
dag...:) Hvordan kommer jeg det? Hiver stikket ud?

--
Venlig hilsen / Best regards
Thore Sorensen - DK-2700 Bronshoj
(Z = spamfilter)

---

Thore skrev:

>Jeg vil blot tilbage til "gamle dage" hvor der var max 8-10 stk. pr.
>dag...:) Hvordan kommer jeg det? Hiver stikket ud?

Hvis du kun kører med én computer, kan du med fordel fjerne din
'firewall' og i stedet sætte systemet sikkert op. Så er du fri
for at tænke på om du bliver portscanet.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Thore wrote:
>
> >
> >Får ZA til at lade være med at advisere dig om ligegyldige pakker?
> >
> Ja, det er fint...:) Hvordan skal jeg lige konstatere, hvad der er
> ligegyldige og ikke-ligegyldige pakker?

Det er de - groft sagt - alle sammen. Din firewall har jo stopet dem, så
de ikke kan gøre nogen skade, uanset om det er en hacker, en orm eller
din internetudbyders dns-server, der har banket på. Glem alt om det -
med mindre det sløver din computer så meget, at du ikke kan bruge den.

Læs eventuelt det relevante afsnit i OSS'en på
http://a.area51.dk/sikkerhed/hjemme_net#reaktion

Du kan eventuelt også læse:
http://a.area51.dk/sikkerhed/hjemme_net#fwbesked

> Jeg vil blot tilbage til "gamle dage" hvor der var max 8-10 stk. pr.
> dag...:) Hvordan kommer jeg det? Hiver stikket ud?

Næh, for så får du jo slet ikke nogen...

--
Mvh. Kim Ludvigsen

---

Thore wrote:
>
> Jeg vil blot tilbage til "gamle dage" hvor der var max 8-10 stk. pr.
> dag...:) Hvordan kommer jeg det?

Så har du jo brug for en tidsmaskine, men det kan vi desværre
ikke hjælpe dig med.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

---

"Thore" <Zdinotec@pc.dk> skrev i en meddelelse
news:ck5iru8ki3rf5358eltih3psvmq528v65l@4ax.com...
> On Fri, 25 Oct 2002 09:49:32 +0000 (UTC), Klaus Ellegaard
> <klaus@ellegaard.dk> wrote:
>
> >Thore <Zdinotec@pc.dk> writes:

> Jeg vil blot tilbage til "gamle dage" hvor der var max 8-10 stk. pr.
> dag...:) Hvordan kommer jeg det? Hiver stikket ud?

Som jeg forstår dig så vil du logge de første 8-10 scanninger hver dag og så
skrotte resten?

<forslag>
Check loggen indtil du når 10 og slå den så fra
</forslag>

/Brian

---

"Brian R. Jensen" wrote:
>
> Som jeg forstår dig så vil du logge de første 8-10 scanninger hver dag og så
> skrotte resten?
>
> <forslag>
> Check loggen indtil du når 10 og slå den så fra
> </forslag>

Det er da en mulighed. Med iptables kunne man jo
tilføje "-m limit --limit 10/day --limit-burst 10"
til sin LOG regel. Kan man gøre noget tilsvarende
med ZA?

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

---

In article <ck5iru8ki3rf5358eltih3psvmq528v65l@4ax.com>, Thore wrote:
>>Får ZA til at lade være med at advisere dig om ligegyldige pakker?
>>
> Ja, det er fint...:) Hvordan skal jeg lige konstatere, hvad der er
> ligegyldige og ikke-ligegyldige pakker?

Alt det ZA afviser er ligegyldigt. Det eneste ikke-ligegyldige
er det der kommer ind, eller går ud.

Du er interesseret i er, om der kommer nogen ind, og i
så fald hvad de laver.

Det er op til ZA's programmører at kigge efter scanninger så
de kan forbedre produktet.

---

Den Fri, 25 Oct 2002 12:07:35 +0200 skrev Thore:
>On Fri, 25 Oct 2002 09:49:32 +0000 (UTC), Klaus Ellegaard
><klaus@ellegaard.dk> wrote:
>
>>Thore <Zdinotec@pc.dk> writes:
>>
>>>Det forstår jeg sq ikke....Lige nu kl. 11:40 har der været 346 attack's,
>>>som ZA har afvist på mine porte fra kl. 08:50...
>>>I sidste uge, hvor det sq ha' været værst var der 300-400 pr. dag...:(
>>
>>>Har stadig til gode at finde ud af, hvordan man bliver det kvit...(?)
>>
>>Får ZA til at lade være med at advisere dig om ligegyldige pakker?
>>
>Ja, det er fint...:) Hvordan skal jeg lige konstatere, hvad der er
>ligegyldige og ikke-ligegyldige pakker?

Alt til port 137,138,139 er typisk unødig støj, som kommer fra
diverse fejlkonfigurerede windows-maskiner.

Mvh
Kent
--
8:16pm up 2:37, 1 user, load average: 101.21, 95.46, 55.85
164 processes: 62 sleeping, 102 running, 0 zombie, 0 stopped

With XMMS tugging along nicely, playing Vivaldi...

---

"Thore" skrev:
(citat fra CW)
> Portskanninger stammer fra orm
> Den kraftige stigninger i skanninger mod porte til diskdeling forleden
> fra skyldes en orm, der leder efter svage passwords. Det rapporterer
> sikkerhedsorganisationen SANS Institute. Nu er antallet af skanninger
> faldet til normalt niveau.
(citat slut)
> Læs hele artiklen her
> <http://www.computerworld.dk/default.asp?Mode=2&ArticleID=16688>
>
> Det forstår jeg sq ikke....Lige nu kl. 11:40 har der været 346
attack's,
> som ZA har afvist på mine porte fra kl. 08:50...
> I sidste uge, hvor det sq ha' været værst var der 300-400 pr. dag...:(
>
Det er rigtigt nok, at det store antal scanninger stammer fra orme.
Det er især BugBear og OpaServ-ormene, som giver vildt mange scanninger
efter NetBios (port 137, 139 og 445) for tiden.
Hos SANS-instuttet kan følge udviklingen. Port 137 synes at ligge nr. 1
på hitlisten - og faktisk langt over port 445, som eSec af ukendte
årsager har slået alarm over:
http://isc.incidents.org/port_details.html?port=137
http://isc.incidents.org/port_details.html?port=445

Oplysningerne i ComputerWorld er formentlig baseret på oplysninger fra
USA, hvor det godt kan være rigtigt, at antallet af scanninger er
aftagende.
Det er ikke usædvanligt, at Danmark bliver ramt et par dage senere,
fordi mange orme spreder sig som ringe i vandet, så de først efter et
stykke tid kommer væk fra deres eget "IP-nabolag".
Og så er det heller ikke usædvanligt, at det bølger lidt op og ned.
F.eks. er der allerede en håndfuld varianter af OpaServ-ormen.

> Har stadig til gode at finde ud af, hvordan man bliver det kvit...(?)
>
Det gør man ved at få alle internetbrugere til at blive bedre til at
forebygge, opdage og fjerne virus/orme.
Det er jo "alle de andre" og ikke dig, der har et problem.
Med andre ord: Det er ikke nogen let opgave.

Du er tilsyneladende selv beskyttet af din ZoneAlarm for så vidt angår
NetBios-orme. Jeg kan kun være enig med Kim Ludvigsen, der henviser til
denne gruppes OSS (Ofte Stillede Spørgsmål), der som udgangspunkt
anbefaler dig at gøre ingenting - måske lige bortset fra at knibe en
tåre over, at din firewall gør præcis, hvad den får besked på:
http://a.area51.dk/sikkerhed/hjemme_net#reaktion

Du bør sørge for, at du bliver fri for at klikke/kigge på "alarmer"
vedr. NetBios (portene 137, 139 og 445). Det kan måske være meget sjovt
at gemme dem i loggen, så du kan føre din egen lille statistik, hvis du
har lyst. Men lad være med at blive bekymret over det.

Med venlig hilsen

Thomas B. Maxe
(som i denne forbindelse repræsenterer sig selv og ikke TDC Internet)