|
| Skal jeg være bekymret? Fra : Torben |
Dato : 26-06-03 11:31 |
|
Hej NG.
Jeg kom i dag til at kigge i min WinXP firewall log, og syntes egentlig der
er mange hændelser.
Jeg er ved ikke om der er noget at være bange for, men jeg ville da lige
tjekke med jer her inde.
Da loggen er for stor, fylder 3MB alene for de sidste 2timer, og
uoverskuelig, har jeg zippet den
og lagt den op på nettet.[1]
Er der en venlig sjæl der vil kigge den igennem for mig, og fortælle mig, om
de hændelser der er dér i
bare er fra normal surfing, eller om jeg bliver port-scannet/udsat for
forsøg på hacking.
Hvis jeg skal være urolig, hvilken firewall skal jeg så benytte?
Jeg bruger WinXP pro Eng, og jeg ved ikke hvordan man konfigurer en
firewall, så den skal være meget brugervenlig.
På forhånd tak for Din/Jeres hjælp.
[1]. http://home19.inet.tele.dk/stoddah/test/log.zip
..zip @ 211KB
--
Best Regards / Venlig Hilsen:
Torben
Remove / Fjern "-remove-this" to reply
| |
Ukendt (26-06-2003)
| Kommentar Fra : Ukendt |
Dato : 26-06-03 12:06 |
|
"Torben" <stoddah-remove-this@hotmail.com> wrote in message
news:3efacb77$0$12989$ba624c82@nntp02.dk.telia.net...
> Er der en venlig sjæl der vil kigge den igennem for mig, og fortælle mig,
om
> de hændelser der er dér i
> bare er fra normal surfing, eller om jeg bliver port-scannet/udsat for
> forsøg på hacking.
Jeg er ikke ekspert på området men mistænktsom ser det ud.
Jeg synes ikke selv det var til meget hjælp, men du kunne evt prøve at søge
i google, efter port XXXX (altså portnummeret).
Evt:
http://www.google.com/search?q=port+4927&hl=da&lr=&ie=UTF-8&oe=UTF-8&start=2
0&sa=N
> Hvis jeg skal være urolig, hvilken firewall skal jeg så benytte?
> Jeg bruger WinXP pro Eng, og jeg ved ikke hvordan man konfigurer en
> firewall, så den skal være meget brugervenlig.
>
> På forhånd tak for Din/Jeres hjælp.
>
> [1]. http://home19.inet.tele.dk/stoddah/test/log.zip
> .zip @ 211KB
Der er ingen grund til at fjerne din ip, da den er lige her; 62.107.22.115
:)
Mvh
FB
--
Er du ny på usenet? Så læs www.usenet.dk
--> www.DontDoIt.dk <-- Lidt af hvert til din mobil!
| |
Thomas Nielsen (26-06-2003)
| Kommentar Fra : Thomas Nielsen |
Dato : 26-06-03 13:14 |
|
> Jeg kom i dag til at kigge i min WinXP firewall log, og syntes egentlig
der
> er mange hændelser.
> Jeg er ved ikke om der er noget at være bange for, men jeg ville da lige
> tjekke med jer her inde.
>
> Da loggen er for stor, fylder 3MB alene for de sidste 2timer, og
> uoverskuelig, har jeg zippet den
> og lagt den op på nettet.[1]
>
> Er der en venlig sjæl der vil kigge den igennem for mig, og fortælle mig,
om
> de hændelser der er dér i
> bare er fra normal surfing, eller om jeg bliver port-scannet/udsat for
> forsøg på hacking.
>
> Hvis jeg skal være urolig, hvilken firewall skal jeg så benytte?
> Jeg bruger WinXP pro Eng, og jeg ved ikke hvordan man konfigurer en
> firewall, så den skal være meget brugervenlig.
>
> På forhånd tak for Din/Jeres hjælp.
>
> [1]. http://home19.inet.tele.dk/stoddah/test/log.zip
> .zip @ 211KB
>
>
> --
> Best Regards / Venlig Hilsen:
> Torben
> Remove / Fjern "-remove-this" to reply
>
>
Hej Torben.
Udfra at denne ip adresse 194.105.160.50 ( Rhetorical Systems.) opstår
mange. Ser det ud til at du har installeret
et program som oversætter sprog. Fra tekst til tale. på port 80 som jo er
via din browser.
Og denne IP 212.10.30.234 ( Stofanet )
Som du sender mail igennem ( alså SMTP server )
Så er det igorden.
Og denne IP 64.70.54.44 (Cable & Wireless)
Aner jeg ike lige..
Men urolig ville jeg ikke være...
Måske kun at du har sat Winxp til at logge ALT.
Og herved vokser din log filer meget og hurtigt.
prøv at slå det fra.
Da der ikke sker noget urolig trafik.
/Thomas Nielsen
TDN.dk
| |
Torben (26-06-2003)
| Kommentar Fra : Torben |
Dato : 26-06-03 13:31 |
|
"Thomas Nielsen" <t-d@removethis-tiscal.dk> wrote in message
news:7sBKa.30660$Jp3.1428201@news010.worldonline.dk
> Hej Torben.
>
> Udfra at denne ip adresse 194.105.160.50 ( Rhetorical Systems.) opstår
> mange. Ser det ud til at du har installeret
> et program som oversætter sprog. Fra tekst til tale. på port 80 som
> jo er via din browser.
Ja, Jeg har leget lidt med et text-to-speech program.
Men ikke i dag, det var et par dage siden.
Jeg må lige have ryddet ud i mine temp. internet filer.
> Og denne IP 212.10.30.234 ( Stofanet )
> Som du sender mail igennem ( alså SMTP server )
> Så er det igorden.
Fino.
> Og denne IP 64.70.54.44 (Cable & Wireless)
> Aner jeg ike lige..
Det ser ud til at være ValueClick Inc.
Vil lige scanne for SpyWare.
> Men urolig ville jeg ikke være...
> Måske kun at du har sat Winxp til at logge ALT.
> Og herved vokser din log filer meget og hurtigt.
> prøv at slå det fra.
Pyh!
WinXP firewall logger dropped packets, og successfull connections.
Måske skulle jeg slå successfull connections fra.
> Da der ikke sker noget urolig trafik.
Dejligt.
Tak for dit svar, det er værdsat!
--
Best Regards / Venlig Hilsen:
Torben
Remove / Fjern "-remove-this" to reply
| |
Anders Lund (26-06-2003)
| Kommentar Fra : Anders Lund |
Dato : 26-06-03 21:02 |
|
Torben wrote:
>>Da der ikke sker noget urolig trafik.
>
>
> Dejligt.
> Tak for dit svar, det er værdsat!
Det jeg nok ville kigge på var:
2003-06-26 12:08:25 DROP UDP "Fjernet, Min IP" 62.107.31.255 137 137 78
- - - - - - -
Ikke at der sker noget med dig, men denne IP laver rimelig mange hits i
din log.. port 137 er noget Windows fildeling. Faktisk er den blevet
"DROP" næsten 3000 gange - hvor du ialt har haft ca. 5000 "DROP".
Men det er måske en maskine på dit netværk, hvor du har 2 dynamiske IP
adresser på Internet? I så fald er det bare en masse støj..
| |
Torben (26-06-2003)
| Kommentar Fra : Torben |
Dato : 26-06-03 22:30 |
|
"Anders Lund" <spam2003@andersonline.dk> wrote in message
news:bdfjg1$1gfm$1@news.cybercity.dk
> Det jeg nok ville kigge på var:
>
> 2003-06-26 12:08:25 DROP UDP "Fjernet, Min IP" 62.107.31.255 137 137
> 78 - - - - - - -
>
> Ikke at der sker noget med dig, men denne IP laver rimelig mange hits
> i din log.. port 137 er noget Windows fildeling. Faktisk er den blevet
> "DROP" næsten 3000 gange - hvor du ialt har haft ca. 5000 "DROP".
ja, den har jeg også studset lidt over.
> Men det er måske en maskine på dit netværk, hvor du har 2 dynamiske IP
> adresser på Internet? I så fald er det bare en masse støj..
Jeg har kun en maskine, og den er forbundet direkte til StofaNet kabel
modem.
Jeg har lige startet maskinen op og dette er allerede i loggen:
2003-06-26 23:16:54 DROP UDP 62.107.22.115 62.107.31.255 137 137
96 - - - - - - -
2003-06-26 23:16:54 DROP UDP 62.107.22.115 62.107.31.255 138 138
207 - - - - - - -
2003-06-26 23:16:56 DROP UDP 62.107.22.115 62.107.31.255 138 138
207 - - - - - - -
2003-06-26 23:16:57 DROP UDP 62.107.22.115 62.107.31.255 138 138
207 - - - - - - -
2003-06-26 23:17:00 DROP UDP 62.107.22.115 62.107.31.255 138 138
219 - - - - - - -
2003-06-26 23:17:01 DROP UDP 62.107.22.115 62.107.31.255 138 138
219 - - - - - - -
2003-06-26 23:17:02 DROP UDP 62.107.22.115 62.107.31.255 138 138
219 - - - - - - -
2003-06-26 23:17:03 DROP UDP 62.107.22.115 62.107.31.255 138 138
219 - - - - - - -
2003-06-26 23:17:05 DROP UDP 62.107.22.115 62.107.31.255 137 137
96 - - - - - - -
2003-06-26 23:17:06 DROP UDP 62.107.22.115 62.107.31.255 137 137
96 - - - - - - -
2003-06-26 23:17:07 DROP UDP 62.107.22.115 62.107.31.255 137 137
96 - - - - - - -
2003-06-26 23:17:07 DROP UDP 62.107.22.115 62.107.31.255 137 137
96 - - - - - - -
2003-06-26 23:17:08 DROP UDP 62.107.22.115 62.107.31.255 137 137
96 - - - - - - -
2003-06-26 23:17:09 DROP UDP 62.107.22.115 62.107.31.255 137 137
96 - - - - - - -
2003-06-26 23:17:10 DROP UDP 62.107.22.115 62.107.31.255 137 137
96 - - - - - - -
2003-06-26 23:17:10 DROP UDP 62.107.22.115 62.107.31.255 138 138
207 - - - - - - -
2003-06-26 23:17:10 DROP UDP 62.107.22.115 62.107.31.255 138 138
237 - - - - - - -
2003-06-26 23:17:10 DROP UDP 62.107.22.115 62.107.31.255 137 137
78 - - - - - - -
2003-06-26 23:17:11 DROP UDP 62.107.22.115 62.107.31.255 137 137
78 - - - - - - -
2003-06-26 23:17:12 DROP UDP 62.107.22.115 62.107.31.255 137 137
78 - - - - - - -
2003-06-26 23:17:13 DROP UDP 62.107.22.115 62.107.31.255 137 137
78 - - - - - - -
2003-06-26 23:17:13 DROP UDP 62.107.22.115 62.107.31.255 137 137
78 - - - - - - -
2003-06-26 23:17:14 DROP UDP 62.107.22.115 62.107.31.255 137 137
78 - - - - - - -
2003-06-26 23:18:10 DROP UDP 62.107.22.115 62.107.31.255 138 138
237 - - - - - - -
2003-06-26 23:18:44 DROP UDP 62.107.22.115 62.107.31.255 138 138
202 - - - - - - -
2003-06-26 23:18:44 DROP UDP 62.107.22.115 62.107.31.255 137 137
78 - - - - - - -
2003-06-26 23:18:45 DROP UDP 62.107.22.115 62.107.31.255 137 137
78 - - - - - - -
2003-06-26 23:18:46 DROP UDP 62.107.22.115 62.107.31.255 137 137
78 - - - - - - -
2003-06-26 23:18:48 DROP UDP 62.107.22.115 62.107.31.255 138 138
202 - - - - - - -
2003-06-26 23:18:48 DROP UDP 62.107.22.115 62.107.31.255 137 137
78 - - - - - - -
2003-06-26 23:18:49 DROP UDP 62.107.22.115 62.107.31.255 137 137
78 - - - - - - -
2003-06-26 23:18:50 DROP UDP 62.107.22.115 62.107.31.255 137 137
78 - - - - - - -
2003-06-26 23:18:53 DROP UDP 62.107.22.115 62.107.31.255 138 138
202 - - - - - - -
2003-06-26 23:18:53 DROP UDP 62.107.22.115 62.107.31.255 137 137
78 - - - - - - -
2003-06-26 23:18:53 DROP UDP 62.107.22.115 62.107.31.255 137 137
78 - - - - - - -
2003-06-26 23:18:54 DROP UDP 62.107.22.115 62.107.31.255 137 137
78 - - - - - - -
2003-06-26 23:18:57 DROP UDP 62.107.22.115 62.107.31.255 138 138
211 - - - - - - -
2003-06-26 23:19:10 DROP UDP 62.107.22.115 62.107.31.255 138 138
237 - - - - - - -
2003-06-26 23:24:10 DROP UDP 62.107.22.115 62.107.31.255 138 138
237 - - - - - - -
Men det er måske, som Rasmus skriver, StofaNet's broadcast. (?)
Nogen der kan svare på dette?
--
Best Regards / Venlig Hilsen:
Torben
Remove / Fjern "-remove-this" to reply
| |
Rasmus Bøg Hansen (26-06-2003)
| Kommentar Fra : Rasmus Bøg Hansen |
Dato : 26-06-03 21:49 |
|
Anders Lund <spam2003@andersonline.dk> writes:
> Torben wrote:
>>>Da der ikke sker noget urolig trafik.
>> Dejligt.
>> Tak for dit svar, det er værdsat!
>
> Det jeg nok ville kigge på var:
>
> 2003-06-26 12:08:25 DROP UDP "Fjernet, Min IP" 62.107.31.255 137 137
> 78 - - - - - - -
>
> Ikke at der sker noget med dig, men denne IP laver rimelig mange hits
> i din log.. port 137 er noget Windows fildeling. Faktisk er den blevet
> "DROP" næsten 3000 gange - hvor du ialt har haft ca. 5000 "DROP".
>
> Men det er måske en maskine på dit netværk, hvor du har 2 dynamiske IP
> adresser på Internet? I så fald er det bare en masse støj..
Stofanet, Århus. Hans egen IP er tilsyneladende 62.107.22.115, så mon
ikke det er den lokale broadcast (jeg ved ikke, hvordan stofanet er
sat op)?
Det er dog et tegn på, at NetBIOS er bundet til WAN-interfacet - det
ville jeg straks se af få afinstalleret (eller i hvert fald få fjernet
bindingen til WAN-interface).
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
checkuary, n:
The thirteenth month of the year. Begins New Year's Day and ends
when a person stops absentmindedly writing the old year on his checks.
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Torben (26-06-2003)
| Kommentar Fra : Torben |
Dato : 26-06-03 22:32 |
|
"Rasmus Bøg Hansen" <moffespam@amagerkollegiet.dk> wrote in message
news:87fzlwftte.fsf@grignard.amagerkollegiet.dk
> Det er dog et tegn på, at NetBIOS er bundet til WAN-interfacet - det
> ville jeg straks se af få afinstalleret (eller i hvert fald få fjernet
> bindingen til WAN-interface).
Hej Rasmus.
Hvordan gøre jeg dette i WinXP?
Hvis jeg gøre dette, afskærre det mig så for noget, eller vil volde mig
problemer.
Nu tænker jeg på FTP server, Irc, eller andet...
takker.
--
Best Regards / Venlig Hilsen:
Torben
Remove / Fjern "-remove-this" to reply
| |
Bertel Lund Hansen (26-06-2003)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 26-06-03 22:40 |
|
Torben skrev:
>> Det er dog et tegn på, at NetBIOS er bundet til WAN-interfacet - det
>> ville jeg straks se af få afinstalleret (eller i hvert fald få fjernet
>> bindingen til WAN-interface).
>Hvordan gøre jeg dette i WinXP?
Det ved jeg ikke, men det står vist her:
http://www.hsc.fr/ressources/breves/min_srv_res_win.en.html.html
>Hvis jeg gøre dette, afskærre det mig så for noget, eller vil volde mig
>problemer.
NetBIOS har intet med internettet at gøre - ud over at den
hjælper dig med at dele dit system med gud og hvermand (kommer
dog også an på den øvrige opsætning).
>Nu tænker jeg på FTP server, Irc, eller andet...
NetBIOS bruges til at dele ting og sager på et lokalnet.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Torben (26-06-2003)
| Kommentar Fra : Torben |
Dato : 26-06-03 23:05 |
|
"Bertel Lund Hansen" <nospamfor@lundhansen.dk> wrote in message
news:itpmfv4r1injdcqcfufpjgt991u6e8s933@news.stofanet.dk
> Det ved jeg ikke, men det står vist her:
>
>
> http://www.hsc.fr/ressources/breves/min_srv_res_win.en.html.html
>
>> Hvis jeg gøre dette, afskærre det mig så for noget, eller vil volde
>> mig problemer.
>
> NetBIOS har intet med internettet at gøre - ud over at den
> hjælper dig med at dele dit system med gud og hvermand (kommer
> dog også an på den øvrige opsætning).
Mange tak.
Den tekst vil jeg straks gå i krig med.
--
Best Regards / Venlig Hilsen:
Torben
Remove / Fjern "-remove-this" to reply
| |
Rasmus Bøg Hansen (26-06-2003)
| Kommentar Fra : Rasmus Bøg Hansen |
Dato : 26-06-03 22:46 |
|
"Torben" <stoddah-remove-this@hotmail.com> writes:
> "Rasmus Bøg Hansen" <moffespam@amagerkollegiet.dk> wrote in message
> news:87fzlwftte.fsf@grignard.amagerkollegiet.dk
>
>> Det er dog et tegn på, at NetBIOS er bundet til WAN-interfacet - det
>> ville jeg straks se af få afinstalleret (eller i hvert fald få fjernet
>> bindingen til WAN-interface).
> Hvordan gøre jeg dette i WinXP?
Det kan jeg ikke huske. Du skal formentlig ind i egenskaberne for din
WAN-forbindelse og deaktivere det på en eller anden vis (jeg har
engang puslet lidt med det under Windows 2000 men aldrig XP).
> Hvis jeg gøre dette, afskærre det mig så for noget, eller vil volde mig
> problemer.
> Nu tænker jeg på FTP server, Irc, eller andet...
NetBIOS er "Windows fildeling". Ingen bruger det i praksis over
internettet (i hvert fald ikke uden ipsec el. lign.), så du vil ikke
afskære dig fra noget. Hvis du bruger det på lokalnettet skal du dog
være opmærksom på fortsat at knytte det til LAN-interfacet.
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
It ain't possible for a dumb to sing no matter how good his
dice rolls are!
-- SmurfQuest rules
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Rasmus Bøg Hansen (26-06-2003)
| Kommentar Fra : Rasmus Bøg Hansen |
Dato : 26-06-03 22:48 |
|
"Torben" <stoddah-remove-this@hotmail.com> writes:
> Men det er måske, som Rasmus skriver, StofaNet's broadcast. (?)
> Nogen der kan svare på dette?
Det kan du selv:
ipconfig /all
i en kommandoprompt vil vist fortælle dig, hvad din broadcastadresse
er.
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
if (!strcmp(getenv(EDITOR), "vi")) {karma++};
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Torben (26-06-2003)
| Kommentar Fra : Torben |
Dato : 26-06-03 22:56 |
|
"Rasmus Bøg Hansen" <moffespam@amagerkollegiet.dk> wrote in message
news:871xxgmrxi.fsf@grignard.amagerkollegiet.dk
> Det kan du selv:
>
> ipconfig /all
>
> i en kommandoprompt vil vist fortælle dig, hvad din broadcastadresse
> er.
62.107.31.254 er deafault GW. Så det er jo fint.
--
Best Regards / Venlig Hilsen:
Torben
Remove / Fjern "-remove-this" to reply
| |
|
|