---

jeg havde en fremmed der gernevil ind og *snakke* med min maskine
fierwall sagde :

inbound tcp on port 1025
aplicasion wininit \ system 32\mastask.exe
23-08-2003 kl 1409:32 + kl 1505
remote adresse 80.63.184.246 ( er det ikke en tdc ? )

hvad betyder det i praksis ?
--
Mv.
Bo M Mogensen



"I can't feel you anymore, I can't even touch the books you've read
Every time I crawl past your door, I been wishin' I was somebody else instead.
Down the highway, down the tracks, down the road to ecstasy,I followed you beneath the stars,
hounded by your memory And all your ragin' glory."Dylan "Idiot wind "1974

---

Bo M Mogensen wrote:
>
> jeg havde en fremmed der gernevil ind og *snakke* med min maskine
> fierwall sagde :

> remote adresse 80.63.184.246 ( er det ikke en tdc ? )

Whois:
Registrant
Handle: JSA144-DK
Name: Johan Schlüter Advokatfirma
Address: Sundkrogsgade 9
Postalcode: 2100
City: København Ø
Country: Danmark
Phone: +45 33 63 96 50
Email: klf@jschluter.com



....



Just kidding. Undskyld, jeg kunne ikke lade være.

> aplicasion wininit \ system 32\mastask.exe

Du har ikke lavet en slåfejl, så det er mstask.exe?

I så fald bør du måske spørge i virusgruppen. Se evt. denne side:
http://vil.nai.com/vil/content/v_99930.htm

--
Mvh. Kim Ludvigsen

---

Kim Ludvigsen <usenet@kimludvigsen.dk> writes:

>> remote adresse 80.63.184.246 ( er det ikke en tdc ? )

>Whois:

Det var godtnok lige før, du skyldte mig en ny blærbar der - den
var tæt på at drukne i et sprøjt hvidvin i latteranfaldet

Tak for dagens underholdning!

Mvh.
   Klaus.

---

On Sat, 23 Aug 2003 19:56:17 +0000 (UTC), Klaus Ellegaard
<klausellegaard@msn.com> wrote:

>Kim Ludvigsen <usenet@kimludvigsen.dk> writes:
>
>>> remote adresse 80.63.184.246 ( er det ikke en tdc ? )
>
>>Whois:
>
>Det var godtnok lige før, du skyldte mig en ny blærbar der - den
>var tæt på at drukne i et sprøjt hvidvin i latteranfaldet
>
>Tak for dagens underholdning!

jamen det var da så lidt klaus ....men den påhgældene ip adresse
tilhøre jo faktisk tdc - så jeg fejler at se det morsomme i det ?
--
Mv.
Bo M Mogensen


As you look through my door-Deep into my room-Can you feel the mighty wall of power
It's waiting, waiting in the gloom-The distant shadows of forgotten champions
Those who live in me still-And will rise when we challenge and kill Born again -You'll be born again!!
Black Sabbat "Born Again-1983 " http://makeashorterlink.com/?D2BE52085

---

Bo M Mogensen <chokmah@spamcop.net> writes:

>jamen det var da så lidt klaus ....men den påhgældene ip adresse
>tilhøre jo faktisk tdc - så jeg fejler at se det morsomme i det ?

Det var en kommentar til Kims kommentar - den havde ikke
noget med dig at gøre.

Og ja, den tilhører en DSL-kunde hos TDC. Så om noget kan
du skrive til TDCs abuse-folk. Spørgsmålet er dog, om det
ikke er nemmere bare at glæde sig over, at firewallen fik
fat i den, og så ikke gøre mere.

Bevares, det kan da godt ske, at det er en grim hacker, og
så burde han ha' nogle juridiske "smæk". Men chancen for,
at det er en bruger, der har tastet forkert, ikke anet hvad
han gjorde eller lignende, er nok tusind gange større.

Mvh.
   Klaus.

---

On Sun, 24 Aug 2003 15:35:33 +0000 (UTC), Klaus Ellegaard
<klausellegaard@msn.com> wrote:

>Bo M Mogensen <chokmah@spamcop.net> writes:
>
>>jamen det var da så lidt klaus ....men den påhgældene ip adresse
>>tilhøre jo faktisk tdc - så jeg fejler at se det morsomme i det ?
>
>Det var en kommentar til Kims kommentar - den havde ikke
>noget med dig at gøre.
>
>Og ja, den tilhører en DSL-kunde hos TDC. Så om noget kan
>du skrive til TDCs abuse-folk.

jamen det har jeg gjort !

>Spørgsmålet er dog, om det
>ikke er nemmere bare at glæde sig over, at firewallen fik
>fat i den, og så ikke gøre mere.

Nå ja men der sker jo ikke alverden hvis det er uheld - men ligger der
nu 12 - 25 andre med den samme besked så er der jo nok noget galt med
indehaveren af kontoen !
jeg synes da det er meget godt man køre en log fil på folk med *uheld*
så man ved sener abuse arbejde kan danne sig et billed af hvad det er
for en persom man har med at gøre !
>
>Bevares, det kan da godt ske, at det er en grim hacker, og
>så burde han ha' nogle juridiske "smæk". Men chancen for,
>at det er en bruger, der har tastet forkert, ikke anet hvad
>han gjorde eller lignende, er nok tusind gange større.

jeg kan bare ikke forstå hvordan det kan ske ? med mindre man gå ind
på min ip adresse og ser om man kan komme ind i min maskine ?
og det var jo ikke bare en gang .... *han*/hun (?) prøvede et stykke
tid -
--
Mv.
Bo M Mogensen


As you look through my door-Deep into my room-Can you feel the mighty wall of power
It's waiting, waiting in the gloom-The distant shadows of forgotten champions
Those who live in me still-And will rise when we challenge and kill Born again -You'll be born again!!
Black Sabbat "Born Again-1983 " http://makeashorterlink.com/?D2BE52085

---

Bo M Mogensen skrev:

> jeg synes da det er meget godt man køre en log fil

Det synes jeg ikke, hvis alt den viser er det du har gengivet her, så
kan du lige så godt lade være med at kigge i loggen.

Hvis du endelig synes at den skal gøre gavn, kunne du overveje om ikke
<URL: http://dshield.org/ > havde mere brug for den. De bruger logfilen
til at lave oversigter og statistikker som f.eks. kan ses på:
<URL: http://incidents.org >.

Du skal bruge et program på din maskine, for at kunne sende logfilen
til dem: <URL: http://dshield.org/howto.php >

> jeg kan bare ikke forstå hvordan det kan ske ? med mindre man gå ind
> på min ip adresse og ser om man kan komme ind i min maskine ?
> og det var jo ikke bare en gang .... *han*/hun (?) prøvede et stykke
> tid -

Det var en væsenligt oplysning, var det flere timer eller bare 5 til
10 gange?

---

Bo M Mogensen <chokmah@spamcop.net> writes:

>jeg kan bare ikke forstå hvordan det kan ske ? med mindre man gå ind
>på min ip adresse og ser om man kan komme ind i min maskine ?
>og det var jo ikke bare en gang .... *han*/hun (?) prøvede et stykke
>tid -

Brugeren er selv kompromitteret og en hacker i Peru bruger den
hackede boks til at genere dig med?

Mvh.
   Klaus.

---

Bo M Mogensen skrev:

> Klaus Ellegaard wrote:

>> Kim Ludvigsen writes:
> >> Whois:

>> Det var godtnok lige før, du skyldte mig en ny blærbar der - den
>> var tæt på at drukne i et sprøjt hvidvin i latteranfaldet

>> Tak for dagens underholdning!

> jamen det var da så lidt klaus

Klaus griner over dette:

"Name: Johan Schlüter Advokatfirma"

Firmaet deltog tidligere i jagten på folk, som havde en alternativ
holdning til det her med hvad der er dit og hvad der er mit (f.eks. ud-
veksling af DVD-film).

---

Peder Vendelbo Mikkelsen wrote:

> "Name: Johan Schlüter Advokatfirma"
>
> Firmaet deltog tidligere i jagten på folk, som havde en alternativ
> holdning til det her med hvad der er dit og hvad der er mit (f.eks. ud-
> veksling af DVD-film).

Det gør firmaet såmænd stadigvæk, bla. via Antipiratgruppen. Men joken
var åbenbart for indforstået.

--
Mvh. Kim Ludvigsen

---

In article <r59fkvoc38slhu3lt8i4h4mmi9ikqqi2ah@4ax.com>,
Bo M Mogensen wrote:

> inbound tcp on port 1025
> aplicasion wininit \ system 32\mastask.exe
> 23-08-2003 kl 1409:32 + kl 1505
> remote adresse 80.63.184.246 ( er det ikke en tdc ? )

:r !host 80.63.184.246

246.184.63.80.in-addr.arpa
domain name pointer 0x503fb8f6.odnxx2.adsl-dhcp.tele.dk.

jo, det er det. Men hvad vil du saa ligge i det. Det eneste det betyder er
at det ser ud til at paagaeldende maskine har forsoegt at kontakte din
maskine paa et bestemt tidspunkt. Det kan vaere alt fra et hackerforsoeg
til en fejlindtastning af en adresse eller lignende. Da du nok ikke har
foretaget et TCP-handshake kan du ikke engang vaere sikker paa at adressen
ikke er blevet forged undervejs af afsender.

informationen ville jeg ikke benytte til noget. Jeg mener ikke den kan benyttes

--
j.

---

On Sat, 23 Aug 2003 20:53:33 +0100, Jesper Louis Andersen
<jlouis@miracle.mongers.org> wrote:

>In article <r59fkvoc38slhu3lt8i4h4mmi9ikqqi2ah@4ax.com>,
>Bo M Mogensen wrote:
>
>> inbound tcp on port 1025
>> aplicasion wininit \ system 32\mastask.exe
>> 23-08-2003 kl 1409:32 + kl 1505
>> remote adresse 80.63.184.246 ( er det ikke en tdc ? )
>
>:r !host 80.63.184.246
>
>246.184.63.80.in-addr.arpa
>domain name pointer 0x503fb8f6.odnxx2.adsl-dhcp.tele.dk.
>
>jo, det er det. Men hvad vil du saa ligge i det. Det eneste det betyder er
>at det ser ud til at paagaeldende maskine har forsoegt at kontakte din
>maskine paa et bestemt tidspunkt.

jamen hvorfor skulle den dog det ??

>Det kan vaere alt fra et hackerforsoeg
>til en fejlindtastning af en adresse eller lignende.

hvordan kan det ske man kommer til at taste så man ved en fejl prøver
at komme igenem min port 1025 ? og hvad skulle vedkommene dog der ?

>Da du nok ikke har
>foretaget et TCP-handshake

hvad er det og hvordan gør man det ?

> kan du ikke engang vaere sikker paa at adressen
>ikke er blevet forged undervejs af afsender.

forged -hvad er det ???

>
>informationen ville jeg ikke benytte til noget. Jeg mener ikke den kan benyttes


nå jeg synes da nok det er intersant når nogen prøver at komme ind i
min maskine - ville du ikke også synes det - hvis det var din ??
--
Mv.
Bo M Mogensen


As you look through my door-Deep into my room-Can you feel the mighty wall of power
It's waiting, waiting in the gloom-The distant shadows of forgotten champions
Those who live in me still-And will rise when we challenge and kill Born again -You'll be born again!!
Black Sabbat "Born Again-1983 " http://makeashorterlink.com/?D2BE52085

---

Bo M Mogensen <chokmah@spamcop.net> wrote:

>On Sat, 23 Aug 2003 20:53:33 +0100, Jesper Louis Andersen
><jlouis@miracle.mongers.org> wrote:

>> kan du ikke engang vaere sikker paa at adressen
>>ikke er blevet forged undervejs af afsender.
>
>forged -hvad er det ???

"forged" er et engelsk ord der betyder "forfalsket".

>nå jeg synes da nok det er intersant når nogen prøver at komme ind i
>min maskine - ville du ikke også synes det - hvis det var din ??

Jeg finder det ikke særlig interessant.

Det sker mange mange gange hver eneste dag at der kommer pakker til
min Linuxfirewall som den afviser. Der er to grunde til at jeg
overhovedet logger det: dels kan jeg så se om det pludselig en dag
stiger til det tidobbelte, dels kan jeg studere detaljerne hvis jeg en
dag af andre grunde tror at nogen virkelig målrettet angriber min
maskine. Men i så godt som alle den slags tilfælde skyldes det enten
en fejl fra en uskyldig bruger eller et spredehaglsagtigt angreb fra
en skurk som skyder efter en hel masse IP-adresse; det er ekstremt
sjældent at det er nogen der målrettet er ude efter én.

Jeg gider ikke gøre noget som helst ved den slags - udover at glæde
mig over at min firewall stopper det, naturligvis.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Bo M Mogensen skrev:

> jamen hvorfor skulle den dog det ??

Det er svært at sige noget om.

> hvordan kan det ske man kommer til at taste så man ved en fejl prøver
> at komme igenem min port 1025 ? og hvad skulle vedkommene dog der ?

Spørg vedkommende hvis du en dag møder ham.

Ifølge denne google-søgning, kunne det godt have været Poker-programmet
i Windows (i netværksudgaven):

<URL:
http://216.239.51.104/search?q=cache:OrvKFSee18EJ:www.css.edu/users/tgibbons/CIS4032Networking/TCP%2520Ports.doc+mastask.exe&hl=en&ie=UTF-8 >

Søg efter 1025/tcp. Jeg aner ikke hvordan det fungerer, måske skal man
indskrive en IP-adresse for at spille det over internettet?

>> Da du nok ikke har foretaget et TCP-handshake

> hvad er det og hvordan gør man det ?

Det gør du ikke, det gør din TCP/IP-protokol for dig.

> forged -hvad er det ???

Forfalsket. Forskellige orme forfalsker afsender-IP-adressen.

>> informationen ville jeg ikke benytte til noget. Jeg mener ikke den
>> kan benyttes

> nå jeg synes da nok det er intersant når nogen prøver at komme ind i
> min maskine - ville du ikke også synes det - hvis det var din ??

Jeg vil tro at Jesper forsøger at sige at du ikke har leveret nok in-
formationer, til at der kan siges noget klogt om hvad der er sket.

Hvis f.eks. du havde fået den samme besked 1000 gange på et par minut-
ter og dit program havde fanget IP-pakken (så du kunne gengive den i
dit indlæg) ville der være noget mere at komme efter.

Med de informationer du har leveret, kan man kun kaste sig ud i spe-
kulationer.

---

Den Sun, 24 Aug 2003 23:18:41 +0200 skrev Bo M Mogensen:
>On Sat, 23 Aug 2003 20:53:33 +0100, Jesper Louis Andersen
><jlouis@miracle.mongers.org> wrote:
>
>>In article <r59fkvoc38slhu3lt8i4h4mmi9ikqqi2ah@4ax.com>,
>>Bo M Mogensen wrote:
>>
>>> inbound tcp on port 1025
>>> aplicasion wininit \ system 32\mastask.exe
>>> 23-08-2003 kl 1409:32 + kl 1505
>>> remote adresse 80.63.184.246 ( er det ikke en tdc ? )
>>
>>:r !host 80.63.184.246
>>
>>246.184.63.80.in-addr.arpa
>>domain name pointer 0x503fb8f6.odnxx2.adsl-dhcp.tele.dk.
>>
>>jo, det er det. Men hvad vil du saa ligge i det. Det eneste det betyder er
>>at det ser ud til at paagaeldende maskine har forsoegt at kontakte din
>>maskine paa et bestemt tidspunkt.
>
>jamen hvorfor skulle den dog det ??
>
>>Det kan vaere alt fra et hackerforsoeg
>>til en fejlindtastning af en adresse eller lignende.
>
>hvordan kan det ske man kommer til at taste så man ved en fejl prøver
>at komme igenem min port 1025 ? og hvad skulle vedkommene dog der ?

1. IP-adresser og portnumre er lige så svære at ramme rigtigt, som
telefon-numre. Så du kan lige så nemt være ude for en der får forkert
nummer der, som på telefonen.

2. 1025 bruges vist til et eller andet windows-internt, så det er
muligt det bare er en windows-maskine der lige skal se om du også kører
windows, præcis som alt det "støj" man får på 135,137,138,139.

Mvh
Kent
--
Hvis man ikke kan lide klassisk musik, er det sandsynligvis fordi
lydkvaliteten er for dårlig. Klassisk musik kræver et godt anlæg.

---

Bo M Mogensen <chokmah@spamcop.net> writes:

>>Det kan vaere alt fra et hackerforsoeg
>>til en fejlindtastning af en adresse eller lignende.
>
> hvordan kan det ske man kommer til at taste så man ved en fejl prøver
> at komme igenem min port 1025 ? og hvad skulle vedkommene dog der ?

Har du dynamisk ip-adresse? Så kunne det jo være at det engang var en
vens adresse.

Hilsen
Kåre

--
Kaare Fiedler Christiansen fiedler@daimi.au.dk

2b|~2b == -1