---

Hejsa!

Sygate firewall har hele dagen idag næsten konstant meldt om at der er nogle
der scanner mine porte.
Den melder følgende:

Somebody is scanning your computer.
Your computer's TCP ports:
5000, 2745, 1025, 3127 and 6129 have been scanned from 218.106.98.241.

Der er flere IP der gør det på skift. Det begynder ca 10min efter jeg har
genstartet. Nogle gange længere...

Der er flere IP:
Somebody is scanning your computer.
Your computer's TCP ports:
5000, 2745, 6129, 3127 and 1025 have been scanned from 62.234.7.35.

Somebody is scanning your computer.
Your computer's TCP ports:
2745, 1025, 3127, 6129 and 5000 have been scanned from 65.35.163.193

Somebody is scanning your computer.
Your computer's TCP ports:
2745, 1025, 3127, 6129 and 5000 have been scanned from 203.217.106.126.

Hva foregår der?
Og bør jeg være nervøs?

Venligst

---

"Søren Christensen" wrote:
>
> Hejsa!
>
> Sygate firewall har hele dagen idag næsten konstant meldt om at der er nogle
> der scanner mine porte.
> Den melder følgende:
>
> Somebody is scanning your computer.
> Your computer's TCP ports:
> 5000, 2745, 1025, 3127 and 6129 have been scanned from 218.106.98.241.
>
> Der er flere IP der gør det på skift. Det begynder ca 10min efter jeg har
> genstartet. Nogle gange længere...
>
> Der er flere IP:
> Somebody is scanning your computer.
> Your computer's TCP ports:
> 5000, 2745, 6129, 3127 and 1025 have been scanned from 62.234.7.35.
>
> Somebody is scanning your computer.
> Your computer's TCP ports:
> 2745, 1025, 3127, 6129 and 5000 have been scanned from 65.35.163.193
>
> Somebody is scanning your computer.
> Your computer's TCP ports:
> 2745, 1025, 3127, 6129 and 5000 have been scanned from 203.217.106.126.
>
> Hva foregår der?

Det ser ud som om nogen kigger efter sårbare hosts
som kan misbruges f.eks. til udsendelse af spam.
Det er der ikke noget usædvanligt i.

> Og bør jeg være nervøs?

Kun hvis du har sårbare services kørende på nogen
af de nævnte porte.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:407934FA.F839C172@daimi.au.dk...
> >
> > Hva foregår der?
>
> Det ser ud som om nogen kigger efter sårbare hosts
> som kan misbruges f.eks. til udsendelse af spam.
> Det er der ikke noget usædvanligt i.
>
> > Og bør jeg være nervøs?
>
> Kun hvis du har sårbare services kørende på nogen
> af de nævnte porte.
>

Jamen hva kan jeg så gøre for at stoppe det?
Det er da irriterende!

Venligst

---

Søren Christensen wrote:

>
> "Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
> news:407934FA.F839C172@daimi.au.dk...
>> >
>> > Hva foregår der?
>>
>> Det ser ud som om nogen kigger efter sårbare hosts
>> som kan misbruges f.eks. til udsendelse af spam.
>> Det er der ikke noget usædvanligt i.
>>
>> > Og bør jeg være nervøs?
>>
>> Kun hvis du har sårbare services kørende på nogen
>> af de nævnte porte.
>>
>
> Jamen hva kan jeg så gøre for at stoppe det?
> Det er da irriterende!

Du kan slå ubrugelige advarsler fra i din firewall.

--
M.V.H
Christian Iversen

---

"Søren Christensen" <Soren_HelskovFjernmig@webspeed.dk> skrev i en
meddelelse news:40795aa9$0$487$edfadb0f@dread14.news.tele.dk...
>
> "Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
> news:407934FA.F839C172@daimi.au.dk...
> > >
> > > Hva foregår der?
> >
> > Det ser ud som om nogen kigger efter sårbare hosts
> > som kan misbruges f.eks. til udsendelse af spam.
> > Det er der ikke noget usædvanligt i.
> >
> > > Og bør jeg være nervøs?
> >
> > Kun hvis du har sårbare services kørende på nogen
> > af de nævnte porte.
> >
>
> Jamen hva kan jeg så gøre for at stoppe det?
> Det er da irriterende!
>

Når jeg backtracer får jeg følgende:
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 0.0.0.0 - 255.255.255.255
netname: IANA-BLK
descr: The whole IPv4 address space
country: EU # Country is really world wide
admin-c: IANA1-RIPE
tech-c: IANA1-RIPE
status: ALLOCATED UNSPECIFIED
remarks: The country is really worldwide.
remarks: This address space is assigned at various other places in
remarks: the world and might therefore not be in the RIPE database.
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: RIPE-NCC-HM-MNT
mnt-routes: RIPE-NCC-NONE-MNT
changed: bitbucket@ripe.net 20010529
changed: bitbucket@ripe.net 20020625
changed: hostmaster@ripe.net 20031014
source: RIPE

role: Internet Assigned Numbers Authority
address: see http://www.iana.org.
e-mail: bitbucket@ripe.net
admin-c: IANA1-RIPE
tech-c: IANA1-RIPE
nic-hdl: IANA1-RIPE
remarks: For more information on IANA services
remarks: go to IANA web site at http://www.iana.org.
mnt-by: RIPE-NCC-MNT
changed: bitbucket@ripe.net 20010411
source: RIPE


Umiddelbart synes jeg ikke jeg kan bruge det til noget...

Venligst

---

"Søren" == Søren Christensen <Soren_HelskovFjernmig@webspeed.dk> writes:

> "Søren Christensen" <Soren_HelskovFjernmig@webspeed.dk> skrev i en
> meddelelse news:40795aa9$0$487$edfadb0f@dread14.news.tele.dk...
>>
>> "Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
>> news:407934FA.F839C172@daimi.au.dk...
>> > >
>> > > Hva foregår der?
>> >
>> > Det ser ud som om nogen kigger efter sårbare hosts
>> > som kan misbruges f.eks. til udsendelse af spam.
>> > Det er der ikke noget usædvanligt i.
>> >
>> > > Og bør jeg være nervøs?
>> >
>> > Kun hvis du har sårbare services kørende på nogen
>> > af de nævnte porte.
>> >
>>
>> Jamen hva kan jeg så gøre for at stoppe det?
>> Det er da irriterende!

Slå advarslerne fra. De er nytteløse.

> Når jeg backtracer får jeg følgende:
> % This is the RIPE Whois server.
> % The objects are in RPSL format.

...

> Umiddelbart synes jeg ikke jeg kan bruge det til noget...

Du skal spørge det rigtige sted:

whois 218.106.98.241
[Querying whois.apnic.net]
[whois.apnic.net]
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 218.106.98.192 - 218.106.98.255
netname: oliya-gift-corp
country: cn
descr: wenzhou city,zhejiang province
admin-c: TC254-AP
tech-c: TC254-AP
status: ASSIGNED NON-PORTABLE
changed: moujh@china-netcom.com 20021106
mnt-by: MAINT-CN-ZM28
source: APNIC


person: TECH GROUP CNC
address: 9/F, Building A, Corporate Square, No. 35 Financial Street,
address: Xicheng District, Beijing 100032, P.R.China
country: CN
phone: +86-10-88093588
fax-no: +86-10-88091442
e-mail: tech-group@china-netcom.com
nic-hdl: TC254-AP
mnt-by: MAINT-CN-ZM28
changed: zhaomq@china-netcom.com 20010917
source: APNIC

Så umiddelbart tror jeg ikke du får det store held med en klage.


--
/Wegge <http://outside.bakkelygaard.dk/~wegge/>
echo mail: !#^."<>"|tr "<> mail:" dk@wegge

---

In article <m2oepyk04j.fsf@obelix.bakkelygaard.dk>, Anders Wegge Jakobsen wrote:
>>> Jamen hva kan jeg så gøre for at stoppe det?
>>> Det er da irriterende!
>
> Slå advarslerne fra. De er nytteløse.

Delvist korrekt. Advarsler om hvad der er sluppet igennem er
interessante. Det der ikke kommer ind er uinteressant.

---

"Povl" == Povl H Pedersen <povlhp@povl-h-pedersens-computer.local> writes:

> In article <m2oepyk04j.fsf@obelix.bakkelygaard.dk>, Anders Wegge Jakobsen wrote:
>>>> Jamen hva kan jeg så gøre for at stoppe det?
>>>> Det er da irriterende!
>>
>> Slå advarslerne fra. De er nytteløse.

> Delvist korrekt. Advarsler om hvad der er sluppet igennem er
> interessante. Det der ikke kommer ind er uinteressant.

Jeg ville være ked af at have en firewall der gev mig besked, hver
gang der kom noget legitimt trafik ind, men du har ret.

--
/Wegge <http://outside.bakkelygaard.dk/~wegge/>
echo mail: !#^."<>"|tr "<> mail:" dk@wegge

---

"Søren Christensen" wrote:
>
> Jamen hva kan jeg så gøre for at stoppe det?

Der er et par nemme muligheder:

1) Ret opsætningen af din firewall, så den ikke
fortæller dig om det.
2) Fjern firewallen.
3) Fjern netforbindelsen.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

I know it's awful, but Kasper Dupont wrote to everybody in dk.edb.sikkerhed
saying:

> "Søren Christensen" wrote:
>>
>> Jamen hva kan jeg så gøre for at stoppe det?
>
> Der er et par nemme muligheder:
>
> 1) Ret opsætningen af din firewall, så den ikke
> fortæller dig om det.
> 2) Fjern firewallen.
> 3) Fjern netforbindelsen.

4) Tag til Kina og giv knægten nogle baaaank!

--
Kay

---

"M.Kay" wrote:
>
> 4) Tag til Kina og giv knægten nogle baaaank!

Du skal ikke regne med at det vil virke. Specielt
fordi at når du når frem viser det sig, at maskinen
derovre faktisk bare er blevet cracket af en fra
Argentina, og når du så når til Argentina....

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

I know it's awful, but Kasper Dupont wrote to everybody in dk.edb.sikkerhed
saying:

> "M.Kay" wrote:
>>
>> 4) Tag til Kina og giv knægten nogle baaaank!
>
> Du skal ikke regne med at det vil virke. Specielt
> fordi at når du når frem viser det sig, at maskinen
> derovre faktisk bare er blevet cracket af en fra
> Argentina, og når du så når til Argentina....

Ja det lyder som alletiders oplæg til et tv-program om opsøgende
journalistik :)

"Sporløst 2"

--
Kay