---

Hej NG

Er det muligt at spore ejeren af en IP adresse og hvordan?

Kan der evt. sendes en besked til IP nummeret?

Nedenfor har jeg medsendt et udsnit af loggen fra min router. Som jeg læser
den, så har diverse IPer forsøgt at komme ind via diverse porte. Er det
noget jeg skal bekymre mig om?

Jeg kan se port 139 er meget populær - hvad bruges den til (og findes der en
slags oversigt over hvad porte bruges til?)?

Hilsen

Jacob

--- Log Begin ---

Tue May 24 22:04:29 2005 Blocked access attempt from 212.10.170.52:1094 to
TCP port 139 Tue May 24 22:04:32 2005 Blocked access attempt from
212.10.170.52:1094 to TCP port 139 Tue May 24 22:05:04 2005 Blocked access
attempt from 212.10.226.37:1942 to TCP port 139 Tue May 24 22:05:04 2005
Blocked access attempt from 212.10.226.37:1940 to TCP port 1025 Tue May 24
22:05:04 2005 Blocked access attempt from 212.10.226.37:1943 to TCP port
1433 Tue May 24 22:05:07 2005 Blocked access attempt from 212.10.226.37:1942
to TCP port 139 Tue May 24 22:05:07 2005 Blocked access attempt from
212.10.226.37:1940 to TCP port 1025 Tue May 24 22:05:07 2005 Blocked access
attempt from 212.10.226.37:1943 to TCP port 1433 Tue May 24 22:05:13 2005
Blocked access attempt from 212.10.226.37:1942 to TCP port 139 Tue May 24
22:05:13 2005 Blocked access attempt from 212.10.226.37:1940 to TCP port
1025 Tue May 24 22:05:13 2005 Blocked access attempt from 212.10.226.37:1943
to TCP port 1433 Tue May 24 22:05:15 2005 Blocked access attempt from
219.95.56.202:1034 to UDP port 137 Tue May 24 22:05:26 2005 Blocked access
attempt from 200.72.161.85:32860 to UDP port 137 Tue May 24 22:08:06 2005
Blocked access attempt from 212.10.226.37:4726 to TCP port 139 Tue May 24
22:09:25 2005 Blocked access attempt from 80.53.20.158:64937 to UDP port 137
Tue May 24 22:09:47 2005 DHCP:renew Tue May 24 22:09:47 2005
DHCP:ack(DOL=1800,T1=900,T2=1575) Tue May 24 22:10:33 2005 Blocked access
attempt from 201.26.97.6:1025 to UDP port 137 Tue May 24 22:15:46 2005
Blocked access attempt from 212.10.240.35:4361 to TCP port 139 Tue May 24
22:15:49 2005 Blocked access attempt from 212.10.240.35:4361 to TCP port 139
Tue May 24 22:19:32 2005 Blocked access attempt from 4.139.129.22:2629 to
TCP port 139 Tue May 24 22:19:35 2005 Blocked access attempt from
4.139.129.22:2629 to TCP port 139 Tue May 24 22:20:49 2005 Blocked access
attempt from 212.10.170.52:3704 to TCP port 139 Tue May 24 22:20:52 2005
Blocked access attempt from 212.10.170.52:3704 to TCP port 139 Tue May 24
22:23:22 2005 Blocked access attempt from 162.39.156.249:1028 to UDP port
137 Tue May 24 22:24:47 2005 DHCP:renew Tue May 24 22:24:47 2005
DHCP:ack(DOL=1800,T1=900,T2=1575) Tue May 24 22:30:09 2005 Blocked access
attempt from 61.152.158.152:45144 to UDP port 1027 Tue May 24 22:35:24 2005
Blocked access attempt from 211.98.104.7:1188 to UDP port 1434 Tue May 24
22:38:34 2005 Blocked access attempt from 212.10.172.207:2544 to TCP port
139 Tue May 24 22:38:37 2005 Blocked access attempt from 212.10.172.207:2544
to TCP port 139 Tue May 24 22:39:47 2005 DHCP:renew Tue May 24 22:39:47 2005
DHCP:ack(DOL=1800,T1=900,T2=1575) Tue May 24 22:45:13 2005 Blocked access
attempt from 212.10.150.198:3221 to TCP port 1433 Tue May 24 22:45:16 2005
Blocked access attempt from 212.10.150.198:3221 to TCP port 1433 Tue May 24
22:48:19 2005 Blocked access attempt from 213.200.97.62:80 to TCP port 65245
Tue May 24 22:48:22 2005 Blocked access attempt from 213.200.97.62:80 to TCP
port 65245 Tue May 24 22:48:28 2005 Blocked access attempt from
213.200.97.62:80 to TCP port 65245 Tue May 24 22:53:08 2005 Blocked access
attempt from 212.10.172.207:1231 to TCP port 139 Tue May 24 22:53:11 2005
Blocked access attempt from 212.10.172.207:1231 to TCP port 139 Tue May 24
22:53:42 2005 Blocked access attempt from 66.14.154.6:1033 to UDP port 137
Tue May 24 22:54:47 2005 DHCP:renew Tue May 24 22:54:47 2005
DHCP:ack(DOL=1800,T1=900,T2=1575) Tue May 24 22:55:18 2005 Blocked access
attempt from 212.10.241.11:2291 to TCP port 139 Tue May 24 22:55:21 2005
Blocked access attempt from 212.10.241.11:2291 to TCP port 139 Tue May 24
22:56:11 2005 Blocked access attempt from 61.152.158.122:55773 to UDP port
1026 Tue May 24 22:58:18 2005 Blocked access attempt from 212.10.170.52:4568
to TCP port 139 Tue May 24 22:58:21 2005 Blocked access attempt from
212.10.170.52:4568 to TCP port 139 Tue May 24 22:58:36 2005 Blocked access
attempt from 212.10.150.198:1264 to TCP port 1433 Tue May 24 22:58:39 2005
Blocked access attempt from 212.10.150.198:1264 to TCP port 1433 Tue May 24
23:00:13 2005 Blocked access attempt from 212.10.172.207:1474 to TCP port
139 Tue May 24 23:00:16 2005 Blocked access attempt from 212.10.172.207:1474
to TCP port 139 Tue May 24 23:01:09 2005 Blocked access attempt from
212.10.172.207:2891 to TCP port 139 Tue May 24 23:01:12 2005 Blocked access
attempt from 212.10.172.207:2891 to TCP port 139 Tue May 24 23:02:48 2005
Blocked access attempt from 212.10.170.52:4555 to TCP port 139 Tue May 24
23:02:51 2005 Blocked access attempt from 212.10.170.52:4555 to TCP port 139

--- Log End ---

---

Her er hvad port 139 er for en fætter.
Fil/Printer Sharing er en service der gør det muligt for windows
brugere at dele drev eller printere. Servicen åbner port 139 og
lader så bruger conecte til delte drev eller udskrive til delte
printere. Denne service bruges meget på skoler og i firmaer LAN
(Local Area Network)

---

"SpookiePower" <boxjunk2600@gmail.com> skrev i en meddelelse
news:4294243c$0$78281$157c6196@dreader1.cybercity.dk...
> Her er hvad port 139 er for en fætter.
> Fil/Printer Sharing er en service der gør det muligt for windows
> brugere at dele drev eller printere. Servicen åbner port 139 og
> lader så bruger conecte til delte drev eller udskrive til delte
> printere. Denne service bruges meget på skoler og i firmaer LAN
> (Local Area Network)

Og den kan lukkes:
Kør: services.msc
slå fra Klientprogram til Micro softnetværk, Fil- og udskriftsdeling til
Microsoft-netværk
og NetBIOS over TCP/IP, som ikke er nødvendige for at få adgang til
Internettet via min ADSL-forbindelse.
Dette kobles fra inde i Start > Indstillinger > Netværks-forbindelser.
Højreklik på netværksforbindelsen og vælg Egenskaber.
Fluebenet i Klientprogram til Microsoft-netværk og Fil- og udskriftsdeling
til Microsoft-netværk fjernes og QoS-pakkeplanlægning
afinstalleres (vha. Fjern-knappen).

http://sikkerhed-faq.dk/hjemme_pc
http://kimludvigsen.dk/tips-internet-ie.html

---

Jacob Jørgensen wrote:

> Hej NG
>
> Er det muligt at spore ejeren af en IP adresse og hvordan?

Ja, via tjänsten "whois" hos den organisation som har delat ut adressen.
Du får normalt inte reda på exakt användare, bara vilken operatör som
har adressen. Det finns några whois-online-tjänster på webben som du kan
använda men det finns också några whois-program du kan ladda ner och
köra själv. Jag har ett sådant, kommandoradsbaserat, på min hemsida som
automatiskt hittar rätt whois-server att fråga.
http://here.is/olof/files/whois.zip

> Kan der evt. sendes en besked til IP nummeret?

Nej, inte riktigt på det sättet. Vill du amäla missbruk, spam etc eller
angreppsförsök kan du vända dig till operatören som innehar IP-adressen.
Det finns kontaktinformation, mail och/eller telefonnummer, om du söker
på adressen med whois.

> Nedenfor har jeg medsendt et udsnit af loggen fra min router. Som jeg læser
> den, så har diverse IPer forsøgt at komme ind via diverse porte. Er det
> noget jeg skal bekymre mig om?

Nej, det tycker jag faktiskt inte. Det här är troligtvis ganska vanliga
angreppsförsök från virus som sprids ute på Internet. Din logg visar
bara att din firewall gör ett bra jobb och stoppar detta! Normalt sett
är det bättre att koncentrera sig på vad en firewall släpper igenom än
vad den stoppar.

> Jeg kan se port 139 er meget populær - hvad bruges den til (og findes der en
> slags oversigt over hvad porte bruges til?)?

Den används normalt till "File- and Printing Services for Microsoft
Networks" och "Client for Microsoft Networks", alltså när man delar
filer och skrivare i lokala nätverk. Men porten har också ofta använts
av virus m m för att komma åt fel i operativsystemet.

--
Olof Lagerkvist
ICQ: 724451
Web: http://here.is/olof

---

On Wed, 25 May 2005 08:21:32 +0200, Jacob Jørgensen wrote:

> Jeg kan se port 139 er meget populær - hvad bruges den til (og findes der en
> slags oversigt over hvad porte bruges til?)?

http://www.iana.org/assignments/port-numbers er vist den "mest officielle"
liste over benyttelsen af portnumre. Du skal dog være opmærksom på at
der ikke er nogen der kan bestemme hvilken port dit program må bruge.

--
mvh Henrik Stidsen - http://henrikstidsen.dk/

---

Jeg takker for svarene.

Jacob

"Jacob Jørgensen" <gismoREMOVE@12move.dk> skrev i en meddelelse
news:4294196c$0$15136$ba624c82@nntp03.dk.telia.net...
> Hej NG
>
> Er det muligt at spore ejeren af en IP adresse og hvordan?
>
> Kan der evt. sendes en besked til IP nummeret?
>
> Nedenfor har jeg medsendt et udsnit af loggen fra min router. Som jeg
> læser den, så har diverse IPer forsøgt at komme ind via diverse porte. Er
> det noget jeg skal bekymre mig om?
>
> Jeg kan se port 139 er meget populær - hvad bruges den til (og findes der
> en slags oversigt over hvad porte bruges til?)?
>
> Hilsen
>
> Jacob
>
> --- Log Begin ---
>
> Tue May 24 22:04:29 2005 Blocked access attempt from 212.10.170.52:1094 to
> TCP port 139 Tue May 24 22:04:32 2005 Blocked access attempt from
> 212.10.170.52:1094 to TCP port 139 Tue May 24 22:05:04 2005 Blocked access
> attempt from 212.10.226.37:1942 to TCP port 139 Tue May 24 22:05:04 2005
> Blocked access attempt from 212.10.226.37:1940 to TCP port 1025 Tue May 24
> 22:05:04 2005 Blocked access attempt from 212.10.226.37:1943 to TCP port
> 1433 Tue May 24 22:05:07 2005 Blocked access attempt from
> 212.10.226.37:1942 to TCP port 139 Tue May 24 22:05:07 2005 Blocked access
> attempt from 212.10.226.37:1940 to TCP port 1025 Tue May 24 22:05:07 2005
> Blocked access attempt from 212.10.226.37:1943 to TCP port 1433 Tue May 24
> 22:05:13 2005 Blocked access attempt from 212.10.226.37:1942 to TCP port
> 139 Tue May 24 22:05:13 2005 Blocked access attempt from
> 212.10.226.37:1940 to TCP port 1025 Tue May 24 22:05:13 2005 Blocked
> access attempt from 212.10.226.37:1943 to TCP port 1433 Tue May 24
> 22:05:15 2005 Blocked access attempt from 219.95.56.202:1034 to UDP port
> 137 Tue May 24 22:05:26 2005 Blocked access attempt from
> 200.72.161.85:32860 to UDP port 137 Tue May 24 22:08:06 2005 Blocked
> access attempt from 212.10.226.37:4726 to TCP port 139 Tue May 24 22:09:25
> 2005 Blocked access attempt from 80.53.20.158:64937 to UDP port 137 Tue
> May 24 22:09:47 2005 DHCP:renew Tue May 24 22:09:47 2005
> DHCP:ack(DOL=1800,T1=900,T2=1575) Tue May 24 22:10:33 2005 Blocked access
> attempt from 201.26.97.6:1025 to UDP port 137 Tue May 24 22:15:46 2005
> Blocked access attempt from 212.10.240.35:4361 to TCP port 139 Tue May 24
> 22:15:49 2005 Blocked access attempt from 212.10.240.35:4361 to TCP port
> 139 Tue May 24 22:19:32 2005 Blocked access attempt from 4.139.129.22:2629
> to TCP port 139 Tue May 24 22:19:35 2005 Blocked access attempt from
> 4.139.129.22:2629 to TCP port 139 Tue May 24 22:20:49 2005 Blocked access
> attempt from 212.10.170.52:3704 to TCP port 139 Tue May 24 22:20:52 2005
> Blocked access attempt from 212.10.170.52:3704 to TCP port 139 Tue May 24
> 22:23:22 2005 Blocked access attempt from 162.39.156.249:1028 to UDP port
> 137 Tue May 24 22:24:47 2005 DHCP:renew Tue May 24 22:24:47 2005
> DHCP:ack(DOL=1800,T1=900,T2=1575) Tue May 24 22:30:09 2005 Blocked access
> attempt from 61.152.158.152:45144 to UDP port 1027 Tue May 24 22:35:24
> 2005 Blocked access attempt from 211.98.104.7:1188 to UDP port 1434 Tue
> May 24 22:38:34 2005 Blocked access attempt from 212.10.172.207:2544 to
> TCP port 139 Tue May 24 22:38:37 2005 Blocked access attempt from
> 212.10.172.207:2544 to TCP port 139 Tue May 24 22:39:47 2005 DHCP:renew
> Tue May 24 22:39:47 2005 DHCP:ack(DOL=1800,T1=900,T2=1575) Tue May 24
> 22:45:13 2005 Blocked access attempt from 212.10.150.198:3221 to TCP port
> 1433 Tue May 24 22:45:16 2005 Blocked access attempt from
> 212.10.150.198:3221 to TCP port 1433 Tue May 24 22:48:19 2005 Blocked
> access attempt from 213.200.97.62:80 to TCP port 65245 Tue May 24 22:48:22
> 2005 Blocked access attempt from 213.200.97.62:80 to TCP port 65245 Tue
> May 24 22:48:28 2005 Blocked access attempt from 213.200.97.62:80 to TCP
> port 65245 Tue May 24 22:53:08 2005 Blocked access attempt from
> 212.10.172.207:1231 to TCP port 139 Tue May 24 22:53:11 2005 Blocked
> access attempt from 212.10.172.207:1231 to TCP port 139 Tue May 24
> 22:53:42 2005 Blocked access attempt from 66.14.154.6:1033 to UDP port 137
> Tue May 24 22:54:47 2005 DHCP:renew Tue May 24 22:54:47 2005
> DHCP:ack(DOL=1800,T1=900,T2=1575) Tue May 24 22:55:18 2005 Blocked access
> attempt from 212.10.241.11:2291 to TCP port 139 Tue May 24 22:55:21 2005
> Blocked access attempt from 212.10.241.11:2291 to TCP port 139 Tue May 24
> 22:56:11 2005 Blocked access attempt from 61.152.158.122:55773 to UDP port
> 1026 Tue May 24 22:58:18 2005 Blocked access attempt from
> 212.10.170.52:4568 to TCP port 139 Tue May 24 22:58:21 2005 Blocked access
> attempt from 212.10.170.52:4568 to TCP port 139 Tue May 24 22:58:36 2005
> Blocked access attempt from 212.10.150.198:1264 to TCP port 1433 Tue May
> 24 22:58:39 2005 Blocked access attempt from 212.10.150.198:1264 to TCP
> port 1433 Tue May 24 23:00:13 2005 Blocked access attempt from
> 212.10.172.207:1474 to TCP port 139 Tue May 24 23:00:16 2005 Blocked
> access attempt from 212.10.172.207:1474 to TCP port 139 Tue May 24
> 23:01:09 2005 Blocked access attempt from 212.10.172.207:2891 to TCP port
> 139 Tue May 24 23:01:12 2005 Blocked access attempt from
> 212.10.172.207:2891 to TCP port 139 Tue May 24 23:02:48 2005 Blocked
> access attempt from 212.10.170.52:4555 to TCP port 139 Tue May 24 23:02:51
> 2005 Blocked access attempt from 212.10.170.52:4555 to TCP port 139
>
> --- Log End ---
>
>

---

"Jacob Jørgensen" <gismoREMOVE@12move.dk> wrote in message news:<4294662d$0$664$ba624c82@nntp04.dk.telia.net>...
> Jeg takker for svarene.
>
> Jacob
>
> "Jacob Jørgensen" <gismoREMOVE@12move.dk> skrev i en meddelelse
> news:4294196c$0$15136$ba624c82@nntp03.dk.telia.net...
> > Hej NG
> >
> > Er det muligt at spore ejeren af en IP adresse og hvordan?
> >
> > Kan der evt. sendes en besked til IP nummeret?
> >
> > Nedenfor har jeg medsendt et udsnit af loggen fra min router. Som jeg
> > læser den, så har diverse IPer forsøgt at komme ind via diverse porte. Er
> > det noget jeg skal bekymre mig om?
> >
> > Jeg kan se port 139 er meget populær - hvad bruges den til (og findes der
> > en slags oversigt over hvad porte bruges til?)?
> >
> > Hilsen
> >
> > Jacob
> >
> > --- Log Begin ---
> >
> > Tue May 24 22:04:29 2005 Blocked access attempt from 212.10.170.52:1094 to
> > TCP port 139 Tue May 24 22:04:32 2005 Blocked access attempt from
> > 212.10.170.52:1094 to TCP port 139 Tue May 24 22:05:04 2005 Blocked access
> > attempt from 212.10.226.37:1942 to TCP port 139 Tue May 24 22:05:04 2005
> > Blocked access attempt from 212.10.226.37:1940 to TCP port 1025 Tue May 24
> > 22:05:04 2005 Blocked access attempt from 212.10.226.37:1943 to TCP port
> > 1433 Tue May 24 22:05:07 2005 Blocked access attempt from
> > 212.10.226.37:1942 to TCP port 139 Tue May 24 22:05:07 2005 Blocked access
> > attempt from 212.10.226.37:1940 to TCP port 1025 Tue May 24 22:05:07 2005
> > Blocked access attempt from 212.10.226.37:1943 to TCP port 1433 Tue May 24
> > 22:05:13 2005 Blocked access attempt from 212.10.226.37:1942 to TCP port
> > 139 Tue May 24 22:05:13 2005 Blocked access attempt from
> > 212.10.226.37:1940 to TCP port 1025 Tue May 24 22:05:13 2005 Blocked
> > access attempt from 212.10.226.37:1943 to TCP port 1433 Tue May 24
> > 22:05:15 2005 Blocked access attempt from 219.95.56.202:1034 to UDP port
> > 137 Tue May 24 22:05:26 2005 Blocked access attempt from
> > 200.72.161.85:32860 to UDP port 137 Tue May 24 22:08:06 2005 Blocked
> > access attempt from 212.10.226.37:4726 to TCP port 139 Tue May 24 22:09:25
> > 2005 Blocked access attempt from 80.53.20.158:64937 to UDP port 137 Tue
> > May 24 22:09:47 2005 DHCP:renew Tue May 24 22:09:47 2005
> > DHCP:ack(DOL=1800,T1=900,T2=1575) Tue May 24 22:10:33 2005 Blocked access
> > attempt from 201.26.97.6:1025 to UDP port 137 Tue May 24 22:15:46 2005
> > Blocked access attempt from 212.10.240.35:4361 to TCP port 139 Tue May 24
> > 22:15:49 2005 Blocked access attempt from 212.10.240.35:4361 to TCP port
> > 139 Tue May 24 22:19:32 2005 Blocked access attempt from 4.139.129.22:2629
> > to TCP port 139 Tue May 24 22:19:35 2005 Blocked access attempt from
> > 4.139.129.22:2629 to TCP port 139 Tue May 24 22:20:49 2005 Blocked access
> > attempt from 212.10.170.52:3704 to TCP port 139 Tue May 24 22:20:52 2005
> > Blocked access attempt from 212.10.170.52:3704 to TCP port 139 Tue May 24
> > 22:23:22 2005 Blocked access attempt from 162.39.156.249:1028 to UDP port
> > 137 Tue May 24 22:24:47 2005 DHCP:renew Tue May 24 22:24:47 2005
> > DHCP:ack(DOL=1800,T1=900,T2=1575) Tue May 24 22:30:09 2005 Blocked access
> > attempt from 61.152.158.152:45144 to UDP port 1027 Tue May 24 22:35:24
> > 2005 Blocked access attempt from 211.98.104.7:1188 to UDP port 1434 Tue
> > May 24 22:38:34 2005 Blocked access attempt from 212.10.172.207:2544 to
> > TCP port 139 Tue May 24 22:38:37 2005 Blocked access attempt from
> > 212.10.172.207:2544 to TCP port 139 Tue May 24 22:39:47 2005 DHCP:renew
> > Tue May 24 22:39:47 2005 DHCP:ack(DOL=1800,T1=900,T2=1575) Tue May 24
> > 22:45:13 2005 Blocked access attempt from 212.10.150.198:3221 to TCP port
> > 1433 Tue May 24 22:45:16 2005 Blocked access attempt from
> > 212.10.150.198:3221 to TCP port 1433 Tue May 24 22:48:19 2005 Blocked
> > access attempt from 213.200.97.62:80 to TCP port 65245 Tue May 24 22:48:22
> > 2005 Blocked access attempt from 213.200.97.62:80 to TCP port 65245 Tue
> > May 24 22:48:28 2005 Blocked access attempt from 213.200.97.62:80 to TCP
> > port 65245 Tue May 24 22:53:08 2005 Blocked access attempt from
> > 212.10.172.207:1231 to TCP port 139 Tue May 24 22:53:11 2005 Blocked
> > access attempt from 212.10.172.207:1231 to TCP port 139 Tue May 24
> > 22:53:42 2005 Blocked access attempt from 66.14.154.6:1033 to UDP port 137
> > Tue May 24 22:54:47 2005 DHCP:renew Tue May 24 22:54:47 2005
> > DHCP:ack(DOL=1800,T1=900,T2=1575) Tue May 24 22:55:18 2005 Blocked access
> > attempt from 212.10.241.11:2291 to TCP port 139 Tue May 24 22:55:21 2005
> > Blocked access attempt from 212.10.241.11:2291 to TCP port 139 Tue May 24
> > 22:56:11 2005 Blocked access attempt from 61.152.158.122:55773 to UDP port
> > 1026 Tue May 24 22:58:18 2005 Blocked access attempt from
> > 212.10.170.52:4568 to TCP port 139 Tue May 24 22:58:21 2005 Blocked access
> > attempt from 212.10.170.52:4568 to TCP port 139 Tue May 24 22:58:36 2005
> > Blocked access attempt from 212.10.150.198:1264 to TCP port 1433 Tue May
> > 24 22:58:39 2005 Blocked access attempt from 212.10.150.198:1264 to TCP
> > port 1433 Tue May 24 23:00:13 2005 Blocked access attempt from
> > 212.10.172.207:1474 to TCP port 139 Tue May 24 23:00:16 2005 Blocked
> > access attempt from 212.10.172.207:1474 to TCP port 139 Tue May 24
> > 23:01:09 2005 Blocked access attempt from 212.10.172.207:2891 to TCP port
> > 139 Tue May 24 23:01:12 2005 Blocked access attempt from
> > 212.10.172.207:2891 to TCP port 139 Tue May 24 23:02:48 2005 Blocked
> > access attempt from 212.10.170.52:4555 to TCP port 139 Tue May 24 23:02:51
> > 2005 Blocked access attempt from 212.10.170.52:4555 to TCP port 139
> >
> > --- Log End ---
> >
> >
Port 139 (TCP) bruges til printer- og fildeling (Network
Neighborhood). Så ja, det er jo nok et forsøg på hacking. Du må
endelig ikke åbne for denne port på din router/firewall.

MVH

Pierre
http://www.safepc.dk

---

Den 26 May 2005 06:58:39 -0700 skrev Pierre:
>
> Port 139 (TCP) bruges til printer- og fildeling (Network
> Neighborhood). Så ja, det er jo nok et forsøg på hacking. Du må
> endelig ikke åbne for denne port på din router/firewall.

Hvordan ser du forskel på om det er "nok et forsøg på hacking", eller
det bare er en standard-installation af Windows der står og støjer på
netværket?

Specielt kan de godt li' at bruge NetBios til at lave navneopslag i
stedet for DNS, og det foregår ved at connecte til den maskine de
gerne vil vide navnet på, på port 137-139 (en af dem), og forsøge
at spørge den ad. Det kunne fx være at man henter en side fra en
webserver der kører Windows, og denne så er sat op til at logge
hostnavnet på den der henter siden.

Mvh
Kent
--
Hard work may pay off in the long run, but lazyness pays off right now.

---

Kent Friis wrote:
>
> Specielt kan de godt li' at bruge NetBios til at lave navneopslag i
> stedet for DNS, og det foregår ved at connecte til den maskine de
> gerne vil vide navnet på, på port 137-139 (en af dem), og forsøge
> at spørge den ad. Det kunne fx være at man henter en side fra en
> webserver der kører Windows, og denne så er sat op til at logge
> hostnavnet på den der henter siden.

Findes der faktisk maskiner, der er opsat så tåbeligt?

--
Kasper Dupont -- der bruger for meget tid på usenet.
Note to self: Don't try to allocate 256000 pages
with GFP_KERNEL on x86.

---

Den Thu, 26 May 2005 22:48:44 +0200 skrev Kasper Dupont:
> Kent Friis wrote:
>>
>> Specielt kan de godt li' at bruge NetBios til at lave navneopslag i
>> stedet for DNS, og det foregår ved at connecte til den maskine de
>> gerne vil vide navnet på, på port 137-139 (en af dem), og forsøge
>> at spørge den ad. Det kunne fx være at man henter en side fra en
>> webserver der kører Windows, og denne så er sat op til at logge
>> hostnavnet på den der henter siden.
>
> Findes der faktisk maskiner, der er opsat så tåbeligt?

Vi havde en på arbejdet for nogle år siden Der var ikke nogen der
kunne finde ud af at slå det fra (og dermed heller ikke at slå det
til). Det skal måske lige siges at det var NT4, så det er muligt at
MS har forbedret default indstillingerne siden.

Men at dømme efter antallet af "ikke-requestede" pakker der havner i
log-filen på nærmest enhver firewall, så er det ikke udsædvanligt.

Mvh
Kent
--
Hard work may pay off in the long run, but lazyness pays off right now.

---

Kent Friis <nospam@nospam.invalid> wrote in message news:<429629c7$0$79461$14726298@news.sunsite.dk>...
> Den 26 May 2005 06:58:39 -0700 skrev Pierre:
> >
> > Port 139 (TCP) bruges til printer- og fildeling (Network
> > Neighborhood). Så ja, det er jo nok et forsøg på hacking. Du må
> > endelig ikke åbne for denne port på din router/firewall.
>
> Hvordan ser du forskel på om det er "nok et forsøg på hacking", eller
> det bare er en standard-installation af Windows der står og støjer på
> netværket?
Ok, det skulle jeg måske ikke have sagt, for jeg kan ikke se
forskellen. Men at blokere for NetBios portene tror jeg nu er en meget
god idé.
>
> Specielt kan de godt li' at bruge NetBios til at lave navneopslag i
> stedet for DNS, og det foregår ved at connecte til den maskine de
> gerne vil vide navnet på, på port 137-139 (en af dem), og forsøge
> at spørge den ad. Det kunne fx være at man henter en side fra en
> webserver der kører Windows, og denne så er sat op til at logge
> hostnavnet på den der henter siden.
>
> Mvh
> Kent

---

Wed, 25 May 2005 08:21:32 +0200, skrev "Jacob Jørgensen"
<gismoREMOVE@12move.dk> :

>
>Jeg kan se port 139 er meget populær - hvad bruges den til (og findes der en
>slags oversigt over hvad porte bruges til?)?
>
>Hilsen
>
>Jacob
>

Her kan du læse lidt om hvad portene bruges til:

http://www.grc.com/PortDataHelp.htm

Hilsen Lars

---

Check evt. www.ripe.net eller en af de andre....
Portene kan du finde på www.iana.org

/John

>>> Kent Friis<nospam@nospam.invalid> 26-05-2005 23:03:31 >>>
Den Thu, 26 May 2005 22:48:44 +0200 skrev Kasper Dupont:
> Kent Friis wrote:
>>
>> Specielt kan de godt li' at bruge NetBios til at lave navneopslag i
>> stedet for DNS, og det foreg*r ved at connecte til den maskine de
>> gerne vil vide navnet p*, p* port 137-139 (en af dem), og fors*ge
>> at sp*rge den ad. Det kunne fx v*re at man henter en side fra en
>> webserver der k*rer Windows, og denne s* er sat op til at logge
>> hostnavnet p* den der henter siden.
>
> Findes der faktisk maskiner, der er opsat s* t*beligt?

Vi havde en p* arbejdet for nogle *r siden Der var ikke nogen der
kunne finde ud af at sl* det fra (og dermed heller ikke at sl* det
til). Det skal m*ske lige siges at det var NT4, s* det er muligt at
MS har forbedret default indstillingerne siden.

Men at d*mme efter antallet af "ikke-requestede" pakker der havner i
log-filen p* n*rmest enhver firewall, s* er det ikke uds*dvanligt.

Mvh
Kent
--
Hard work may pay off in the long run, but lazyness pays off right now.