Einbruchversuch bzw. Trojaneralarm?
Hallo zusammen, ich würde mich über Eure Einschätzung zu folgendem freuen: In meinem Firewallskript weise ich jedes aus dem Internet kommende TCP-Paket mit gesetztem Syn-Bit ab und protokolliere es (die üblichen Ausnahmen für aktives FTP ausgenommen). In den letzten Tagen häufen sich solche Packet logs - auffälligerweise immer dann, wenn mein Bruder von seinem Windows-Rechner über meinen Router, auf dem dieses ipchains-Skript läuft - ins Internet geht, auch für nur 10 Minuten Mailabholen (ist allerdings noch nicht verifiziert, dass dann und nur dann). Bin ich paranoid, wenn die geloggten IPs zu x-beliebigen Domains wie aol.com, dip.t-dialin.net, arcor-ip.net und ähnlichem gehören und mich das - gelinde gesagt - argwöhnisch macht? Oder muss man diesen Rechnern etwa das Recht zugestehen, auf folgenden Ports andocken zu wollen? [Kleiner Ausschnitt, Zeiten und drumrum weggeschnipselt...] input REJECT ppp0 PROTO=6 195.93.24.123:3064 62.158.14.245:12345 input REJECT ppp0 PROTO=6 172.138.200.160:4353 62.158.14.245:1243 input REJECT ppp0 PROTO=6 195.93.92.180:1183 62.158.14.65:27374 input REJECT ppp0 PROTO=6 145.253.64.160:1883 62.156.55.209:27374 input REJECT ppp0 PROTO=6 62.224.30.158:3974 62.156.55.209:27374 [...] Ganz sauber ist das doch nicht, oder? Welche Dienste werden denn auf den Ports 12345, 27374. etc. *angeboten* ? Hat mein Brüderchen sich unter Umständen einen Trojaner eingefangen? Was macht Ihr in solchen Situationen? Ignorieren? Warum haben diese Pakete das Syn-Bit eigentlich gesetzt? Können die potentiell erspähten Informationen ohne Syn-Bit nicht verschickt werden, d.h. versucht der Trojaner da eine Art Server aufzumachen? Mein scanlogd hat noch keine Portscans abfangen können, aber das heißt ja leider nichts... Oh je, Fragen über Fragen... Bitte helft mir oder gebt auch Entwarnung! Wäre hier das ipchains-Skript von Interesse bzw. würde jemand da mal drüberschauen ob eventueller grober Schnitzer? (Falls ja, bitte PM, mein Dank wäre sicher ;) ) Also, danke schön!! Stephan, ein wenig ratlos dreinblickend... P.S.: Danke an alle von Euch, die mir vor zwei Tagen bei meinem nslookup-Problem geholfen haben. Wie praktisch, dass es jetzt funktioniert. So bekommen die IPs wenigstens Namen, wennauch nicht sehr vielsagende... -- Stephan Hakuli -------+--------------------------------> | Our domain mailto: stephan@hakuli.de | http://www.hakuli.de callto: +49 171 / 6518943 | is still under construction... --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Fre, 25 Aug 2000, Stephan Hakuli wrote:
Ganz sauber ist das doch nicht, oder?
ja, die script-kiddies sind nicht ganz sauber ;) Ich denke da hat einer abgeprüft ob bei dir die windows-ports für bekannte attacken und sonstige spielchen offen sind...
Welche Dienste werden denn auf den Ports 12345, 27374. etc. *angeboten* ? Hat mein Brüderchen sich unter Umständen einen Trojaner eingefangen? Was macht Ihr in solchen Situationen?
nix trojaner - iss von der gegenstelle, die prüft ob auf dem port was reagiert ... und das sind meistens windows-attacken...
Ignorieren? Warum haben diese Pakete das Syn-Bit eigentlich gesetzt? Können die potentiell erspähten Informationen ohne Syn-Bit nicht verschickt werden, d.h. versucht der Trojaner da eine Art Server aufzumachen? Mein scanlogd hat noch keine Portscans abfangen können, aber das heißt ja leider nichts...
ja. ignorieren. zur not mal "abuse@<domain>" anschreiben, und ein passendes logfile mitschicken. Mit freundlichen Grüßen, Joerg Henner. -- LinuxHaus Stuttgart | Tel.: +49 (7 11) 2 85 19 05 J. Henner & A. Reyer, Datentechnik GbR | D2: +49 (1 72) 7 35 31 09 | Fax: +49 (7 11) 5 78 06 92 Linux, Netzwerke, Consulting & Support | http://lihas.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Am Fre, 25 Aug 2000 schrieb Joerg Henner:
On Fre, 25 Aug 2000, Stephan Hakuli wrote:
Ganz sauber ist das doch nicht, oder?
ja, die script-kiddies sind nicht ganz sauber ;)
Ich bin da mal ein bisschen dran geblieben, habe mit ein paar nmap's um mich geworfen und das Resultat war in den meisten fällen ein typisches 'Heute-scannen-wir-mal-eine-Windose'-Bild: 139 open tcp netbios-ssn 12345 open tcp NetBus ab und zu auch: 5000 open tcp fics Was ist fics? Und kennt sich jemand mit NetBus aus? Mich würde interessieren, ob NetBus-'Besitzer', die sich in meinen Logs wiederfinden, immer Täter sind, oder ob NetBus von sich aus nach weiteren Rechnern sucht, die infiziert sind. Falls ja, nach welchem Muster geht NetBus vor? So häufig wie ich kontaktiert werde, glaube ich nicht mehr ganz an Zufall, eine tcpdump-Analyse hat allerdings von meiner Seite nichts auffälliges ergeben. Interessant ist an dieser Stelle eine Übersicht über die von den populäreren Trojanern genutzten Ports, zu finden unter: http://www.simovits.com/sve/nyhetsarkiv/1999/nyheter9902.html Gruß, Stephan, nicht mehr ganz so ratlos... ;-) -- Stephan Hakuli -------+--------------------------------> | Our domain mailto: stephan@hakuli.de | http://www.hakuli.de callto: +49 171 / 6518943 | is still under construction... --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Welche Dienste werden denn auf den Ports 12345, 27374. etc. *angeboten* ? [...] Port 12345 ist Netbus, solange es nicht anders konfiguriert wurde. Port 27374 ist Sub7, dito. Dass sie bei jeder online-Aktion "raus" wollen, liegt daran, dass sie automatisch eine E-Mail mit der IP verschicken. Netbus findest Du unter \HKEY_LOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Der Dateiname ist variabel, da aber der Port der Vorkonfiguration entspricht, wird es wohl patch.exe, sysedit.exe oder explore.exe sein. Sub7 ist da wesentlich ekliger, da modifizierbarer. Welchem Dau faellt schon auf, dass es z.B. die Datei Rundll16 in Windows\System nicht geben sollte. Gestartet werden kann es von jedem Startpunkt aus, auch hinter eine shell gehaengt. Die Server-Version 2.1 wird IMHO auch von keinem Scanner gefunden. Lad es Dir runter und
Am Fre, 25 Aug 2000 schrieb Stephan Hakuli: [...] probier, was die Voreinstellung ist. (Der Port wurde ja auch nicht geaendert) Viel Spass beim Suchen und sag Deinem Bruder, dass er keine Anhaenge von Freunden oeffnen soll. Daniel P.S.: Lese gerade die Mail von Joerg Henner. Will auf den Ports etwas "raus" oder "rein"? Naja, in der Reg schauen schadet ja nicht -- riot...> die welt ist das chaos das nichts ist der zu gebaerende weltgott --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Daniel Kuhlmann wrote: ...
Viel Spass beim Suchen und sag Deinem Bruder, dass er keine Anhaenge von Freunden oeffnen soll.
Daniel
P.S.: Lese gerade die Mail von Joerg Henner. Will auf den Ports etwas "raus" oder "rein"? Naja, in der Reg schauen schadet ja nicht
Und es wäre ev. auch noch hilfreich, wenn Du beim 'rauswählen des WIN*PC mal ein tcpdump/ethereal mitlaufen läßt, um den tatsächlichen Datenverkehr festzustellen. Dann sollte es auch möglich sein, zu entscheiden, ob tatsächlich schon die Firewall durchbrochen ist. Gruß hebi -- Dirk Hebenstreit Tel.: 0170 2461522 Eschenweg 3 033200 85997 14558 Bergholz-Rehbrücke Dirk.Hebenstreit@epost.de LINUX-User helfen Schulen http://www.pingos.schulnetz.org --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
From: "Stephan Hakuli"
Hallo zusammen,
ich würde mich über Eure Einschätzung zu folgendem freuen: In meinem Firewallskript weise ich jedes aus dem Internet kommende TCP-Paket mit gesetztem Syn-Bit ab und protokolliere es (die üblichen Ausnahmen für aktives FTP ausgenommen). In den letzten Tagen häufen sich solche Packet logs - auffälligerweise immer dann, wenn mein Bruder von seinem Windows-Rechner über meinen Router, auf dem dieses ipchains-Skript läuft - ins Internet geht, auch für nur 10 Minuten Mailabholen (ist allerdings noch nicht verifiziert, dass dann und nur dann). Bin ich paranoid, wenn die geloggten IPs zu x-beliebigen Domains wie aol.com, dip.t-dialin.net, arcor-ip.net und ähnlichem gehören und mich das - gelinde gesagt - argwöhnisch macht? Oder muss man diesen Rechnern etwa das Recht zugestehen, auf folgenden Ports andocken zu wollen?
[Kleiner Ausschnitt, Zeiten und drumrum weggeschnipselt...] input REJECT ppp0 PROTO=6 195.93.24.123:3064 62.158.14.245:12345 input REJECT ppp0 PROTO=6 172.138.200.160:4353 62.158.14.245:1243 input REJECT ppp0 PROTO=6 195.93.92.180:1183 62.158.14.65:27374 input REJECT ppp0 PROTO=6 145.253.64.160:1883 62.156.55.209:27374 input REJECT ppp0 PROTO=6 62.224.30.158:3974 62.156.55.209:27374 [...]
Ganz sauber ist das doch nicht, oder?
Hm. Ich habe festgestellt, daß sich mein Rechner gerne mit irgendwas bei aol.com verbinden will, wenn ich icq nutze... Ansonsten, lass doch mal 'nen "nmap -sS" über deinen Windows-Rechner laufen, dann siehst du zumindest, auf welchen Ports irgendwas lauscht... -- Marco Dieckhoff icq# 22243433 PGP key 9EFA D64F 5DAA D36B E0E7 CE1B 9E1B 4903 0C51 1632 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (5)
-
Dirk.Hebenstreit@epost.de
-
jhe@lihas.de
-
linux@jwr.de
-
muzius@gmx.net
-
stephan@hakuli.de