[OT] Werde ich attackiert?

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
debian_noob
Beiträge: 89
Registriert: 09.09.2003 14:10:20
Wohnort: D'dorf

[OT] Werde ich attackiert?

Beitrag von debian_noob » 28.07.2005 09:50:39

Ich grüße euch,

Ich will etwas wissen, wobei ich aber Angst habe, dass
ich ausgelacht werde. Ausserdem habe ich keine Ahnung, wo ich sonst
fragen könnte, also wende ich mich an euch. Bin gespannt, was dabei
rauskommt.

Ich habe einen Router, der sich von selbst bei meinem ISP einwählt.
Und über diesen Router bekommt mein Rechner seine Adresse (DHCP) und
"ist online".

Nun ist es so, dass mein Router ein Log File führt. In diesem Log File
sammeln sich aber-tausende (dies ist wirklich nicht untertrieben, da ich
sehr lange online bin) von solchen Daten an:

Code: Alles auswählen

[  2] Do 28 Jul 2005 09:32:55 CEST Intruder found on TCP port (135) from 80.132.24.232 (4348)
[  3] Do 28 Jul 2005 09:32:52 CEST Intruder found on TCP port (135) from 80.132.24.232 (4348)
[  4] Do 28 Jul 2005 09:32:38 CEST Intruder found on TCP port (135) from 80.132.97.8 (4473)
[  5] Do 28 Jul 2005 09:32:35 CEST Intruder found on TCP port (135) from 80.132.97.8 (4473)
[  6] Do 28 Jul 2005 09:32:02 CEST Intruder found on UDP port (1028) from 61.152.158.157 (32875)
[  7] Do 28 Jul 2005 09:32:02 CEST Intruder found on UDP port (1026) from 61.152.158.157 (32875)
[  8] Do 28 Jul 2005 09:31:15 CEST Intruder found on TCP port (445) from 80.132.116.147 (4057)
[  9] Do 28 Jul 2005 09:31:12 CEST Intruder found on TCP port (445) from 80.132.116.147 (4057)
[ 10] Do 28 Jul 2005 09:30:53 CEST Intruder found on UDP port (1026) from 218.92.11.35 (33052)
[ 11] Do 28 Jul 2005 09:30:38 CEST Intruder found on TCP port (1433) from 80.132.228.54 (1346)
[ 12] Do 28 Jul 2005 09:30:38 CEST Intruder found on TCP port (135) from 80.132.228.54 (1341)
[ 13] Do 28 Jul 2005 09:30:38 CEST Intruder found on TCP port (1025) from 80.132.228.54 (1342)
[ 14] Do 28 Jul 2005 09:30:38 CEST Intruder found on TCP port (139) from 80.132.228.54 (1345)
[ 15] Do 28 Jul 2005 09:30:38 CEST Intruder found on TCP port (445) from 80.132.228.54 (1344)
[ 16] Do 28 Jul 2005 09:30:32 CEST Intruder found on TCP port (1433) from 80.132.228.54 (1346)
[ 17] Do 28 Jul 2005 09:30:32 CEST Intruder found on TCP port (135) from 80.132.228.54 (1341)
[ 18] Do 28 Jul 2005 09:30:32 CEST Intruder found on TCP port (1025) from 80.132.228.54 (1342)
[ 19] Do 28 Jul 2005 09:30:32 CEST Intruder found on TCP port (139) from 80.132.228.54 (1345)
[ 20] Do 28 Jul 2005 09:30:32 CEST Intruder found on TCP port (445) from 80.132.228.54 (1344)
[ 21] Do 28 Jul 2005 09:30:29 CEST Intruder found on TCP port (445) from 80.132.228.54 (1344)
[ 22] Do 28 Jul 2005 09:30:29 CEST Intruder found on TCP port (1025) from 80.132.228.54 (1342)
[ 23] Do 28 Jul 2005 09:30:29 CEST Intruder found on TCP port (135) from 80.132.228.54 (1341)
[ 24] Do 28 Jul 2005 09:28:45 CEST Intruder found on TCP port (135) from 80.132.122.216 (4225)
[ 25] Do 28 Jul 2005 09:28:42 CEST Intruder found on TCP port (135) from 80.132.122.216 (4225)
[ 26] Do 28 Jul 2005 09:28:37 CEST Intruder found on TCP port (135) from 80.132.196.16 (2092)
[ 27] Do 28 Jul 2005 09:28:34 CEST Intruder found on TCP port (135) from 80.132.196.16 (2092)
[ 28] Do 28 Jul 2005 09:28:33 CEST Intruder found on TCP port (135) from 80.132.188.222 (4734)
[ 29] Do 28 Jul 2005 09:28:30 CEST Intruder found on TCP port (135) from 80.132.188.222 (4734)
[ 30] Do 28 Jul 2005 09:27:03 CEST Intruder found on TCP port (135) from 80.132.24.232 (4110)
[ 31] Do 28 Jul 2005 09:27:00 CEST Intruder found on TCP port (135) from 80.132.24.232 (4110)
[ 32] Do 28 Jul 2005 09:27:00 CEST Intruder found on UDP port (1027) from 218.92.11.38 (32880)
Meine Frage ist: Werde ich attackiert von irgendwem? Oder was bedeuten diese Einträge?
In das Handbuch meines Routers habe ich schon geguckt, aber da steht nichts zu den Log Files drin.

euer
debian_noob

PS: Bevor ich es absende, ist es mir noch eingefallen, dass ich erwähnen sollte, dass mein Rechner mit Sarge läuft und ich mit "update-rc.d" schon einige Dienste, die gestartet werden, obwohl sie für einen Desktop Rechner nicht gebraucht werden, aus den Startskripten entfernt habe. Also bei mir ist nicht viel mit Fernzugriff, weshalb sich meine Irritation bezüglich der obigen Enträge im Log File nur erhöht.
Nach oben
Benutzeravatar
KabelSalat
Beiträge: 167
Registriert: 15.12.2002 14:46:41
Lizenz eigener Beiträge: GNU Free Documentation License
Kontaktdaten:

Beitrag von KabelSalat » 28.07.2005 10:57:18

Dein Router hat eine interne Firewall, nehme ich an.

Die Einträge bedeuten das diese Firewall arbeitet. Es werden z.B. scans auf diese Ports geblockt, und dieses dann ins Logfile geschrieben.
Also nichts um sich sorgen zu machen.

HTH
Nach oben
debian_noob
Beiträge: 89
Registriert: 09.09.2003 14:10:20
Wohnort: D'dorf

Beitrag von debian_noob » 28.07.2005 11:14:22

Ob, das eine Firewall ist, weis ich nicht, aber ich kann im Router genau einstellen, was für Ports ich erlauben will und was nicht. Da ich nichts davon verstehe, habe einfach alles zugemacht ("disable").

Nur, was bedeutet so ein Satz?

Code: Alles auswählen

Intruder found on TCP port (135) from 80.132.24.232 (4348)
Versucht jemand von sich vom Port 4348 auf meinen - nicht vorhandenen- Port 135 zuzugreifen?
Oder umgekehrt?

Aber, schon mal danke für die dargebrachten Erklärungen.

euer
debian_noob
Nach oben
Benutzeravatar
Savar
Beiträge: 7174
Registriert: 30.07.2004 09:28:58
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Berlin

Beitrag von Savar » 28.07.2005 11:30:39

dein Router sagt nur, dass er einen "Eindringling am Port 135 hat, der von der IP v.x.y.z Port XXX kommt" und da du den Port deaktiviert hast, ist das für ihn ein "Eindringling".. alles Ok soweit.. es versucht irgendwer (vielleicht auch ein Wurm) die typischen Windows Ports zu attakieren. Aber er kommt nicht durch und gut ist..
MODVOICE/MYVOICE
Debianforum Verhaltensregeln
Log Dateien? -> NoPaste
Nach oben
Benutzeravatar
DynaBlaster
Beiträge: 958
Registriert: 25.03.2004 18:18:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: DF0://dynablaster.adf

Beitrag von DynaBlaster » 28.07.2005 11:36:15

Jap, genau das heisst das.

Ich glaube jeder hat diese "Portscans" und du musst dir keine Sorgen machen, wenn die in den Logs des Routers auftauchen. Bei mir sind es vor allen Dingen Zugriffe auf Port 4662. Und das liegt meist daran, daß die IP, die ich von meinem ISP zugeteilt bekommen habe vorher einem emule/edonkey-Nutzer zugeteilt war und irgendwelche anderen emule-Client denken, dort gäbe es noch etwas "zu holen".
Nach oben
Benutzeravatar
KBDCALLS
Moderator
Beiträge: 22447
Registriert: 24.12.2003 21:26:55
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Dortmund
Kontaktdaten:

Beitrag von KBDCALLS » 28.07.2005 11:41:04

Das sieht danach aus wenn das mit einem Wurm infizierte Windowsrechner sind. die versuchen andere Rechner ebenfalls zu befallen.

Code: Alles auswählen

matthias@biljana:~$ host 80.132.228.54
54.228.132.80.in-addr.arpa domain name pointer p5084E436.dip.t-dialin.net.
matthias@biljana:~$ host 218.92.11.38
Host 38.11.92.218.in-addr.arpa not found: 3(NXDOMAIN)
matthias@biljana:~$ host 80.132.196.16
16.196.132.80.in-addr.arpa domain name pointer p5084C410.dip.t-dialin.net.
matthias@biljana:~$

Code: Alles auswählen

matthias@biljana:~$ host dip.t-dialin.net
dip.t-dialin.net mail is handled by 10 mailin00.sul.t-online.de.
dip.t-dialin.net mail is handled by 10 mailin01.sul.t-online.de.
matthias@biljana:~$
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.

EDV ist die Abkürzung für: Ende der Vernunft

Bevor du einen Beitrag postest:
  • Kennst du unsere Verhaltensregeln
  • Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.
Nach oben
Antworten

Zurück zu „Netzwerk“