"Autor"	hoert das bitte mal auf???
Nutzer: tjane Status: Profiuser Post schicken Registriert seit: 01.01.2000 Anzahl Nachrichten: 1010	geschrieben am: 31.10.1999    um 19:52 Uhr    hi - ich bin weder im chat, noch im icq - nur grad im forum gewesen - und schon versucht wieder irgendwer mich zu scannen (geschaetzte online-zeit seit einloggen ca 10 minuten...) vielleicht laesst wer auch immer diesen mist jetzt mal??? besten dank! Antwort schreiben Im Zitat antworten Beitrag abonnierenÂ
	Top

"Autor"
Nutzer: abalone Status: Profiuser Post schicken Registriert seit: 01.01.2000 Anzahl Nachrichten: 1200	geschrieben am: 31.10.1999    um 20:52 Uhr    klingt vielleicht doof - aber wie merkt man sowas, tjane? [i]horcht mißtrauisch in die weiten des netzes.......[/i] Antwort schreiben Im Zitat antworten
	Top

"Autor"
Nutzer: tjane Status: Profiuser Post schicken Registriert seit: 01.01.2000 Anzahl Nachrichten: 1010	geschrieben am: 31.10.1999    um 21:08 Uhr    hab ein programm (koennt namen nennen, aber denn geht das womoeglich weiter, ohne dass ichs merk... schick mal ne mail! - sam hat adi) - wehrt sowas ab und protokolliert... hab ich seit gestern und zwei angriffe registriert... den verdacht hat ich ja schon laenger, aber nu bin ich echt etwas sauer... Antwort schreiben Im Zitat antworten
	Top

"Autor"
Nutzer: tjane Status: Profiuser Post schicken Registriert seit: 01.01.2000 Anzahl Nachrichten: 1010	geschrieben am: 31.10.1999    um 21:22 Uhr    sorry, mit eben grad drei... idioten! lasst das!!!! Antwort schreiben Im Zitat antworten
	Top

"Autor"
Nutzer: Gast_Apple Status: Profiuser Post schicken Registriert seit: 01.01.2000 Anzahl Nachrichten: 298	geschrieben am: 31.10.1999    um 21:26 Uhr    sogenannte Portscanner - kleine Programme, die Verbindungen zu Ports an Rechnern aufbauen, um zu testen, ob er offen ist. scannen kann man also auch ohne bekannte IP Adresse... etwa ganze Blocks von Einwahlknoten - es gibt übrigens auch Einwahlmöglichkeiten mit fester Adresse. unter UN*X Systemen erscheint dann für gewöhnlich in den logfiles eine Zeile über die abgebrochene Verbindung prinzipiell ist das scannen noch nichts agressives (sagen zumindest die Hacker) - nur ein Nachschauen, um ihren Forscherdrang zu befriedigen. Berni, der Apfel [b]_________ hopefully helpful[/b] Antwort schreiben Im Zitat antworten
	Top

"Autor"
Nutzer: tjane Status: Profiuser Post schicken Registriert seit: 01.01.2000 Anzahl Nachrichten: 1010	geschrieben am: 31.10.1999    um 21:30 Uhr    naja, ich seh das etwas anders... auf meinem compi hat einfach keiner was zu suchen ohne einladung... uebrigens, falls es hier hacker gibt, die ritter spielen moegen: <BLOCKQUOTE><font size="1" face="Verdana, Arial, Helvetica quote:</font><HR>[31.10.99 08:41:59] Trojan network connectivity check enabled. [31.10.99 08:41:59] Auto Trojan scan is activated. [31.10.99 08:41:59] Nuke protection disabled. [31.10.99 08:41:59] ICQ Nuke protection enabled. [31.10.99 08:42:00] LockDown 2000 is scanning System Areas... [31.10.99 08:51:00] Scan Complete. [31.10.99 08:54:00] System Area Change - Temp Directories - Rescanning [31.10.99 08:54:33] Incoming hack attempt from IP Address: 62.180.38.211 [31.10.99 08:54:33] Hacker is attempting to gain access using the SubSeven trojan. [31.10.99 08:54:33] Hacker's connection was terminated by Lockdown 2000. [31.10.99 08:54:33] Log auto-saved to: 10311999.LOG [31.10.99 08:54:33] Attempting trace route... Please stand by... [31.10.99 08:54:33] Attempting to trace hacker's connection... Please stand by... [31.10.99 08:54:33] 31.10.99 08:54:33-[From 62.180.38.211]- [31.10.99 08:54:35] => RAS-7.leipzig.ipdial.viaginterkom.de [31.10.99 08:54:35] => r-211.leipzig.ipdial.viaginterkom.de [31.10.99 08:54:35] =========================================<HR></BLOCKQUOTE> das sind die infos, die ich bekomm... Antwort schreiben Im Zitat antworten
	Top

"Autor"
Nutzer: Gast_ghostrider_33 Status: Profiuser Post schicken Registriert seit: 01.01.2000 Anzahl Nachrichten: 2	geschrieben am: 31.10.1999    um 22:36 Uhr    tjane, daraus geht hervor, dass der hacker sich über den Provider VIAG interkom eingewählt hat. Hatte vor zwei Wochen das gleiche Problem. Habe mich mit Viag interkom in Verbindung gesetzt. Die versprachen der Sache nachzugehen. Inzwischen läuft ein Verfahren. Ãœber den Zwischenstand kann ich begreiflicherweise nichts sagen. Du solltest dich auch mit Viag Interkom in Verbindung setzen. Diesen Hackern sollte das Handwerk gelegt werden. CU Ghostrider Antwort schreiben Im Zitat antworten
	Top

"Autor"
Nutzer: tjane Status: Profiuser Post schicken Registriert seit: 01.01.2000 Anzahl Nachrichten: 1010	geschrieben am: 31.10.1999    um 22:54 Uhr    naja - soweit war ich auch schon ;-)) Antwort schreiben Im Zitat antworten
	Top

"Autor"
Nutzer: tjane Status: Profiuser Post schicken Registriert seit: 01.01.2000 Anzahl Nachrichten: 1010	geschrieben am: 31.10.1999    um 23:05 Uhr    aeh - trotzdem - danke :-) Antwort schreiben Im Zitat antworten
	Top

"Autor"
Nutzer: tjane Status: Profiuser Post schicken Registriert seit: 01.01.2000 Anzahl Nachrichten: 1010	geschrieben am: 02.11.1999    um 07:55 Uhr    hmm... hab hier noch was von gestern abend (nee, nich selbst gefunden, schnief, hab mich ein wenig bewachen lassen...) sieht mir aber schon etwas aussagefaehiger aus - wenn denn jemand was mit anfangen kann: <BLOCKQUOTE><font size="1" face="Verdana, Arial, Helvetica quote:</font><HR>Interesting ports on r-154.leipzig.ipdial.viaginterkom.de (62.180.38.154): Port State Protocol Service 67 filtered udp bootps 68 open udp bootpc 69 filtered udp tftp 111 filtered udp sunrpc 137 filtered udp netbios-ns 138 filtered udp netbios-dgm 139 filtered udp netbios-ssn 514 filtered udp syslog 2025 open udp xribs 2049 filtered udp nfs 31337 filtered udp BackOrifice Nmap run completed -- 1 IP address (1 host up) scanned in 1155 seconds<HR></BLOCKQUOTE> nett, nicht wahr? vor allem der letzte unterpunkt hats mir so richtig angetan... schaut nicht nach einem "hallo, wollt nur ma guggen ob du da bist.." aeh, ghostrider - gib mal bescheid, ob die sache ueber viaginterkom erfolgreich ist... Antwort schreiben Im Zitat antworten
	Top

"Autor"
Nutzer: agadir Status: Profiuser Post schicken Registriert seit: 04.10.2005 Anzahl Nachrichten: 5	geschrieben am: 03.11.1999    um 18:16 Uhr    Hallo Tjane, habe dein Problem verfolgt und bin bei erneutem lesen deines Threads auf die letzte Zeile deines letzten Postings aufmerksam geworden, in der "BackOrifice" zu lesen ist. Leider habe ich die Info, die ich dazu in meinen meherere millionen Kilogramm PC-Zeitschriften suchte natürlich nicht gefunden *grins* Aber ich habe dir einen Link gesucht, bei dem du ein Programm Downloaden kannst, das (wenn es sich bei dir denn um besagtes Back Orifice handelt) dein Problem beseitigen sollte. Link Würde mich freuen, wenn ich dir damit geholfen habe :-) Wenn du mehr über Angriffe auf einen PC im allgemeinen lesen möchtest, empfehle ich dir in ein paar verschiedene Searchengines Suchwörter wie "trojaner, trojanische pferde, back orifice, net bus, viren" usw einzugeben. In der c't Ausgabe 17 findest du außerdem einen Bericht über dieses Thema:"Die Vettern aus Dingsda - Gefahren durch ungebetene Gäste im Windows-PC" (Sollte noch in jeder Bibliothek zu lesen sein, oder siehe Link weiter unten.) Um dir in Zukunft keine neuen Trojaner einzufangen, solltest du dir einen Virenscanner zulegen, der auch Internetverbindungen überwachen kann. Selbst benutze ich 'Virus Scan' von Mc Afee -Network Associates- und bin damit zufrieden. Klar, jetzt stöhnen wieder alle, die nix von Mc Afee halten, das du Norten verwenden sollst. Alles "bla bla". Die nehmen sich nicht viel. Wenn du mehr über diese Dinger wissen willst, schaue dir Testberichte darüber an. Im allgemeinen findest du auf den Web Pages von PC-Magazinen gute Infos über allmögliche Sachen. Mein Link für dich führt z.B. auf die Seite der PC-Professionell. Du solltest vielleicht auch mal die Seite des Heise Verlages (u.a. Herrausgeber der c't) aufsuchen. Link Ok, will dich hier auch nicht mit Dingen vollquatschen, die du vielleicht gar nicht wissen willst ;-) Deshalb mache ich hier erstmal Schluß. Wenn du noch mehr wissen willst, dann frage einfach und ich schaue dann mal, ob ich was dazu weiß. Yours Agadir Antwort schreiben Im Zitat antworten
	Top

"Autor"
Nutzer: tjane Status: Profiuser Post schicken Registriert seit: 01.01.2000 Anzahl Nachrichten: 1010	geschrieben am: 03.11.1999    um 20:54 Uhr    danke erstmal fuer die tips :-)) patch.exe gefunden und hoffentlich erfolgreich geloescht - was muss ich sonst noch machen?? achja - und wie kann das ding auf meinen rechner kommen, ausser mit irgendner andern exe zusammen? und hilft virenschutz? (norton hab ich schon laenger drauf, inzwischen auch mit dauernd aktualisierten listen, und agadirs tip bin ich auch gefolgt und hab das kleine programm jetzt zusaetzlich laufen) und die frage aller fragen: warum macht jemand sowas? eigentlich war ich gar nicht scharf auf beschaeftigungstherapie... und bei heise les ich denn doch lieber beitraege wie den ueber 1999a *grins* Antwort schreiben Im Zitat antworten
	Top

"Autor"
Nutzer: Gast_andi_24 Status: Profiuser Post schicken Registriert seit: 01.01.2000 Anzahl Nachrichten: 2	geschrieben am: 03.11.1999    um 21:25 Uhr    Huhu, jetzt muss ich auch mal was loswerden... [i]g[/i] Tjane, Dein Posting zu den "Interesting ports on r-154.leipzig.ipdial.viaginterkom.de" scheint so ne Art Portscan von irgendwas gewesen zu sein. Is also nich unbedingt gefaehrlich, siehe oben. (Fuer mich sieht das auch so aus, als ob die Ports [b]auf[/b] "r-154.leipzig.ipdial.viaginterkom.de" getestet wurden- und nicht [b]von[/b] diesem Ding [b]zu[/b] Tjane. Richtig???) Und Du machst Dir ja auch vor allem wegen der Zeile <BLOCKQUOTE><font size="1" face="Verdana, Arial, Helvetica quote:</font><HR> 31337 filtered udp BackOrifice <HR></BLOCKQUOTE> Sorgen. Wenn ich mir aber die anderen dieser Zeilen ansehe, so stelle ich fest, dass das nur die Portnummern sind. Das Logfile sagt also [b]nicht[/b], dass 31337 Versuche stattgefunden haben, den "BackOrifice"-Port zu pruefen, sondern dass der "BackOrifice" Port die Nummer 31337 hat- was ein gewaltiger Unterschied ist! Zu den Portnummern siehe auch Link Oder vermute ich da falsch? Solange mich niemand korrigiert- keine Panik! [i]hofft, dass er Tjane etwas beruhigen konnte[/i] [b]ANDI :-)[/b] P.S.: Das is mein erstes Posting hier- hab also bitte nachsicht... [i]g[/i] [Diese Nachricht wurde geändert von: andi_24 (geändert am: 03-11-99).] Antwort schreiben Im Zitat antworten
	Top

"Autor"
Nutzer: froggy Status: Profiuser Post schicken Registriert seit: 09.04.2001 Anzahl Nachrichten: 625	geschrieben am: 03.11.1999    um 23:15 Uhr    [i]hülft kd gerne mal....;o)[/i] Link Link [i]und jetzt aussem forum verschwindet...;o)[/i] Antwort schreiben Im Zitat antworten
	Top

"Autor"
Nutzer: tjane Status: Profiuser Post schicken Registriert seit: 01.01.2000 Anzahl Nachrichten: 1010	geschrieben am: 03.11.1999    um 23:23 Uhr    hab grad so ne stunde lang die anweisungen auf der seite befolgt... nix verdaechtiges, ausser ussshreg.exe und systray.exe (eintrag im regedit) da weiss ich einfach nicht, was die machen... dafuer noch ein kleiner gutenachtscan <BLOCKQUOTE><font size="1" face="Verdana, Arial, Helvetica quote:</font><HR>/root# nmap -sS 62.180.38.109 Starting nmap V. 2.3BETA5 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/) Interesting ports on r-109.leipzig.ipdial.viaginterkom.de (62.180.38.109): Port State Protocol Service 7 filtered tcp echo 25 filtered tcp smtp 53 open tcp domain 111 filtered tcp sunrpc 129 open tcp pwdgen 137 open tcp netbios-ns 138 open tcp netbios-dgm 139 open tcp netbios-ssn 515 filtered tcp printer 12345 open tcp NetBus Nmap run completed -- 1 IP address (1 host up) scanned in 63 seconds<HR></BLOCKQUOTE> *grummels* Antwort schreiben Im Zitat antworten
	Top

"Autor"
Nutzer: syhsoft Status: Profiuser Post schicken Registriert seit: 01.01.2000 Anzahl Nachrichten: 736	geschrieben am: 04.11.1999    um 09:48 Uhr    hi tjane hier haste mal die viag interkomdaten incl telefonnummer: inetnum: 62.180.32.0 - 62.180.41.255 netname: VIAG-DIAL-2 descr: VIAG-INTERKOM Dialin country: DE admin-c: VIAG1-RIPE tech-c: VIAG1-RIPE rev-srv: ns0.ipcore.viaginterkom.de rev-srv: ns1.ipcore.viaginterkom.de rev-srv: ns.vi-internet.de status: ASSIGNED PA notify: hostmaster@viaginterkom.de mnt-by: VIAG-MNT changed: hostmaster@viaginterkom.de 19991004 source: RIPE route: 62.180.0.0/16 descr: DE-VIAG-980710 origin: AS8472 mnt-by: VIAG-MNT changed: Kurt.Kayser@viaginterkom.de 19980710 role: VIAG Interkom-Service-Center address: VIAG Interkom GmbH & Co address: Network Service Center address: Mergenthalerallee 6-8 address: D-65760 Eschborn address: Germany phone: +49 69 3307 6611 fax-no: +49 69 3307 1111 e-mail: hostmaster@viaginterkom.de trouble: Please report spam/complaints to: abuse@viaginterkom.de trouble: Call: 0180 5515055 for more information trouble: Looking for services? -> Link admin-c: KM2133-RIPE tech-c: SR1985-RIPE tech-c: DAVE2-RIPE nic-hdl: VIAG1-RIPE notify: hm-dbm-msgs@ripe.net notify: hostmaster@viaginterkom.de mnt-by: VIAG-MNT changed: hostmaster@viaginterkom.de 19990610 changed: hostmaster@viaginterkom.de 19990616 changed: hostmaster@viaginterkom.de 19990909 source: RIPE gemmeinsam mit der Zeit und der IP ....109 sollte Viag-Interkom etwas unternehmen können syh Antwort schreiben Im Zitat antworten
	Top

"Autor"
Nutzer: derrabe Status: Profiuser Post schicken Registriert seit: 07.07.2001 Anzahl Nachrichten: 67	geschrieben am: 04.11.1999    um 10:12 Uhr    ALso, fragt mich nicht nach nem Link, oder sowas, aber es soll angeblich so'n Progi namens "FireBack" geben, mit dem man Leutchen, die sich (z.B.) mit BackOrifice (/2000) in anderer Leutz Compis hacken, möglich sein, ziemlich den Spaß zu verderben. Das sucht auch den Scanner, mitsamt IP-Adresse und dann ist der Hacker nur noch durch einen Mausklick (mitsamt der dazugehörigen Abschiedsmeldung deinerseits) vom Systemabsturz entfernt. Ich hab leider keine Links zum Thema, oder ne Bestelladresse, wenn wer was genaueres weiß, dann hätte ich da gerne Info zu. [i]Nach dem dritten Absturz wird man dann doch wohl seine Ruhe haben...gesetzt dem Fall, es ist wirklich "nur" scannen und kein hacken, meine ich...denn ich stimme tjane zu, der Unterschied ob wer auf meiner Platte "nur" rumguckt oder dran rumbastelt, der ist ja nun nicht gerade der Riesigste.[/i] In diesem Sinne, Gruß, Rabe [i]der selber gerne mal BO sehen würde, um zu wissen, was damit machbar ist und wie er sich dann dagegen wehren kann...[/i] Antwort schreiben Im Zitat antworten
	Top

"Autor"
Nutzer: syhsoft Status: Profiuser Post schicken Registriert seit: 01.01.2000 Anzahl Nachrichten: 736	geschrieben am: 04.11.1999    um 10:32 Uhr    hier ein link zum Schutz gegen Trojaner: Link ein noch besserer Schutz ist [b]Linux[/b] bei linux sind derzeit nur 2 bekannte Viren vorhanden, gegen die man sich aber wirksam schützen kann syh Antwort schreiben Im Zitat antworten
	Top

"Autor"
Nutzer: Gast_Apple Status: Profiuser Post schicken Registriert seit: 01.01.2000 Anzahl Nachrichten: 298	geschrieben am: 04.11.1999    um 10:54 Uhr    ahem... syh? die 62.180.38.109 war tjanes IP-Adresse - obwohl es sicherlich auch interessant waer, ob die Leute bei VIAG-Interkom das herausbekommen interessant sollte eigentlich die Zeile mit der Portnummer 12345 sein weiss nur nicht viel ueber Trojaner (namentlich Netbus, BackOrifice, SubSeven) Berni, der Apfel [b]_______ man tut, was man kann und gelegentlich reicht dies sogar[/b] Antwort schreiben Im Zitat antworten
	Top

"Autor"
Nutzer: syhsoft Status: Profiuser Post schicken Registriert seit: 01.01.2000 Anzahl Nachrichten: 736	geschrieben am: 04.11.1999    um 11:40 Uhr    huhu apple tja, dann hängt tjane an dem gleichen einwahlknoten wie der scanner der ipŽs <BLOCKQUOTE><font size="1" face="Verdana, Arial, Helvetica quote:</font><HR>[31.10.99 08:41:59] Trojan network connectivity check enabled. [31.10.99 08:41:59] Auto Trojan scan is activated. [31.10.99 08:41:59] Nuke protection disabled. [31.10.99 08:41:59] ICQ Nuke protection enabled. [31.10.99 08:42:00] LockDown 2000 is scanning System Areas... [31.10.99 08:51:00] Scan Complete. [31.10.99 08:54:00] System Area Change - Temp Directories - Rescanning [31.10.99 08:54:33] Incoming hack attempt from IP Address: 62.180.38.211 [31.10.99 08:54:33] Hacker is attempting to gain access using the SubSeven trojan. [31.10.99 08:54:33] Hacker's connection was terminated by Lockdown 2000. [31.10.99 08:54:33] Log auto-saved to: 10311999.LOG [31.10.99 08:54:33] Attempting trace route... Please stand by... [31.10.99 08:54:33] Attempting to trace hacker's connection... Please stand by... [31.10.99 08:54:33] 31.10.99 08:54:33-[From 62.180.38.211]- [31.10.99 08:54:35] => RAS-7.leipzig.ipdial.viaginterkom.de [31.10.99 08:54:35] => r-211.leipzig.ipdial.viaginterkom.de [31.10.99 08:54:35] ========================================= <HR></BLOCKQUOTE> dann muss tjane halt diese Daten angeben: [31.10.99 08:54:33] Incoming hack attempt from IP Address: 62.180.38.211 apple: trojaner funktionieren nur, wenn man einen sogenannten server auf seiem System installiert hat, das heißt eine exe-Datei die auf Anfragen des Trojaners antwortet und mit ihm dann eine verbindung aufbaut. der client (hacker) kann dann je nach Programmumfang auf dem Fremden System machen was er will. Arten gibt es da verschiedene, geh einfach mal auf den link von mir weiter oben. auf jedenfall arbeiten die trojanerschutzprogramme genau wie die trojaner selber, sie simulieren einen offenen port, lassen den hacker im glauben er sei im system und oder man wirft ihn wieder raus. besser ist es alles was mit trojanern zu tun hat vom system fernzuhalten, denn das beste Schutzprogramm kann beim nächsten trojanerupdate schon ein offenes türchen bedeuten syh Antwort schreiben Im Zitat antworten
	Top

"Autor"
Nutzer: syhsoft Status: Profiuser Post schicken Registriert seit: 01.01.2000 Anzahl Nachrichten: 736	geschrieben am: 04.11.1999    um 21:05 Uhr    hi kd linux passt sich seinem admin an.....wenn der schei... ist, dann kann man jedes Linux mit einem telnet aufbrechen und niedermachen. von mac hab ich keine ahnung und will ich auch nicht haben, bin ja auch kein allheilsyh. ich weiß nur, dass ich bisher jede portaktivität im linux protokollieren kann, bzw unterbinden. wenn ich windose boote müsste ich mir denk ich erst mal mit software im marktwert von mehreren marks und euros eindecken um ein wenig sicher zu sein. syh PS mit den 2 Linux-viren war etwas fälschlich ausgedrückt, ich meinte 2 arten, wenn ich natürlich telnet, nmap usw dazunehme gibt es mehr. aber [b] der größte Virus sitzt immer an der Tastatur den befallenen PC's[/b] Antwort schreiben Im Zitat antworten
	Top

"Autor"
Nutzer: tjane Status: Profiuser Post schicken Registriert seit: 01.01.2000 Anzahl Nachrichten: 1010	geschrieben am: 04.11.1999    um 21:27 Uhr    wieso artet sowas eigentlich immer in ne diskussion ueber systeme aus? (aeh... rhetorisch... schon gut... ;-) richtet lieber nen spendenkonto ein, kennwort: virenfreier unhackbarer rechner fuer tjane *grins* werd mal an viaginterkom mailen, auch wenn ich denk, das ist wirklich meine ip gewesen - oder koennen zwei gleichzeitig mit derselben im netz sein? aktueller stand: <BLOCKQUOTE><font size="1" face="Verdana, Arial, Helvetica quote:</font><HR> nmap -sU -p 130-139,31330-31339 62.180.16.245 Starting nmap V. 2.3BETA5 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/) Interesting ports on u-245.dresden.ipdial.viaginterkom.de (62.180.16.245): Port State Protocol Service 137 filtered udp netbios-ns 138 filtered udp netbios-dgm 139 filtered udp netbios-ssn 31337 open udp BackOrifice Nmap run completed -- 1 IP address (1 host up) scanned in 35 seconds /root# nmap -sS -p 130-139,12345,31330-31339 62.180.16.245 Starting nmap V. 2.3BETA5 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/) Interesting ports on u-245.dresden.ipdial.viaginterkom.de (62.180.16.245): Port State Protocol Service 137 open tcp netbios-ns 138 open tcp netbios-dgm 139 open tcp netbios-ssn 12@Œìÿ¿1@p€ ä÷ÿ¿8–@°ìÿ¿µB@p€ `vä÷ÿ¿4íÿ¿8–@ÄÂ�<HR></BLOCKQUOTE> und bei mir selbst gescannt: <BLOCKQUOTE><font size="1" face="Verdana, Arial, Helvetica quote:</font><HR>[04.11.99 21:21:28] Incoming hack attempt from IP Address: 62.180.38.10 [04.11.99 21:21:28] Hacker is attempting to gain access using the SubSeven trojan. [04.11.99 21:21:28] Hacker's connection was terminated by Lockdown 2000. [04.11.99 21:21:28] Log auto-saved to: 11041999.LOG [04.11.99 21:21:28] Attempting trace route... Please stand by... [04.11.99 21:21:28] Attempting to trace hacker's connection... Please stand by... [04.11.99 21:21:28] 04.11.99 21:21:28-[From 62.180.38.10]- [04.11.99 21:21:29] => f-5.leipzig.ipdial.viaginterkom.de [04.11.99 21:21:29] => RAS-4.leipzig.ipdial.viaginterkom.de [04.11.99 21:21:29] => r-10.leipzig.ipdial.viaginterkom.de [04.11.99 21:21:29] =========================================<HR></BLOCKQUOTE> ???? *gruebel* achja - ich bin ein virus ;-)) (und leise auf tapfuhler schimpf..) [Diese Nachricht wurde geändert von: tjane (geändert am: 04-11-99).] Antwort schreiben Im Zitat antworten
	Top

"Autor"
Nutzer: tjane Status: Profiuser Post schicken Registriert seit: 01.01.2000 Anzahl Nachrichten: 1010	geschrieben am: 04.11.1999    um 22:09 Uhr    nachtrag zum ersten scan direkt drueber... <BLOCKQUOTE><font size="1" face="Verdana, Arial, Helvetica quote:</font><HR>Port State Protocol Service 137 open tcp netbios-ns 138 open tcp netbios-dgm 139 open tcp netbios-ssn 12345 open tcp NetBus Nmap run completed -- 1 IP address (1 host up) scanned in 20 seconds<HR></BLOCKQUOTE> das 12@Œìÿ¿1@p€ ä÷ÿ¿8–@°ìÿ¿µB@p `vä÷ÿ¿4íÿ¿8–@ÄÂ�  lag wohl am abstuerzenden icq... (nicht meinem - die daten sind die gegenprobe :-) Antwort schreiben Im Zitat antworten
	Top

"Autor"
Nutzer: syhsoft Status: Profiuser Post schicken Registriert seit: 01.01.2000 Anzahl Nachrichten: 736	geschrieben am: 06.11.1999    um 03:56 Uhr    also soll noch mal einer nie sagen: <BLOCKQUOTE><font size="1" face="Verdana, Arial, Helvetica quote:</font><HR>Nov 5 23:55:25 a181023 thttpd[215]: 3600 seconds, 0 connections, 0 simultaneous, 0 maps, 3 timers Nov 6 01:15:18 a181023 -- MARK -- Nov 6 01:35:18 a181023 -- MARK -- Nov 6 01:55:18 a181023 -- MARK -- Nov 6 00:55:25 a181023 thttpd[215]: 3600 seconds, 0 connections, 0 simultaneous, 0 maps, 3 timers Nov 6 02:15:18 a181023 -- MARK -- Nov 6 02:25:49 a181023 inetd[1278]: getpwnam: nobody: No such user Nov 6 02:25:50 a181023 popper[1277]: connect from 212.41.81.249 Nov 6 02:25:51 a181023 wu.ftpd[1280]: connect from 212.41.81.249 Nov 6 02:25:51 a181023 wu.ftpd[1280]: error: cannot execute /usr/sbin/wu.ftpd: No such file or directory Nov 6 02:26:37 a181023 inetd[1282]: getpwnam: nobody: No such user Nov 6 02:26:39 a181023 popper[1281]: connect from 212.41.81.249 Nov 6 02:26:40 a181023 wu.ftpd[1283]: connect from 212.41.81.249 Nov 6 02:26:40 a181023 wu.ftpd[1283]: error: cannot execute /usr/sbin/wu.ftpd: No such file or directory Nov 6 02:27:06 a181023 popper[1284]: connect from 212.41.81.249 Nov 6 02:27:07 a181023 wu.ftpd[1285]: connect from 212.41.81.249 Nov 6 02:27:07 a181023 wu.ftpd[1285]: error: cannot execute /usr/sbin/wu.ftpd: No such file or directory Nov 6 02:27:08 a181023 inetd[1286]: getpwnam: nobody: No such user Nov 6 02:55:18 a181023 -- MARK -- Nov 6 01:55:25 a181023 thttpd[215]: 3600 seconds, 0 connections, 0 simultaneous, 0 maps, 3 timers Nov 6 03:15:18 a181023 -- MARK -- Nov 6 03:35:18 a181023 -- MARK -- <HR></BLOCKQUOTE> hat es doch tatsächlich wieder mal einer probiert syh Antwort schreiben Im Zitat antworten
	Top

"Autor"
Nutzer: tjane Status: Profiuser Post schicken Registriert seit: 01.01.2000 Anzahl Nachrichten: 1010	geschrieben am: 07.11.1999    um 21:00 Uhr    to whom it may concern: ich schicke ab sofort alle logs an die jeweiligen provider weiter (is nicht nur ueber viaginterkom, hab grad eben wieder zwei sehr schoene aussagefaehige logs gehabt...) "friendly fire" also bitte vorher bei mir anmelden - sonst versteh ich das naemlich nicht als solches :-) Antwort schreiben Im Zitat antworten
	Top

"Autor"
Nutzer: tjane Status: Profiuser Post schicken Registriert seit: 01.01.2000 Anzahl Nachrichten: 1010	geschrieben am: 08.11.1999    um 22:09 Uhr    einen hab ich noch - interessant ist vor allem die ip - da kann ich naemlich nicht dem provider mailen - aber vielleicht weiss ja hier jemand, wer an sonen zugang kommt? <BLOCKQUOTE><font size="1" face="Verdana, Arial, Helvetica quote:</font><HR>[08.11.99 21:58:17] Incoming hack attempt from IP Address: 149.225.41.28 [08.11.99 21:58:17] Hacker is attempting to gain access using the SubSeven trojan. [08.11.99 21:58:17] Hacker's connection was terminated by Lockdown 2000. [08.11.99 21:58:17] Log auto-saved to: 11081999.LOG [08.11.99 21:58:17] Attempting trace route... Please stand by... [08.11.99 21:58:18] Attempting to trace hacker's connection... Please stand by... [08.11.99 21:58:18] 08.11.99 21:58:18-[From 149.225.41.28]- [08.11.99 21:58:20] => RAS-6.leipzig.ipdial.viaginterkom.de [08.11.99 21:58:20] => fa-0-0-0-access1.leipzig.ipcore.viaginterkom.de [08.11.99 21:58:20] => s-4-1-1-core2.frankfurt.ipcore.viaginterkom.de [08.11.99 21:58:20] => core1-h6-0-0.uk1.concert.net [08.11.99 21:58:20] => t2c1-p2-2.uk-lon2.concert.net [08.11.99 21:58:20] => t2c3-p4-0-0.nl-ams.concert.net [08.11.99 21:58:20] => BR1.AMS2.Alter.Net [08.11.99 21:58:20] => 313.ATM1-0-0.CR1.FFT1.Alter.Net [08.11.99 21:58:20] => dr1.Frankfurt.de.alter.net [08.11.99 21:58:20] => pec-41-28.tnt4.f.uunet.de [08.11.99 21:58:20] =========================================<HR></BLOCKQUOTE> achja - hab natuerlich bei www.checkdomain.com nachgeschaut, hier noch die antwort: <BLOCKQUOTE><font size="1" face="Verdana, Arial, Helvetica quote:</font><HR>149.225.41.28 (Unresolved) Multiple entries exist for the domain 149.225.41.28. Please click on the corresponding highlighted entries below to display an individual record. European Regional Internet Registry/RIPE NCC (NETBLK-RIPE-149-206-BLK) RIPE-149-206-BLK 149.206.0.0 - 149.251.255.255 EUnet Deutschland GmbH (NET-CUMULUS-) CUMULUS-1 149.225.0.0 - 149.225.255.255<HR></BLOCKQUOTE> falls irgendwer mir dazu was sagen kann, gern auch per mail - waer ich sehr interessiert... tjane@gmx.de Antwort schreiben Im Zitat antworten
	Top

Copyright Forensoftware by worldweb 4.14/3.05k © by Chatworld