problemer med mange angreb

Den siger at du skulle forsøge en scanning for at se om du har konfigureret din firewall ordentlig, dette kan du gøre her

http://grc.com/default.htm
http://scan.sygate.com

Ovenstående giver mulighed forat foretage scanninger af systemer for at kontrollere for åbne porte, trojanere og andet. prøv at køre dem, og hold så øje med din firewall log fil

200 er lidt i den hoeje ende, men du skal regne med at se noget baggrundsstoej. Det kunne ogsaa vaere at du ser dele af din egen traffik som bliver filteret (er et meget almindeligt problem naar man begynder at bruge en fw).

Goer dig den selv den tjaeneste at forsoege at forstaa hver enkelt advarsel. Hvis du forstaar den ved du ogsaa om det er et problem.

Martin

ok men den er gået total amok nu. nu har der været over 500 forsøg..  plus jeg tror der er herinde.. for min pc gør ting af sig selv.. det er ik sjovt :(( kan man slet ik på nogen måder få sådan en idiot ud af ens pc  ?

jeg har scannet... den siger at port 23 er åben så den er ikke sikker.. men jeg ved ik hvordan jeg får den lukket

start med at flå netstikket ud, hvis du er så sikker på der er nogen inde. derefter kan du prøve at fejlfinde/løse problemet.

Janius, du mener forhåbentligt stikket til netværket og ikke strømmen (hvis du vil gøre dig en seriøs chance for at finde problemet skal du ikke slukke maskinen).

Sandra24, 500 skan på hvor lang tid? Du fortæller intet om hvad den siger. For at være helt ærlig så tvivler jeg på at det er "rigtige" skan og selv om det skulle være så vær glad for at de er stoppet. Det du skal være bange for det du ser, men det du ikke ser!

Du siger at på 23 er åben. Er det en Linux maskine (har Win XP en Telnet server ... ikke så vidt jeg ved)? BlackIce er til Windows .. er den ikke? Bare fordi en port er åben betyder det ikke at den ikke er "sikker". Sikker er et relativt begreb. En sikker maskine har ingen forbindelse til Internettet!!

Martin

har fået en til at kigge på det, en der har mere forstand på det end mig. han siger at det eneste der kan stoppe det her det er at jeg får en ny ip. men vedkommendende der hacker mig ham har jeg jo på mine forskellige lister  (yahoo messenger, icq og msn )  så er det jeg tænker på om han så ik kan få fat på min nye ip den vej over.. og er det virkelig nødvendigt med en ny ip.. jeg synes det lyder lidt vildt, og min udbyder vil ik sådan lige give sådan en.. det kræver han bliver anmeldt siger de. og det har jeg ik så meget lyst til da jeg kender ham og han ved hvor jeg bor og sådan.. kan man ik på en eller anden måde teste om han har lagt noget ind i min pc ved de ting jeg gennem tiden har modtaget fra ham.. ?

Sandra24, HVIS du har problemer med en person, så blok hans IP. Klart han kan skifte IP, men der er ikke meget andet ant gøre. Vær sikker på at dit system er rimeligt lukket. Slut her fra. Uden rigtig information ingen ordenlig hjælp!

Martin

Tror noen Windows har telnet server men ikke ssh. Er ikke sikker. Telnet bør vel ikke stå åpen dersom du ikke bruker den. Man kan ikke komme inn umiddelbart, men hackere vil alltid kunne lete etter åpene server funsjoner og åpne porter som utgangspunkt for en inntregning. Hvis du har registrert 500 forsøk på inntregning, så betyr det sannsynligvis at inntregningen misslyktes 500 ganger. Hadde inntrengeren kommet inn så hadde det sannsyligvis blitt stille.

Det var da ikke noe svar, skulle være en kommentar :-)

filesharing
net-telefoni
Gnutella
e-donkey
DCC Peer-to-peer-netværk bliver stadig mere populære. De virker ved, at der efter behov etableres en direkte forbindelse mellem din maskine (læs: din IP-adresse) og én anden maskine, som om I var koblet sammen i et lokalt netværk.
Hvis en bruger med en dynamisk IP-adresse (f.eks. en TDC-kunde med NetExpress ADSL) kobler sig på Gnutella, vil hans IP-adresse være tilgængelig for Gnutella-netværket.
Hvis nogen så vil søge efter filer på brugerens harddisk, foregår det ved at etablere forbindelse til hans IP-adresse.
Uheldigvis er der meget lang time-out-værdi på Gnutella og andre lignende services. Faktisk kan IP-adressen blive gemt i op til en uges tid.
Hvis nu denne bruger kobler af nettet umiddelbart efter at have været koblet på Gnutella, så kan en anden TDC-kunde med dynamisk IP-adresse være uheldig at blive tildelt den gamle IP-adresse.
Dermed kan en Internetbruger, som aldrig har besøgt Gnutella, pludselig opleve at få masser af forespørgsler fra maskiner, som forsøger at få adgang til filer, som andre tror man kan finde på denne adresse.
Hvis man ikke selv har installeret Gnutella o.l., kan andre ikke på den måde få adgang til ens filer.

Problematikken er den samme for de øvrige lignende netværk. På IRC-netværk er det oven i købet almindeligt, at brugere laver et lille notat om IP-adressen på en DCC-server, således at der forsøges etableret kontakt til IP-adressen længe efter time-out.
Disse hændelser er altså ikke forsøg på hacking, selv om det kan føles ubehageligt, at så mange forsøger at etablere kontakt.
I virkeligheden svarer det vel til, at nogen offentliggør, at de holder en kæmpefest med fri bar på lørdag, og så flytter de allerede fredag.
Det vil give den næste beboer besvær med at afvise de mange, der ringer på døren, men man kan vel næppe beskylde gæsterne for forsøg på indbrud.

For yderligere information om sikkerhed se www.csirt.dk

sandra24 -> Det var en interessant vinkling på problemstillingen !!
Se for eksempel på denne:
http://www.eksperten.dk/spm/293721

Det virker da meget sansynlig at akkurat den type feil som du beskriver kan forekommer og at det kanskje også forekommer mange ganger.

På den annen side så kan det vel også hende at selv om noen har invitert på fest før de flyttet ut, så kan man allikevell ikke utelukke at noen av de som henvender seg på døren også er profesjonelle innbrudstyver som er ute for å finne seg et passende bytte.

Det har vle vært avdekket at mange trojanere ormer og lignende blir spredd på denne måten. Først så scanner man / karlegger et forholdsvis stort antall ip og maskiner for å finne fram til de ip'ene der det for eksempel kjører spesielle operativsystemer eller spaesille programmer med visse kjente svakheter. Etter man har opprettet en database over egnede mål, så setter man i gang et angrep skreddersydd for de maskinene som har funnet fram til.

Når det gjelder linken over, så kunne det vært nærliggende å tro at det dreide seg om den type problemstillinger som du beskriver. Det er bare en ting - det benyttes ip spoofing, dvs forfalskning av avsender ip adresser. Ip avsender adressene skiftes ut fortløpende i raskt tempo for å kamuflere avsender.

Kan dette skje som følge av normal trafikk, og når det ikke er snakk om noe irregulært ??!!

Se på loggen til Jon_Stigers !!

"DCC Peer-to-peer-netværk" er vel ellers ekstremt uheldig å ha på en LAN som er beskyttet av en firewall ??!! Mon ikke dette er nesten det samme som å punktere firewall, dvs lage en åpning som bidrar til å svekke firewallens funksjon vesentlig.

Interresant spørsmål: Hvordan programmerer man en firewall til å forhindre peer to peer ??

Nå skrev feil .. kommentaren skulle være til "jimd"