Avatar billede majumbo Nybegynder
06. august 2003 - 10:44 Der er 25 kommentarer og
1 løsning

PC laver port scans, men hvorfor? og med hvad?

Fra min Zywall 2 får jeg med jævne mellemrum en "attack" log fil, der viser at en af mine lokale PC'er laver port scans mod websider som PC'en netop har besøgt.

Jeg kan ikke se hvilket program der gør det - det optræder fx ikke i task listen som noget ukendt. Norton Anti Virus kan ikke finde noget uautoriseret på PC'en.

Er der nogen der kender problemet? - og hvad gør man?
Avatar billede fangel Nybegynder
06. august 2003 - 10:45 #1
hvilke porte er der tale om - kan være at "synderen" er windows ;)

Morten
Avatar billede majumbo Nybegynder
06. august 2003 - 11:44 #2
Portene er meget tilfældige, men oftest altid i en sekvens (eller tæt på). Jeg har vedlagt nogle eksempler på de seneste:
08/06/2003 11:10:11  |192.168.1.33:1208    |217.28.160.161:80
08/06/2003 11:10:11  |192.168.1.33:1209    |217.28.160.161:80
08/06/2003 11:10:11  |192.168.1.33:1210    |217.28.160.161:80

08/06/2003 11:10:14  |192.168.1.33:1218    |217.28.160.161:80
08/06/2003 11:10:14  |192.168.1.33:1219    |217.28.160.161:80
08/06/2003 11:10:14  |192.168.1.33:1220    |217.28.160.161:80

... men også mange andre, fx omkring 1030, 4000, 4980 og så videre..... Det ser faktisk ud til at der et mønster i at portene scannes sekventielt uden at det nødvendigvis er den samme IP-adresse de retter sig mod.
Avatar billede rune.rasmussen Nybegynder
06. august 2003 - 13:20 #3
i eksemplet er destinationsporten altid 80
er det altid tilfældet ?
Avatar billede thetoastmaster Juniormester
06. august 2003 - 13:25 #4
Hej majumbo

08/06/2003 11:10:11  |192.168.1.33:1208
192.169.xxx.xxx
er ikke mod nettet men mod dit system har du flere computer ??

The Toastmaster
Avatar billede thetoastmaster Juniormester
06. august 2003 - 13:28 #5
hov der laved jeg lige en fejl undskyld, min router laver log fil med til adr og fra adr, så jeg så den streng forkert,,,
Avatar billede thetoastmaster Juniormester
06. august 2003 - 13:29 #6
men hvorfor mener du den scanner den anden maskine ??? den køre jo filter, så alt sammen køre mod port 80 ( HTML ) ??
Avatar billede majumbo Nybegynder
06. august 2003 - 13:58 #7
Svar til Rune: ja, det er altid mod port 80 - men ikke mod alle adresser som PC'en besøger på web'en.

Svar til The Toastmaster: Det jeg undrer mig over er at min PC kører igennem en række portnumre og retter dem mod en adresse som den netop har set på web'en. Zywall'en melder det også tilbage som et "attack", så det kan vel ikke kaldes en normal trafik. - eller tager jeg helt fejl?
Avatar billede rune.rasmussen Nybegynder
06. august 2003 - 14:34 #8
Måske du skulle prøve et program som Ad-Aware fra www.lavasoftusa.com for at scanne for spy- og adware.
Avatar billede majumbo Nybegynder
06. august 2003 - 14:39 #9
Hej Rune

Desværre - jeg har checket den fuldstændig igennem med SpyWare S&D - og jeg har opdateret med de seneste def-filer.
Avatar billede thetoastmaster Juniormester
06. august 2003 - 14:56 #10
har du flere maskiner i dit system ?
hvis ikke så er der ikke andet for end at gå ind og se hvad der køre på dit syste..

Men jeg vil sige at den letteste måde at gøre det på er ved at instalere eks zone alarm, den vil så blokere de ting der forsøger at komme ud, du kan så se hvad der laver lort stoppe eller afinstallere lortet fra maskinen, men fjern zone alarm igen, den kan være så irreterende at køre med...

The Toastmaster
Avatar billede majumbo Nybegynder
06. august 2003 - 15:08 #11
Hej Toastmaster

Jeg har 4 andre maskiner bag Zywall'en, men ingen af dem laver det. Indtil i forrige uge kørte Zone Alarm faktisk på netop denne maskine, men den gang fandtes problemet ikke. I mellemtiden er der ikke installeret noget.
Avatar billede rune.rasmussen Nybegynder
06. august 2003 - 15:30 #12
majumbo: kører der nogle p2p programmer på pc'en ? kazaa, imesh mv.

de har det nemlig med at installere sjove ting uden man ved det.
Avatar billede thetoastmaster Juniormester
06. august 2003 - 15:49 #13
Det kan jo være at du på tidspumkt har haft et program oppe og køre som forsøgte at komme på nettet, men du har så måske sagt det ikke må gå på nettet da det dukked på i zone alarm, der komme jo en masse lort i ens pc der spøgere om adgang til nettet, sæt det ind igen se hvad det er fjern det og fjern så zone alarm igen,,,

The Toastmaster
Avatar billede thetoastmaster Juniormester
06. august 2003 - 15:52 #14
jeg er på vej på fisketur så jeg smutter nu, kommer på imorgen,,,

håber du får det til at fungere,,,,,

The Toastmaster
Avatar billede majumbo Nybegynder
06. august 2003 - 16:38 #15
Svar til Rune: Ingen P2P programmer

Svar til Toastmaster: Et forsøg værd ..... men det bliver nok først i morgen. God fisketur - "knæk og bræk" som de siger.
Avatar billede thetoastmaster Juniormester
09. august 2003 - 21:55 #16
Fungerede det ?

The Toastmaster
Avatar billede majumbo Nybegynder
09. august 2003 - 22:55 #17
Desværre ikke - jeg har talt med andre i mellemtiden, men ingen kan forklare det. Det underlige er at Zywall'en kun rapporterer fejl fra den ene PC, men ikke de andre - på trods af at de accesser de samme websites og med samme software installeret.

Jeg har prøvet at køre forskellige antivirus programmer også, men heller ikke de finder noget på PC'en som ikke burde være der.
Avatar billede thetoastmaster Juniormester
10. august 2003 - 15:05 #18
jamen stopper zone alame ikke programmet ?, det er da underligt at zone alarm giver dette program lov til at køre ud på nettet, ?? lige en ting da du afinstallerede zone alarm fjerned du så alt ? nogle gange bliver eks opsætnings filen i systemet efter softwaren er fjernet, eks en ini fil eller ligne fil, hvis du så installere det igen brugere den så den fil igen,, og hvis du nu har sagt ja til eks et program som gemmer sig og udgiver sig for at være en del af windows adgang til nettet jamen så bliver det jo ved med at spøge i dit system, fjern zone alarm igen og sæt eks sygate firewall ind og se hvad den vil give lov til, den bruger under alle omstendigheder ikke zone alarm's ( reg, ini, filer) så den vil nok starte med at blokere dit system, når så sygate komme og spøgere om det og det program må komme på netted, så skulle du gere nå en forspørgelse fra det program der laver det lort i dit system´,,,,


The Toastmaster
Avatar billede thetoastmaster Juniormester
10. august 2003 - 15:07 #19
hov fejl
(så skulle du gere nå en forspørgelse fra det program der laver det lort i dit  system´,)


skulle vær

( så skulle du gerne få en forspørgelse fra det program der laver det lort i dit system´,,,, )

The Toastmaster
Avatar billede majumbo Nybegynder
10. august 2003 - 18:42 #20
Nu har jeg renset PC'en for alt hvad der havde med Zone Alarm Pro at gøre. Herefter åbnede jeg et Internet Explorer vindue og lod først Zone Alarm Pro give lov til at gå på Nettet. Dernæst valgte jeg "De gule Sider" (http://degulesider.dk/yp/Dgs/Front) idet jeg tidligere havde set at den gav en bunke Alerts. Og det gjorde den også denne gang:

1  08/10/2003 18:30:23 ports scan TCP 192.168.1.33:2879 217.28.160.161:80 ATTACK
2  08/10/2003 18:30:23 ports scan TCP 192.168.1.33:2880 217.28.160.161:80 ATTACK
.................
her har jeg cuttet log no. 3 til 126 ud
.................
127 08/10/2003 18:30:14 ports scan TCP 192.168.1.33:2854 217.28.160.161:80 ATTACK
128 08/10/2003 18:30:14 ports scan TCP 192.168.1.33:2853 217.28.160.161:80 ATTACK
Avatar billede majumbo Nybegynder
10. august 2003 - 18:45 #21
..... fortsat:

Det underlige er at ovenstående IP -adresse som jeg ser ud til at lave port scan mod (217.28.160.161 port 80) slet ikke optræder i Zone ALaram Pro's log, ligesom Zone Alarm Pro helle rikke stoppede noget som helst undervejs.
Avatar billede fangel Nybegynder
10. august 2003 - 18:50 #22
det passer med at der skal hentes 128 sider/billeder/stylesheets, så det er ikke port scans, men bare ganske normale surfning! din firewall er bare paranoid...

læg mærke til at alle går til port 80 /http), så jo er webserveren!

Morten
Avatar billede majumbo Nybegynder
10. august 2003 - 18:55 #23
Hmmm ... jeg har ikke nogen webserver installeret - og hvorfor sker det kun far den ene PC - og ikke de andre der er ligende konfigureret?

I øvrigt er de 128 entries bare det som er grænsen i ZyWall'ens log før den mailer den til mig. Behøver jeg at sige at min mailbox svømmer over med logs - og så har jeg endda slået alerts fra, dvs. at den mailer en for hvert entry.
Avatar billede majumbo Nybegynder
10. august 2003 - 19:06 #24
Jeg fik vist skrevet noget vrøvl før om at jeg ikke havde en webserver installeret - det er jo ikke til min webserver du mente at trafikken gik. Min frustration over dette problem er vist ved at tage overhånd...  :-((
Avatar billede majumbo Nybegynder
08. januar 2004 - 19:31 #25
jeg vil gerne lukke dette og fordele points - selv om svaret ikke er kommet frem
Avatar billede majumbo Nybegynder
08. januar 2004 - 19:35 #26
Jeg vil gerne lukke dette og fordele points - selv om svaret ikke er kommet frem
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester