Angreb fra andre computere

Her er hvad min firewall siger (gennem irc)

Somebody is scanning your computer.
Your computer's TCP ports:
5001, 5002, 5003,  and 5005 have been scanned from 195.249.40.173..

Nu fortæller du ikke hvad de scriptkiddies gør, og hvorfor de måske lige har udset sig dig som offer. Er det nogen du har haft forbindelse med ?

Ellers så er hacking ulovligt, og kan meldes til politiet.

Du kan slå ip`er op her http://www.all-nettools.com/toolbox,net

Du er sikkert bare ude for, at PC-ere eller servere er inficerede med diverse dårlige ting, der scanner andre computere. Melde det til politiet er spild af tid.

Det er også hul i hovedet at være på nettet med en PC uden en hardware firewall, eller som minimum er hjemme-router. Sæt sådan en på, og ignorer alle de portscanninger, der nødvendigvis kommer forbi, uden at nogen er specialt ude på at genere dig.

De ligger og snuser på mine data fandt en ændring i min shell32.dll
Tror det er en form for en keylogger?

Hvis du ikke bygger det på noget mere konkret, så er det nok som erikjacobsen siger. Der forekommer ændringer i shell.dll og andre filer. Det er helt normalt. Hvis du f,eks bruger AVG antivirus, så kan du komme ud for, at få oplyst de ændringer.

http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=43086

I overskriften så står det at det har funnet sted et angrep. Like under så står det at det ikke har funnet sted noe angrep.

Somebody is scanning your computer.
Your computer's TCP ports:
5001, 5002, 5003,  and 5005 have been scanned from 195.249.40.173..

For det første: Man kan vel neppe kalle en request mot 4 forskjellige porter, 5001-5005 for en scanning.

For det annet: I mange land så er ordinære portscanninger helt lovlige. Man vil således normalt bli utsatt for scanninger mot hundrevis og tusenvis av porter nå og da når man er koplet opp mot internett.

Jeg ville tro at det forholder seg slik at brianb allerede har en hardware firewall i form av en router gateway eller noe slikt. Grunn: Når det er mulig å observere noe som er så lite som en request mot 4 porter så tyder det på at støynivået inne på brianb sil LAN er vesentlig mindre enn det som det normalt vil være ut mot internett. Altså er det sannsynlig at det må finnes en router gateway eller noe slikt som demper internett sin normalstøy.

Hvis det er noen som "snuser på data" så vil jo en ordinær packet sniffer ikke bli oppdaget av en firewall. Hvis "snuser på data" betyr at det rettes en rekke requester mot de samme portene i dette tilfellet 5001, 5002, 5003, 5004 for så å sniffe ut innholdet respons svarene, så er jo dette mulig, men kanskje ikke spesielt sansynlig, da de aktuelle portene ikke hører med til de porter man normalt skulle forsøke å hacke på denne måten.

Mest sansynlige tolkning etter min mening: Det har blitt satt opp trafikk innefra PC'en selv, enten via et spill, et fildelingsprogram eller en eller annen web applikasjon som genererer et svar på de nevnte poretene. Gateway firewall godkjenner retursvaret, men software firewall på PC gjør det ikke, os så oppstår de meldinger som er nevnt over.

forevernewbie -> "Der forekommer ændringer i shell.dll og andre filer. Det er helt normalt."

Det kan så men være riktig (men kjenner ikke til det). Har du noen link eller nærmere forklaring. (Skulle vært interessant å vite .. :-)

Langbein -> dll filer er jo dynamiske. Shell32.dll varetager Windows Shell API funktioner. Ændringer i Windows Shell API betyder så også ændringer i filen. Ændrer du f,eks et ikon for en mappe eller fil, så giver det også en ændring shell32.dll

http://www.liutilities.com/products/wintaskspro/dlllibrary/shell32/

Det ville jeg tro ikke stemte. (Men sikker er jeg ikke.)

Jeg har alltid tenkt på .dll filer som bare en måte å dele opp programmer på. I stedet for bigprogram.exe så lager man smallprogram.exe + modul1.dll + module2.dll + module3.dll Programmodulene lastes så opp dynamisk av hovedprogrammet etter behov, men filene i .dll bibelioteket er likes så uforanderlig som en .exe fil.

Forklaring, slik som jeg er vant til å tenke på tingene her: http://wiki.answers.com/Q/What_does_DLL_mean

Synes det ville være overraskende om .dll filene selv kan lagre data inne i sin egen filstruktur, men man vet jo aldri ..

En annen grunn til å dele opp et program i .dll filer, det er jo hvis mange applikasjoner eller mange programmører skal bruke de samme programmodulene, for ekssempel drivere.

Eksempel: Hvis man skal lage et program som skal gjøre et eller annet ut mot internett, så behøver man ikke å skrive alle detaljer i prosedyren rundt dette. Her kan man laste inn en standard .dll modul til å ta seg av dette.
http://www.liutilities.com/products/wintaskspro/dlllibrary/wsock32/

Bare en lille ændring i checksummen på en fil giver alarm, hvis filen er overvåget af et sikkerhedsprogram. Det kender vi jo også fra firewalls med procesbeskyttelse.

Du laver ikke ændringer i shell32.dll fordi du fortæller windows, at der skal benyttes et andet ikon til mapper.

Der kan forekommer ændringer i filen i forbindelse med windowsupdate

Jaja, det med ikonet var et gæt ;) men forandringer kan der altså ske

Men det som den gamle hat sier er vel det motsatte ? .. windowsupdate vil vel si at man skifter ut hele programmodulen med en ny (.dll fil) ikke at man endrer innholdet i den eksisterende.

Prinsippene for .dll filene er vel at de foreligger som kompilert kildekode i eksekverbar form og for å endre innholdet så må man ha tak i kildekoden, eventuelt patche eller endre denne og så kompilerere på nytt. (eller laste ned en ny ferdig kompilert programmodul fra windowsupdate.)

(Forutsetter at det bak kullissene hos M$ fungerer noenlunde likt som hos Linux.)

Forsøker ellers bare å følge med litt og lære litt fra dag til dag...

Har du prøvet at aktivere dll authentication i Sygate firewallen, for så finder du ud af hvor ofte dll`er ændrer i deres checksum.