HACKER ATTACK ALARM

13.05.2004, 09:37:44

Hallo miteinander!

Bin kein Profi und habe ein Problem:

Habe ein Allnet 1298 Router (Firmware 1.77 mit T-DSL und Flat bei T-Online).

Seit geraumer Zeit, bekomme ich ohne Ende (bis zu über 100 am Tag) folgende Hacker Attack Alarm eMail-Meldungen vom Router:

1)
Wed May 12 22:06:39 2004 ICMP fragment detected from 62.87.143.13 (00:e0:7d:9b:98:49) against 217.230.223.93
2)
Wed May 12 22:17:09 2004 ICMP fragment detected from 217.230.247.231 (00:e0:7d:9b:98:49) against 217.230.223.93
3)
Wed May 12 22:23:39 2004 ICMP fragment detected from 82.50.57.19 (00:e0:7d:9b:98:49) against 217.230.223.93
4)
Thu May 13 09:03:03 2004 Possible TCP port scan from 217.125.31.184 (8 ports) against 217.230.223.93

Kann mir jemand sagen, was es damit auf sich hat und wie ich das Problem beseitigt bekomme?

Danke für die Mühe einer Antwort und Hilfe!

Scott

Counselor · 13.05.2004, 12:31:23

Ich habe zur Zeit auch vermehrt DoS Warnungen auf Port 4662. Es ist aber ein typischer Filesharingport (soweit ich weiß). Außerdem bekomme ich seit 12 Uhr pro Minute so bis zu fünf Scans auf Ports größer 60000.

Dominik920 · 20.05.2004, 15:51:43

Was sagt ihr dazu?
Das ist nur ein ausschnitt von allem... Das geht los bei 12:47:43.
Im durchschnitt jede Minute 2 Einträge.

Zitat von :

Donnerstag, 20. Mai 2004 14:44:24 Unrecognized attempt blocked from 80.185.146.250:4609 to TCP port 135
Donnerstag, 20. Mai 2004 13:02:15 Unrecognized attempt blocked from 82.49.199.207:1943 to TCP port 135
Donnerstag, 20. Mai 2004 13:02:18 Unrecognized attempt blocked from 82.49.199.207:1943 to TCP port 135
Donnerstag, 20. Mai 2004 13:02:48 Unrecognized attempt blocked from 80.137.251.147:4666 to TCP port 445
Donnerstag, 20. Mai 2004 13:02:51 Unrecognized attempt blocked from 80.137.251.147:4666 to TCP port 445
Donnerstag, 20. Mai 2004 13:02:57 Unrecognized attempt blocked from 80.137.251.147:4666 to TCP port 445
Donnerstag, 20. Mai 2004 13:03:02 Unrecognized attempt blocked from 80.170.158.4:3562 to TCP port 2745
Donnerstag, 20. Mai 2004 13:03:05 Unrecognized attempt blocked from 80.170.158.4:3562 to TCP port 2745
Donnerstag, 20. Mai 2004 13:03:08 Unrecognized attempt blocked from 80.185.30.232:4264 to TCP port 445
Donnerstag, 20. Mai 2004 13:03:11 Unrecognized attempt blocked from 80.185.30.232:4264 to TCP port 445
Donnerstag, 20. Mai 2004 14:45:33 Unrecognized attempt blocked from 80.185.131.94:4157 to TCP port 135
Donnerstag, 20. Mai 2004 13:02:15 Unrecognized attempt blocked from 82.49.199.207:1943 to TCP port 135
Donnerstag, 20. Mai 2004 13:02:18 Unrecognized attempt blocked from 82.49.199.207:1943 to TCP port 135
Donnerstag, 20. Mai 2004 13:02:48 Unrecognized attempt blocked from 80.137.251.147:4666 to TCP port 445
Donnerstag, 20. Mai 2004 13:02:51 Unrecognized attempt blocked from 80.137.251.147:4666 to TCP port 445
Donnerstag, 20. Mai 2004 13:02:57 Unrecognized attempt blocked from 80.137.251.147:4666 to TCP port 445
Donnerstag, 20. Mai 2004 13:03:02 Unrecognized attempt blocked from 80.170.158.4:3562 to TCP port 2745
Donnerstag, 20. Mai 2004 13:03:05 Unrecognized attempt blocked from 80.170.158.4:3562 to TCP port 2745
Donnerstag, 20. Mai 2004 13:03:08 Unrecognized attempt blocked from 80.185.30.232:4264 to TCP port 445
Donnerstag, 20. Mai 2004 13:03:11 Unrecognized attempt blocked from 80.185.30.232:4264 to TCP port 445

virenscanner · 20.05.2004, 16:15:28

Tja, Sasser, Netsky etc... sind auf etlichen Systemen noch aktiv.

Counselor · 20.05.2004, 16:54:30

Heutiger Rekord: Innerhalb von 1/10 Sekunde acht Verbindungsversuche von einem einzigen Rechner auf acht verschiedenen Ports.

09.06.2004, 03:23:12

hab da auch nen paar einträge die mich beunruhigen kann mir mal jmd sagen warum zum geier da acess steht und dasnet geblockt wurde ??

Mittwoch, 9. Juni 2004 03:02:29 Unrecognized access from 200.56.121.3:43717 to UDP port 137
Mittwoch, 9. Juni 2004 03:02:58 Unrecognized access from 81.154.139.181:4568 to TCP port 445
Mittwoch, 9. Juni 2004 03:03:01 Unrecognized access from 81.154.139.181:4568 to TCP port 445
Mittwoch, 9. Juni 2004 03:03:07 Unrecognized access from 81.154.139.181:4568 to TCP port 445
Mittwoch, 9. Juni 2004 03:03:16 Unrecognized access from 66.79.3.179:2665 to TCP port 445
Mittwoch, 9. Juni 2004 03:04:48 Unrecognized access from 4.5.76.233:3309 to TCP port 445
Mittwoch, 9. Juni 2004 03:04:51 Unrecognized access from 4.5.76.233:3309 to TCP port 445
Mittwoch, 9. Juni 2004 03:04:57 Unrecognized access from 4.5.76.233:3309 to TCP port 445
Mittwoch, 9. Juni 2004 03:05:20 Unrecognized access from 82.82.224.32:63683 to TCP port 4662
Mittwoch, 9. Juni 2004 03:05:23 Unrecognized access from 82.82.224.32:63683 to TCP port 4662
Mittwoch, 9. Juni 2004 03:05:29 Unrecognized access from 82.82.224.32:63683 to TCP port 4662
Mittwoch, 9. Juni 2004 03:05:41 Unrecognized access from 82.82.224.32:63683 to TCP port 4662
Mittwoch, 9. Juni 2004 03:06:45 Unrecognized access from 217.93.146.131:3934 to TCP port 135
Mittwoch, 9. Juni 2004 03:06:48 Unrecognized access from 217.93.146.131:3934 to TCP port 135
Mittwoch, 9. Juni 2004 03:07:33 Unrecognized access from 81.56.247.131:4412 to TCP port 5662
Mittwoch, 9. Juni 2004 03:07:36 Unrecognized access from 81.56.247.131:4412 to TCP port 5662
Mittwoch, 9. Juni 2004 03:07:42 Unrecognized access from 81.56.247.131:4412 to TCP port 5662
Mittwoch, 9. Juni 2004 03:07:54 Unrecognized access from 81.56.247.131:4412 to TCP port 5662

Stalker2002 · 09.06.2004, 12:17:30

Wenn dort access wirklich heißt, das der Zugriff durchging, dann hast du mit dem, was auf den ports 135 und 445 passiert ist, ein massives Problem. Würmchen, ick hör' dir schmatzen...
Port 4662 und und 5662 sind üblicherweise p2p-Ports. Das ist zwar im Log recht lästig, aber mehr oder minder unbedenklich.

Warum dort jetzt access und nicht blocked steht, kann dir die Dokumentation deiner Firewall in verbindung mit den aktuellen Konfigurationseinstellungen beantworten.

MfG
L.

09.06.2004, 12:56:40

hm ich wunderte mich nur weil die log von oben mit blocked meiner gleich evtl hilfts ja weiter hab nen smc 7004BR

BenTigger · 09.06.2004, 13:08:07

Beim Barricade heisst das nur, das ein unbekannter zugriff von... erfolgte.
Aber der wird dann nicht an deinen PC weitergeleitet.

Zumindest bei meinem 7004 ist das so

09.06.2004, 17:11:22

denn bin ich ja beruhigt ^^

13.05.2004, 09:37:44	#1 (Permalink)
Anonymous Gast Beiträge: n/a	HACKER ATTACK ALARM Hallo miteinander! Bin kein Profi und habe ein Problem: Habe ein Allnet 1298 Router (Firmware 1.77 mit T-DSL und Flat bei T-Online). Seit geraumer Zeit, bekomme ich ohne Ende (bis zu über 100 am Tag) folgende Hacker Attack Alarm eMail-Meldungen vom Router: 1) Wed May 12 22:06:39 2004 ICMP fragment detected from 62.87.143.13 (00:e0:7d:9b:98:49) against 217.230.223.93 2) Wed May 12 22:17:09 2004 ICMP fragment detected from 217.230.247.231 (00:e0:7d:9b:98:49) against 217.230.223.93 3) Wed May 12 22:23:39 2004 ICMP fragment detected from 82.50.57.19 (00:e0:7d:9b:98:49) against 217.230.223.93 4) Thu May 13 09:03:03 2004 Possible TCP port scan from 217.125.31.184 (8 ports) against 217.230.223.93 Kann mir jemand sagen, was es damit auf sich hat und wie ich das Problem beseitigt bekomme? Danke für die Mühe einer Antwort und Hilfe! Scott

09.06.2004, 12:17:30	#7 (Permalink)
Stalker2002 Senior Member Registriert seit: 07.07.2003 Beiträge: 699	Wenn dort access wirklich heißt, das der Zugriff durchging, dann hast du mit dem, was auf den ports 135 und 445 passiert ist, ein massives Problem. Würmchen, ick hör' dir schmatzen... Port 4662 und und 5662 sind üblicherweise p2p-Ports. Das ist zwar im Log recht lästig, aber mehr oder minder unbedenklich. Warum dort jetzt access und nicht blocked steht, kann dir die Dokumentation deiner Firewall in verbindung mit den aktuellen Konfigurationseinstellungen beantworten. MfG L. __________________ Proud member of the OTF Einstein-Team.

09.06.2004, 13:08:07	#9 (Permalink)
BenTigger Moderator Registriert seit: 04.05.2002 Beiträge: 2.455 Blog-Einträge: 1	Beim Barricade heisst das nur, das ein unbekannter zugriff von... erfolgte. Aber der wird dann nicht an deinen PC weitergeleitet. Zumindest bei meinem 7004 ist das so __________________ Gruß Ben Nemo perfectus est, ego non sum

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

13.05.2004, 12:31:23	#2 (Permalink)
Counselor Gesperrt Registriert seit: 23.08.2003 Beiträge: 1.306	Ich habe zur Zeit auch vermehrt DoS Warnungen auf Port 4662. Es ist aber ein typischer Filesharingport (soweit ich weiß). Außerdem bekomme ich seit 12 Uhr pro Minute so bis zu fünf Scans auf Ports größer 60000.

20.05.2004, 16:15:28	#4 (Permalink)
virenscanner Moderator Registriert seit: 30.04.2002 Beiträge: 2.967	Tja, Sasser, Netsky etc... sind auf etlichen Systemen noch aktiv.

20.05.2004, 16:54:30	#5 (Permalink)
Counselor Gesperrt Registriert seit: 23.08.2003 Beiträge: 1.306	Heutiger Rekord: Innerhalb von 1/10 Sekunde acht Verbindungsversuche von einem einzigen Rechner auf acht verschiedenen Ports.

09.06.2004, 03:23:12	#6 (Permalink)
Anonymous Gast Beiträge: n/a	hab da auch nen paar einträge die mich beunruhigen kann mir mal jmd sagen warum zum geier da acess steht und dasnet geblockt wurde ?? Mittwoch, 9. Juni 2004 03:02:29 Unrecognized access from 200.56.121.3:43717 to UDP port 137 Mittwoch, 9. Juni 2004 03:02:58 Unrecognized access from 81.154.139.181:4568 to TCP port 445 Mittwoch, 9. Juni 2004 03:03:01 Unrecognized access from 81.154.139.181:4568 to TCP port 445 Mittwoch, 9. Juni 2004 03:03:07 Unrecognized access from 81.154.139.181:4568 to TCP port 445 Mittwoch, 9. Juni 2004 03:03:16 Unrecognized access from 66.79.3.179:2665 to TCP port 445 Mittwoch, 9. Juni 2004 03:04:48 Unrecognized access from 4.5.76.233:3309 to TCP port 445 Mittwoch, 9. Juni 2004 03:04:51 Unrecognized access from 4.5.76.233:3309 to TCP port 445 Mittwoch, 9. Juni 2004 03:04:57 Unrecognized access from 4.5.76.233:3309 to TCP port 445 Mittwoch, 9. Juni 2004 03:05:20 Unrecognized access from 82.82.224.32:63683 to TCP port 4662 Mittwoch, 9. Juni 2004 03:05:23 Unrecognized access from 82.82.224.32:63683 to TCP port 4662 Mittwoch, 9. Juni 2004 03:05:29 Unrecognized access from 82.82.224.32:63683 to TCP port 4662 Mittwoch, 9. Juni 2004 03:05:41 Unrecognized access from 82.82.224.32:63683 to TCP port 4662 Mittwoch, 9. Juni 2004 03:06:45 Unrecognized access from 217.93.146.131:3934 to TCP port 135 Mittwoch, 9. Juni 2004 03:06:48 Unrecognized access from 217.93.146.131:3934 to TCP port 135 Mittwoch, 9. Juni 2004 03:07:33 Unrecognized access from 81.56.247.131:4412 to TCP port 5662 Mittwoch, 9. Juni 2004 03:07:36 Unrecognized access from 81.56.247.131:4412 to TCP port 5662 Mittwoch, 9. Juni 2004 03:07:42 Unrecognized access from 81.56.247.131:4412 to TCP port 5662 Mittwoch, 9. Juni 2004 03:07:54 Unrecognized access from 81.56.247.131:4412 to TCP port 5662

09.06.2004, 12:56:40	#8 (Permalink)
Anonymous Gast Beiträge: n/a	hm ich wunderte mich nur weil die log von oben mit blocked meiner gleich evtl hilfts ja weiter hab nen smc 7004BR

09.06.2004, 17:11:22	#10 (Permalink)
Anonymous Gast Beiträge: n/a	denn bin ich ja beruhigt ^^

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)