man versucht mein netzwerk zu hacken

icemails

icemails

IceMails.de
ID: 201529
L
11 Oktober 2006
1.571
102
ich habe den router arcor easy box a 300 wlan

habe dort in der firewall die funktion intrusion detection mit allen extras eingeschaltet und lasse mir eine mail schicken sobald ein angriff erfolgt.

habe 2 laptops mit wlan verbunden, wenn laptop a online ist bekomme ich keine email sobald ich aber mit laptop 2 on gehe bekomme ich 10 minuten später die folgende meldung in meinen email account:

Dear User
Your router has detected and protected you against an attempt to gain access to your network. This may have been an attempted hacker intrusion, or perhaps just your Internet Service Provider doing routine network maintenance.
Most of these network probes are nothing to be worried about - these types of random probes should NOT be reported, but you may want to report repeated intrusions attempts. Save this email for comparison with future alert messages.
Your router Alert Information

Time: 11/20/2008, 19:23:34
Message: TCP FIN Scan
Source: "ip entfernt", 53461
Destination:"ip entfernt", 80 (from PPPoE1 Outbound)

die ip ist immer eine andere, aus verschiedenen ländern und unterschiedlichen isp´s.

durch diese atacken geht mein gesamtes inet langsamer oder conectet teilweise nichtmehr oder sehr langsam trotz 6000er dsl was ich auch wirklich ausnutzen kann da der hvt nur wenige meter von meiner wohnung entfernt ist.

habe avast pro 4.8 als antivierenprogramm auf beiden laptops installiert und auch schon mit einem boot scan laufen lassen nur leider nichts gefunden.
laptop 1 hat win xp laptop 2 hat vista 32 bit

mein browser ist der firefox 3.0.4 mit tab mix plus google pagerank und flashblock

wer kann mir bei diesem problem helfen?
 
Zuletzt bearbeitet:
proxy nich das ich wüsste und filesharing is mir zu lahm gibt besseres :roll:

des avast is auch aktuellste version
 
Ja, aber doch jedesmal von ner anderen IP. Wenn es ständig die selbe ist, dann kannst Du mal genauer nachsehen.
 
ich bin eben der meinung das es ne art virus/trojaner ist.
denn wenn ich mit laptop 2 offline bin und nur laptop 1 von meiner freundin nehme kommt nix.
sobald ich aber mit meinem laptop on gehe kommen die meldungen.
daher vermute ich das der laptop nach draussen telefoniert und meine aktuelle ip weitergibt und danach werden dann die attacken gestartet.

bei arcor habsch au schon angerufen die können auch nix tun ausser mir sagen ich solle doch neuverbinden wegen neuer ip.

wenn ich dies mache dauert es keine 20 minuten und schon bekomme ich diese mail wieder.
 
hijackthis sagt nix.
alles sicher laut der seite wo ich den log reingepostet habe.

wireshark versteh ich irgendwie net.
 
also nen virus oder trojaner ist das sicherlich erstmal nicht. - der kommt erst wenn der hacker mit dem scan fertig ist :)

die meldung die du von der easybox bekommst ist eine portscanmeldung. da wird ein stealth scan gemacht bzw. versucht.

https://www.trojaner-und-sicherheit.de/security/portscans.htm

der ist erstmal nicht so schlimm, man findet damit meist nur das os heraus usw. - schlimm wird's erst wenn andere meldungen hinterherkommen.

wobei man sagen muss, das die easybox nicht so die wunderkiste ist, wie manchmal von arcor oder deren vertrieb behauptet wird.

mfg
marco
 
Meiner Meinung nach verschwendetes Geld, die A300 ist genau ein einfacher Router - die groesseren sind dann mit VOIP usw. Verlass Dich nur nicht zu sehr auf die Sicherheit hinter dem Router. Alles was jetzt kommt ist rein informativ und meine Meinung, keine Rechtsberatung weil ich das deutsche Recht dazu nicht genau kenne usw.... :)

das teil hat eine
https://de.wikipedia.org/wiki/Stateful_inspection Firewall - die dafuer da ist solche angriffe zu verhindern, das macht sie ganz gut - fuer andere angriffsformen ist sie anfaelliger - absolute sicherheit wirst du nie erreichen koennen, und die a300
wird da genau so gut sein wie jeder andere router mit derartigen faehigkeiten. das du den angriff jedoch mit wechselnder ip und ueber solange zeitraeume "ertragen" musst, ist, relativ ungewoehnlich. evtl. wird da die ip range des server angegriffen der dich mit dem netz verbindet, dann sollte das von alleine verschwinden wenn arcor das in seinen logs bemerkt. es koennte auch sein, das irgendetwas in deinem netz dich bei dem ziel das dann ueber ddos versucht dich zu erreichen (wechselnde IP bei Dir und beim Zie etc.)
Das funktioniert dann in etwa so:
https://de.wikipedia.org/wiki/Portscanner
so und jetzt kommt der rechtlich bei mir unsichere teil:
mach einfach nen angriff auf dich selbst - erst mit einem normalem portscan und dann evtl. mit etwas maechtigerem.
es gibt nmap auf .de domains - bei nessus usw. bin ich mir nicht so sicher ob man sowas noch betreiben darf - also immer vorsichtig und nie ausversehen einen anderen angreifen. das kann richtig aerger geben, ;)

https://www.port-scan.de/ ist ein online portscanner fuer den man nichts installieren muss.

alle wichtigen anderen finden sich auf wikipedia unter
https://de.wikipedia.org/wiki/Portscanner

das was du machen willst und die nötigen links dazu sind unter
https://de.wikipedia.org/wiki/Penetrationstest_(Informatik)

das macht man dann am besten mit
https://de.wikipedia.org/wiki/Nessus_(Software)

dann solltest du recht genau wissen wie angreifbar dein netz ist und was deine Sicherheit am ende taugt.

gruss
 
jo der router is ja soweit save.
was mich halt beunruhigt ist das diese angriffe immer erst kommen wenn mein 2ter laptop on ist.

nich das der nen virus oder so hat.
 
Tja, dein prob scheint dann Laptopp2 zu sein, irgend etwas hat der drauf. Irgendein Programm zB Spy&Adware? Ob dein Compi nach draussen "telefoniert" oder versucht "Webung" zu empfangen, ist dabei nicht relevant. Dein Anti-Virenprogramm kenn ich leider nicht und kann dazu nix sagen, eventuell solltest du mal ein anderes Programm "ausprobieren".
Gibt ja von vielen eine 15/30 Tage Testversionen.


gruss
Tyy
 
ich habe avast pro 4.8 drauf und heute auch mal ne demo von kaspersky probiert dei leider auch nichts finden.

gibet vielleicht nen tool wo man den netzwerkverkehr zuordnen kann?
den der kaspersky findet nur normale sachen wie firefox, ice, skype, outlook und des wars.
 
hmmm....

du kannst deinen netzwerktraffic mitlesen mit dem unten schon genannten wireshark, das ist das alte ethereal.
https://de.wikipedia.org/wiki/Wireshark
zuordnen musst ihn dann aber selber...
(wenn wer was besseres kennt, bitte mal sagen :LOL:)

ich rate mal weiter:

portnutzunghaeufigkeit bei sans:
https://isc.incidents.org/port.html?port=53461

Ich persönlich kenne diesen port nur aus CGI Wrap Fehlermeldungen aus dem Perl Bereich.

Die suche bei Google ergibt ähnliches: CGI Wrap Fehler und 2 Jahre alten scam aus Russland.
www.datingnmore.com/fraud/scam_russian_letters3.htm

Ich krieg meinen Router (keine Easybox a300) zu einer inhaltlich identischen Fehlermeldung wenn ich auf meinem externen Server versuche ein fehlerhaftes Script aufzurufen. Das erklaert aber nicht die wechselnden IPs etc. Evtl. noch Yahoo oder Google-Leisten installiert oder sowas? Evtl. "das was besser ist als p2p" und ueber Server geht die jetzt nicht mehr laufen? Oder was torrent-ähnliches im autostart?

gruss
 
Zuletzt bearbeitet:
oki wireshark lass ich mal durchlaufen.

ich habe weder ne torennte noch was anderes laufen da ich mir wenn ich was brauche alles direkt von einem server lade.

also nur normales ftp protocol.
torennt, emule und seine freunde haben auf meinem laptop nix zu suchen.
 
hab mir mal die arbeit gemacht die ip´s zurückzuverfolgen.

hier ne kleine übersicht vielleicht bringt des ja was:

all-inkl.com
cormes.de
floraprima.de
giga-hosting.biz
gourmondo.de
hetzner.de
iana.org
internet24.de
lovelysystems.com
metanet.ch
pixelx.de
schlund und partner
strato
tafeu.de
trueserver.nl

hab die daten aus der ripe db.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben