Wurde ich ausspioniert?

T

Term

Zinsenabkassierer
ID: 288468
L
8 Juli 2007
113
8
Hi,
ich habe meinen W-LAN Router so eingestellt das er mir E-Mails sendet wenn jemand versucht in mein Netzwerk einzudringen.

Nun habe ich schon seit dem 25.12. solche Meldungen von meinen Router bekommen(Die Source ist meine IP Adresse die ich aus Sicherheitsgründen mit Sternen ersetzt hat):

Dear User
Your router has detected and protected you against an attempt to gain access to your network. This may have been an attempted hacker intrusion, or perhaps just your Internet Service Provider doing routine network maintenance.
Most of these network probes are nothing to be worried about - these types of random probes should NOT be reported, but you may want to report repeated intrusions attempts. Save this email for comparison with future alert messages.
Your router Alert Information

Time: 12/25/2007, 10:50:44
Message: TCP FIN Scan
Source: ***.***.***.***, 1603
Destination:66.249.93.147, 80 (from PPPoE1 Outbound)


Visit the UXN Combat Spam web site to get more detailed information about the intruder - https://combat.uxn.com/
1. Type the intruder's IP address into the IP WHOIS search engine
2. Click the Query Button
3. Detailed network and administration information will be displayed
Zum Vergrößern anklicken....

Hier noch ein paar andere (ich hab mal das "Dear User..." und "visit the..."weggelassen da dass bei jeder gleich ist):

Time: 12/25/2007, 10:51:57
Message: SYN Flood to Host
Source: ***.***.***.***, 1712
Destination:66.249.93.91, 80 (from PPPoE1 Outbound)
Zum Vergrößern anklicken....

Time: 12/26/2007, 17:37:06
Message: TCP FIN Scan
Source: ***.***.***.***, 1812
Destination:195.189.236.165, 80 (from PPPoE1 Outbound)
Zum Vergrößern anklicken....


Ich habe mal im internet nachgeschaut und habe erfahren dass die IP Adressen verschiedenen Firmen gehöhren.
Zum Beispiel die 2. Meldung gehört Google. Andere sind von Strato und noch ein paar andere.

Ich weiß nicht ob es gefährlich ist oder ob die versuchen an Daten zukommen.

Ich hoffe dass jemand von euch weiß was das beduetet weil ich vollkommen ratlos bin.
 
Für mich klingt das nach einem Portscan!

Da hat anscheinend jemand versucht über bestimme Ports auf einen Rechner in eurem Netzwerk zu kommen! Das ist nichts unübliches, hatte ich auch schon einige male!

Im Prinzip sucht diese IP, wer auch immer dahinter stehen mag, Ports die bei dir offen sind um darüber direkt in euer Netzwerk zu kommen! Dann ist es möglich Sicherheitslücken auszunutzen und eventuell euren PC zu infizieren!

Ich würde mir da erstmal keine weiteren Gedanken mehr machen! Wenn die Mails noch länger anhalten und immer von den gleichen IPs kommen, dann vllt mal den Provider informieren oder versuchen bestimmte IPs zu sperren!

Gruß QuArK007
 
Source: ***.***.***.***, 1603
Destination:66.249.93.147, 80 (from PPPoE1 Outbound)

Hmm sind mir etwas zu wenig Details in dieser Standardnachricht, aber kann man denn ausschließen, dass VON dir aus (intern Port 1603) die versucht wurde auf 66.249.93.147:80 - sprich: google.de - zugegriffen wurde (bzw versucht)?
Das wiederum könnte von einem Benutzer des Wlans oder sogar von deinem PC aus geschehen sein. Also mal die passenden Standardfragen: Welche Verschlüsselung wurde für das Netz gewählt und wie anspruchsvoll ist der passende Schlüssel?
 
Ich verwende WPA/WPA2, je nachdem was der Empfänger unterstützt. Und der Schlüssel ist recht "billig" und leicht zu merken.
Aber die Seiten die zu den Ip´s passen war ich zu der Zeit 100% nicht.
 
Wär's denn unabhängig vom Problem nicht empfehlenswert, den Schlüssel gegen einen sehr komplizierten auszutauschen? Wie oft setzt man schon sein Wlan neu auf ... Dh. man muss ihn sich eh nicht wirklich merken. Und bei vergessen Router resetten und glücklich sein ;) Keine Verschlüsslung der Welt nutzt etwas, wenn der Key in jedem vorgefertigten Dictionary zu finden ist.
 
QuArK007 schrieb:
Für mich klingt das nach einem Portscan!
Zum Vergrößern anklicken....
Ich lehn' mich mal etwas aus dem Fenster und sage, das sieht nicht nur so aus, das ist so. Port 1812 z.B.
Hast Du SP2 + aktuelle Patches installiert, ist deine sonstige Software aktuell?
Im Zweifelsfall mal mit einem Virenscanner drüber und ein HiJackThis-Log posten...
Term schrieb:
gutes Argument. Ich tausche ihn mal mit einen sicheren langen aus.
Zum Vergrößern anklicken....
Na, sicher reicht, lang muss nicht unbedingt sein. Eine achtstellige Zahlen-/Buchstabenkombination tut's schon.
 
Sieht die Source IP zufällig so aus:
192.168.*.* oder
10.*.*.* oder
172.16-32.*.*

dann würde ich mal behaupten du hast dir eventuell ein Trojaner eingefangen.
 
Also ich würde das nicht umbedingt als gefärlich einschätzen...
Das heist ja eigendlich das der Router es bemerkt hat. Weil währ ja doof wenn der Router merkt das einer eindringt. ihn dann auch rein lässt und den Admin informiert "Hallo ich habe grade einen unerwünschten eindringling reingelassen. Zur sicher heit habe ich mir Seine IP gemerkt.. Bitte Schön"

Kann ich mir nicht vorstellen.
Zu deinem Topic:
Ja du wurdest ausspioniert... aber nicht von denen... *G*
 
Hast Du SP2 + aktuelle Patches installiert, ist deine sonstige Software aktuell?
Im Zweifelsfall mal mit einem Virenscanner drüber und ein HiJackThis-Log posten...
Zum Vergrößern anklicken....

Also ich habe SP2 aber nichts von XP geupdatet. Der Rest von meiner Software ist aktuell. Der Virenscanner hat auch nichts gesagt.
Und hier noch die HiJackThis-Log:

Code: 
Logfile of HijackThis v1.99.1
Scan saved at 13:37:54, on 28.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bluetooth\BTNtService.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Nero 7\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\SCANJET\PrecisionScanLT\hppwrsav.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\Ebesucher Surfbar\eBesucher-Browser\ebesucher.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Mozilla Firefox\firefox.exe
G:\WinRAR\WinRAR\WinRAR.exe
C:\DOKUME~1\Alex\LOKALE~1\Temp\Rar$EX03.188\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [hppwrsav] C:\SCANJET\PrecisionScanLT\hppwrsav.exe
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\Bluetooth\BTNtService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Nero 7\Nero 7\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
 
Term schrieb:
Also ich habe SP2 aber nichts von XP geupdatet. Der Rest von meiner Software ist aktuell. Der Virenscanner hat auch nichts gesagt.
Und hier noch die HiJackThis-Log:
Zum Vergrößern anklicken....

Automatische Updates aktivieren wäre dann eine sinnvolle Maßnahme.
Das HJT-Log sieht für mich auch ganz gut aus ... ich finde zwar nach wie vor die Aufmachung dieser Mail etwas komisch, wo deine IP als Source angegeben ist...
aber ansonsten sieht das nach normalem Netzwerk-Traffic aus.

Wenn außer diesen Mails nichts Auffälliges zu beobachten ist (langsames Internet / Seiten öffnen sich nicht), kann man das wohl ignorieren.
 
Warum die automatischen Updates anschalten???

Mit jedem Bug-Fix kommt meistens ein neuer Bug hinzu!

Es ist viel sinnvoller den Rechner mit AntiVir, SpyWare-Scanner und vllt ner FW zu schützen als diese, sry in meinen Augen dämlichen" Updates zu installieren! Ich hab SP2 im GRUNDZUSTAND drauf und noch NIE ein Problem gehabt, was auf fehlende Updates zurück zu führen war!

Jeden das seine: mein PC holt sich nix mehr von Microsoft!
 
QuArK007 schrieb:
Mit jedem Bug-Fix kommt meistens ein neuer Bug hinzu!
Zum Vergrößern anklicken....
Deine Meinung, keine Tatsache.

QuArK007 schrieb:
Es ist viel sinnvoller den Rechner mit [...] ner FW zu schützen
Zum Vergrößern anklicken....
Eine Firewall schützt Dich nur davor, dass Sicherheitslücken auf deinem PC ausgenutzt werden. Wenn es keine gibt, muss nicht davor geschützt werden.
Natürlich gibt es auch auf einem aktuell gepatchten System noch Sicherheitslücken ... aber den Sinn darin, seit Jahren bekannte Sicherheitslöcher wissentlich offen zu lassen, seh' ich nicht so richtig.
 
naja, gibt leute die hören mal was schlechtes von micosoft und schon is alles müll von denen... so leute muss man einfach lassen... bringt eh nicht mehr
 
Wenn ich sehe, was Klein-Weich mit ihren BugFixes anstellt, dann muss ich sagen, dass mir echt die Lust dran vergangen ist noch irgendetwas upzudaten! Es ist natürlich Leuten zu raten die mit Computern nicht viel am Hut haben und auch von Security-Lösungen noch nicht viel gehört haben :p zu denen gehöre ich eher nicht!

@Reno: Spyware hab ich auch keine drauf! Außerdem ist es SH*T egal welchen Browser du verwendest: SpyWare kannst du dir mit jedem Browser einfangen!

Und wenn ich einen Bug schließe und wieder ein neuer dazu kommt, hab ich gerade mal GARNICHTS gewonnen! Die Bugs in Programmen mit denen ich ins Internet gehen schließe ich (FF, FileZilla, Opera, Miranda....) aber Windows wird durch diese Bug-Fixes nun wirklich KAUM sicherer! Da lass ich es lieber so wie es jetzt ist, alles läuft... warum was ändern? ;)
 
QuArK007 schrieb:
Es ist natürlich Leuten zu raten die mit Computern nicht viel am Hut haben und auch von Security-Lösungen noch nicht viel gehört haben
Zum Vergrößern anklicken....
Man nimmt ein mit Gewissheit unsicheres System, klatscht einen Haufen potenziell unsicherer Software drauf und fühlt sich dann sicher.
Das macht Sinn, ja.

Term schrieb:
die automatischen updates von XP will ich auch aus lassen. Auch weil ich ein bischen Sorge um meine Daten habe.
Zum Vergrößern anklicken....
Glaubst Du Microsoft lädt sich dabei dann direkt noch deine Nacktfotos hoch :ugly:
Ich hätte mehr Sorge um meine Daten, wenn jedes Skript-Kiddie mit einem jahre alten Exploit meinen Rechner zerschießen könnte...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben