Symatec NIS Meldet Angriff aus dem Inter

Nabend

Habe mir wohl über Morpheus 1 Trojaner und einen E-Mail Virus eingefangen. Der Trojaner war Subseven und der E-Mail Virus war .vbs Love Letter. Diese beiden habe ich mit dem Antivirenkit eintfernt. Jetzt habe ich mir Norton Internetsecurity 2002 zugelegt. Nach eine Prüfung wurde kein Virus oder ähnlichen mehr gefunden. Jetzt meldet aber meine Firewall in regelmäßigen abständen das Backdoor Subseven von außen auf meinen Rechner zugreifen will. Heißt das nun es führt jemand von außen ein Anschlussprüfung duch? Habe ich eventuell auf meiner Platte doch was übersehen? Wie kann ich dem Angreifer Schaden zufügen? Ich habe zwar nicht viel, aber sein IP ist bekannt.

Wie ist die weiter vorgehensweise?

 

Ich wollte das dem Provider melden, darum die Frage.

 

Hallo zusammen,

ich habe auch NIS auf meinem Rechner.
Da ich mich ein wenig mit dieser Thematik befasst habe kann es doch sein das der "Hobbyhacker" über die IP eines Opfers geht. Er loggt sich in seinen Rechner ein und surft dann auf andere Rechner.
Dann ensteht für dich der Eindruck das die angegebene IP der Angreifer ist. Dabei ist er nur so wie du ein Opfer.

Wegen deinem Trojaner:
Es gibt 3 Möglichkeiten einen Trojaner Sub7 zu plazieren.
1. Autostart
2. System.ini
3. Win.ini
Kontrolliere diese 3 Möglichkeiten.
Falls du einen aktiver Sub7 auf deinem Rechner hast und du eine aktuelle NIS Version dann meldet NIS auch die versuchte Verbindung.
Die Meldung BACKDOOR SUBSEVEN die immer kommt ist meist nur von einem Porscanner. Irgentjemand sucht im Netz einen infizierten Rechner (Opfer) und wenn deine IP dran ist meldet NIS diesen Scanvorgang mit BACKDOOR SUBSEVEN
Wenn dein Rechner aber nicht infiziert ist kann da auch nichts passieren.

MfG
Kodokan

 

Das sagt RIPE über die ominöse IP:

****************************************************

217.88.234.227

% This is the RIPE Whois server.
% The objects are in RPSL format.
% Please visit http://www.ripe.net/rpsl for more information.
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 217.80.0.0 - 217.89.31.255
netname: DTAG-DIAL14
descr: Deutsche Telekom AG
country: DE
admin-c: RH2086-RIPE
tech-c: ST5359-RIPE
status: ASSIGNED PA
remarks: ************************************************************
remarks: * ABUSE CONTACT: abuse@t-ipnet.de IN CASE OF HACK ATTACKS, *
remarks: * ILLEGAL ACTIVITY, VIOLATION, SCANS, PROBES, SPAM, ETC. *
remarks: ************************************************************
notify: auftrag@nic.telekom.de
notify: dbd@nic.dtag.de
mnt-by: DTAG-NIC
changed: auftrag@nic.telekom.de 20010920
source: RIPE

route: 217.80.0.0/12
descr: Deutsche Telekom AG, Internet service provider
origin: AS3320
mnt-by: DTAG-RR
changed: rv@NIC.DTAG.DE 20001027
source: RIPE

person: Reinhard Hausdorf
address: Deutsche Telekom AG
address: Am Kavalleriesand 3
address: D-64295 Darmstadt
address: Germany
phone: +49
nic-hdl: RH2086-RIPE
notify: auftrag@nic.telekom.de
notify: dbd@nic.dtag.de
mnt-by: DTAG-NIC
changed: auftrag@nic.telekom.de 20010321
source: RIPE

person: Security Team
address: Deutsche Telekom AG
address: Technikniederlassung Schwaebisch Hall
address: D-89070 Ulm
address: Germany
phone: +49 731 100 84055
fax-no: +49 731 100 84150
e-mail: abuse@t-ipnet.de
nic-hdl: ST5359-RIPE
notify: auftrag@nic.telekom.de
notify: dbd@nic.dtag.de
mnt-by: DTAG-NIC
changed: auftrag@nic.telekom.de 20010321
source: RIPE

****************************************************

Und was sagt uns das?

-> Der Provider Deines Angreifers ist die Deutsche Telekom!
-> Daher nehme ich an daß er Deutscher ist.
-> Wenn Du das Melden willst dann schicke ein Mail an
abuse@t-ipnet.de

mfg KazHar

 

s scannen - wenn sich ein Rechner meldet, dann sind die Chancen gut, daß es Deiner ist - kann aber auch ein anderer mit der Backdoor sein.
So etwas nennt sich Portscan - und ist nicht einmal illegal!
Mit den entsprechenden Tools geht selbst das Scannen von tausenden IP\'s blitzartig.
Auf die selbe Art ist er sicher auf Dich aufmerksam geworden. Wenn er den Bereich von z.B. 125.24.0.0 bis 125.24.255.255 scannt und Du die momentan die IP 125.24.11.15 benutzt, dann wird er die Backdoor bemerken, die auf Deinem Rechner läuft.

Da Du jetzt eine Firewall benutzt ist Dein Rechner aber auf allen unbenutzten Ports stumm (Port-Stealth)! Der Scanner bemerkt also nichteinmal, daß Dein Rechner online ist. Daher weiß der Angreifer nicht, ob Du nur offline bist, oder ob Du die Backdoor entfernt hast.

mfg KazHar

 

Nabend

Vielen Dank für Ihre Antwort. Mit meinem Gegenüber schaden zufügen meinte ich eventuell eine Gerichtliche vorgehensweise und wenn das zu teuer ist dann schicken wir mal ein paar Leute zu einem Hausbesuch vorbei.

Was mir aber Elementar auf der Zunge brennt ist, wie ER meinen Rechner aus sagen wir mal tausenden rausfiltert.

===Da er natürlich nicht weiß, daß Du die Backdoor gekillt hast, versucht er hald immer wieder, sich einzuloggen - was die Firewall brav meldet. => keine Gefahr für Dich mehr.===

Vielen Dank für Ihre Bemühungen

 

Zur Dummen Frage...... Bitte mal auf Deutsch übersetzten. Ich weiß nicht auf was du da hinauswillst?!?

Meine Angriff war wiefolgt:

Sie wurden zuletzt angegriffen am:05.11.2001 um 19:46:32
Angreifer war: 217.88.234.227

Protokoll Standard Backdoor Subseven

 

Hi
Mal eine dumme Frage :
Datum: 06.11.01 Uhrzeit: 10:53:54
Regel "Standard Back Orifice 2000 blockieren" blockierte (XXXXX1,Back-Orifice). Details:
Ankommendes UDP-Paket
Lokale Adresse, Dienst ist (XXXXX-i1,Back-Orifice)
Remote-Adresse, Dienst ist (65.35.16.57,2125)
Prozessname ist "N/A"

Die IP von dem "Angreifer" ist also die 65.35.16.57,2125 oder nicht ?

 

Nun da Du Subseven entfernt hast und zusätzlich hinter einer Firewall sitzt kann Dir dein "Freund" nicht mehr in den Rechner schauen. Da er natürlich nicht weiß, daß Du die Backdoor gekillt hast, versucht er hald immer wieder, sich einzuloggen - was die Firewall brav meldet. => keine Gefahr für Dich mehr.

Was heißt da Du hast nicht viel von Ihm? Du hast doch seine IP und wahrscheinlich auch die Zeitpunkte wann er Dich angepingt hat. Das ist ungefähr so wie wenn er Dir seinen Namen samt Adresse und Telefon-Nummer mitschickt.

Wenn es Dir die Sache wert ist, dann kannst Du über einen WHO-IS-Dienst (z.B. http://www.domainnameswhoisregistered.com) den Provider Deines "Freundes" herausbekommen. Fast alle Provider reagieren auf Mails, in denen Du auf den Angriff hinweist und mit dem Log der Firewall beweist, ziemlich schnell.

Aber auf die Frage, wie Du deinem speziellen "Freund" höchstpersönlich Schaden zufügen kannst willst Du doch in Wirklichkeit gar keine Antwort (zumindest nicht in diesem Forum).

mfg KazHar

 

1."Trojaner"-Portscan ignorieren.
2. Nächstes Mal klüger sein