trojanisches Pferd

Hallo Forum,
Mein Firewall Tracker hat das trojanische Pferd Backdoor.SubSeven 2.1 Server abgefangen.

Details beim Zurückverfolgen:
IP Adresse 67.80.0.252 ool-435000fc.dyn (anonym)
Domain Name: OPTONLINE.NET (IP 167.206.112.6)
Registrar: NETWORK SOLUTIONS, INC.
Whois Server: whois.networksolutions.com
Referral URL: http://www.networksolutions.com
Name Server: NS.CVNET.COM
Name Server: NS.CV.NET

Falls jemand herausfindet von welchem Website, bitte nicht verschweigen,
Gruß Christa

 

NeoTrace pro-Log:

Target: 67.80.0.252
Date: 26.04.2002 (Friday), 19:06:02
Nodes: 22
Node Data
Node Net Reg IP Address Location Node Name

2 1 - 217.5.98.131 Unknown
3 1 - 217.237.156.10 Unknown
4 2 1 62.156.131.138 New York nyc-gw14.usa.net.dtag.de
5 3 2 4.25.133.5 New York so-2-1-0.nycmny1-hcr3.bbnplanet.net
6 3 2 4.0.7.14 New York p10-0.nycmny1-nbr2.bbnplanet.net
7 3 2 4.24.10.177 Unknown p9-0.phlapa1-br1.bbnplanet.net
8 3 2 4.24.10.90 Unknown p15-0.phlapa1-br2.bbnplanet.net
9 3 2 4.24.10.185 WASHINGTON D.C. so-0-0-0.washdc3-nbr2.bbnplanet.net
10 3 2 4.24.10.29 WASHINGTON D.C. so-7-0-0.washdc3-nbr1.bbnplanet.net
11 3 2 4.24.4.110 WASHINGTON D.C. p1-0.washdc3-cr5.bbnplanet.net
12 3 3 4.24.144.54 Unknown mae-east-atm-gtei.globix.net
13 4 3 209.10.12.73 Unknown ge-6-0-0.core1.dca3.globix.net
14 4 3 209.10.10.133 Jersey City so-1-0-0.core1.nyc8.globix.net
15 4 3 209.10.11.165 Jersey City pos15-0.core1.nyc1.globix.net
16 4 3 209.10.1.134 Jersey City ge6-0-0.hgw1.nyc1.globix.net
17 5 - 209.208.201.198 Unknown
18 6 4 167.206.12.132 New York r2-srp3-0.cr.hcvlny.cv.net
19 6 4 167.206.12.99 New York r2-srp1-0.wan.hcvlny.cv.net
20 6 4 167.206.12.114 Unknown r1-srp1-0.wan.prnynj.cv.net
21 7 4 167.206.253.114 Unknown ubr1.cmts.frhdnj.cv.net
22 8 5 67.80.0.252 40.815N, 73.471W ool-435000fc.dyn.optonline.net
Packet Data
Node High Low Avg Tot Lost
1 0 0 0 1 0
2 33 33 33 1 0
3 33 33 33 1 0
4 130 130 130 1 0
5 128 128 128 1 0
6 129 129 129 1 0
7 131 131 131 1 0
8 130 130 130 1 0
9 128 128 128 1 0
10 132 132 132 1 0
11 129 129 129 1 0
12 130 130 130 1 0
13 130 130 130 1 0
14 134 134 134 1 0
15 129 129 129 1 0
16 133 133 133 1 0
17 141 141 141 1 0
18 138 138 138 1 0
19 137 137 137 1 0
20 141 141 141 1 0
21 143 143 143 1 0
22 155 155 155 1 0
Network Data
Network id#: 1
European Regional Internet Registry/RIPE NCC (NET-217-RIPE)
These addresses have been further assigned
to European users. Contact information can
be found in the RIPE database at whois.ripe.net
NL

Network id#: 2
Deutsche Telekom AG, Zentrum IOT
Postfach 2767
D-48014 Muenster

Network id#: 3
GENUITY (NET-GNTY-4-0)
3 Van de Graaff Dr.
Burlington, MA 01803
US

Network id#: 4
Globix Corporation (NETBLK-GLOBIXBLK3)
295 Lafayette St- 3rd Fl
NY, NY 10012
US

Network id#: 5
PFM Communications, Inc. (NETBLK-PFMC-BLK-02)
295 Lafayette St- 3rd Fl
NY, NY 10012
US

Network id#: 6
Cablevision Systems Corp. (NETBLK-CVNET-NT-STP)
111 Crossways Park
Woodbury, NY 11797
US

Network id#: 7
Cablevision Systems Corp. (NET-CVNET)
One Media Crossways
Woodbury, NY 11797
US

Network id#: 8
Optimum Online (Cablevision Systems) (NETBLK-NETBLK-OOL-4BLK)
1111 Stewart Avenue
Bethpage, NY 11797
US

Registrant Data
Registrant id#: 1
See Registrant Pane for registrant contact information.
Registrant id#: 2
Registrant:
BBN PLANET CORP. (BBNPLANET2-DOM)
3801 East Bayshore Road
Palo Alto, Ca. 94303
US

Registrant id#: 3
Registrant:
Globix (GLOBIX3-DOM)
139 Centre Street
New York, NY 10013
US

Registrant id#: 4
Registrant:
CSC Holdings, Inc. (CV3-DOM)
1111 Stewart Avenue
Bethpage, NY 11714

Registrant id#: 5
Registrant:
CSC Holdings, Inc. (OPTONLINE2-DOM)
1111 Stewart Ave
Bethpage, NY 11714
US

_____
NeoTrace Copyright ©1997-2001 NeoWorx Inc

 

Mit dem kleinen Umterschied, daß T-Online ein öffentlich zugänglicher Provider ist und der Server, auf dem die Verisign-Site gehostet wird, vermutlich nicht öffentlich zugänglich sein dürfte.

Gruß
frederic

 

Genausogut könntest du T-Online verdächtigen, denn wenn ein Kiddie als TO-Kunde scannt, bekommst du mit nem Tracing auch die Daten von T-Online und nicht die Hausnummer und Straße des Möchtegern-Hackers.

 

Interessant ists trotzden, denn es zeigt doch, daß die IP offensichtlich gefälscht war. Oder Verisign hat in seinem Netz selbst was sitzen.

Gruß
frederic

 

Danke für die rasche Antwort und den guten Tipp, die Meldung macht denk ich jeden Normalverbraucher nervös.

 

Das war nichts als ein harmloser Portscan auf einem Port, der oft auch von Trojanern verwendet werden KANN. Ein Trojaner muss erstmal auf deinem PC installiert sein (der Server-Teil), damit jemand sich von außerhalb mit seinem Client-Teil des Trojaners zu dir verbinden kann. Deine Firewall hat dir Blödsinn erzählt. Bessere Infos zum Thema gibts bei www.trojaner-info.de