SPIONAGE !!!!

[sAmUeL]

Hallo an alle !!
Seit ca. drei Wochen, mit Unterbrechung, werde ich von irgendeinem Individuum belästigt. . Ich bekomme immer die message Standard Subseven, Standard Hack "A" Tack und Standard Netbus(ich weiss netbus wird von fünfzehnjährigen verwendet:-)). Meine Question, auch wenn sie drückt, aber wie bekomme ich heraus, wer da nervt? Reicht DOS ping -a??
Würde gerne zurückschlagen bzw wissen wer es ist(hab nen Kumpel in Verdacht)!
BITTE,ich bitte inständig um Hilfe denn wenn ich mich an euch wende, ist es meine letzte Hoffnung!!
Also kann ich auf euch zählen??

cuätall
sAmUeL

P.S Ist die Remote- Adresse von Nutzen??

[Phantom]

Hi

Wenn du auf uns zählen willst dann lerne erstmal in das richtige Forum zu Posten.
Dieses Forum ist nur für Fragen die das Board betreffen gedacht.
Die gehört jedoch nach Off Topic

Verschoben

Gruss
Phantom

[Pretorio]

@sAmUeL:
~~~~~~~~
Das schaut mir eher nach normalen PortScanns von Doofköpfen aus! Ist die IP immer die selbe? Portscanns kommen relativ häufig vor, sind aber noch kein richtiger Angriff auf Dich, sondern der Typ schaut welche Ports bei Dir offen sind (meist werden die von Dir genannten (+..) TrojanerPorts überprüft, weil die auch sehr verbreitet sind). Wenn Du keinen Trojaner hast, droht dadurch auch keine Gefahr. Verwende eine gute Firewall wie z.B.
AtGuard,Conseal oder Secure4u. Einen speziellen Trojaner Scanner wie TheCleaner oder AntiTrojan solltest Du auch verwenden.

Das mit dem zurückschlagen vergiß lieber, macht nur unnötig Arbeit, bringt nix, und rechtlich machst Dich sogar auch strafbar.
(kümmert aber sowieso niemanden mehr)
--> in Bezug auf normale Portscanns gemeint.

Hat Dein Kumpel vielleicht eine permanente IP? Wenn ja, such Dir eine Mail von ihm aus und vergleiche die IP darin mit der von der Du vermeindlich angegriffen wirst. Wenn diese über einstimmt ist er der Übeltäter.
Dann sollte man schon was machen, das würd ich mir auch nicht gefallen lassen!

cu Pretorio

[sAmUeL]

Hi,
@Pretorio, meine Firewall is von Norton-IS. Und die protokolliert jede Attacke und zeigt mir unterschiedliche Remote- Adressen. Die hab ich natürlich jetzt als Adresse im Neotrace Progg eingegeben und habe viermal mit ner unterschiedlichen RA den Standortheraus bekommen.:-) Naja das ist alles Neuland für mich aber ich denke das der grüne Punkt auf der Karte, der immer am selben Ort ist der Standort ist. Und die IP an diesem Ort ist viermal dieselbe. Hab ich ihn nun oder nicht? Zeigt Neo die Ip mit an oder mache ich etwas falsch? Irgendwann muss er doch merken das er so nicht reinkommt! OK versuchs weiter und wenn ich der Überzeugung bin das ich ihn habe dann ... !! Ich brauch schliesslich auch ein bisschen Praxis, gell!;-)
Nur komisch ist das die Leitung auf der Karte nicht in meinem Wohnort endet?
Aber Übung macht den Meister und ich werde bestimmt nich locker lassen!
Danke für eure Bemühungen!!
In diesem Sinne
sAmUeL

[lama]

also zu neotrace: du solltes diesen Grünen Punkt möglichst genau auf deinen Wohnort Platzieren

zu den Attacken:
das ist warscheinlich immer der selbe Typ der mit den Scannern von seinen Trojanern immer IP bereiche abscannt. Und du liegst nunmal in diesem IP bereich. Es werden bestimmt viele andere mit Firewall jetzt gedacht habe "Oh, da versucht einer mich zu hacken" also solang du keinen Trojaner/Backdoor drauf hast kann dir eigentlich wenig passieren. Wenn du auf Nummer sicher gehen willst, dann schau mal nach welche Ports er immer abscannt. Und dann schau in ner Portliste nach für was dieser Port gut ist.
Wenn die Ports hintereinander gescannt werden, dann wird der Typ wohl wissen wen er da Attakiert. Vielleicht jemand aus ICQ oder aus nem Chat wie IRC usw.. Oder er hat sich einfach ne IP ausgesucht.


Zur IP mit Neotrace:
Das weist du bestimmt aber ich sags halt mal! Die IP kannst nur eingeben wenn der andere Typ online ist und das muss die Aktuelle Ip sein (ich halt dich jetzt nicht für blöd, aber vielleicht lesen das ja auch andere die das noch nicht wissen)

[lama]

Sorry hab da zufällig zwei mal geklickt

also zu neotrace: du solltes diesen Grünen Punkt möglichst genau auf deinen Wohnort Platzie... (ist der selbe beitrag wie oben)


[Dieser Beitrag wurde von lama am 15. August 2000 editiert.]

[sAmUeL]

@lama
das mit der IP hab ich dann doch noch gewusst, aber Danke!!
Mein Problem is vielmehr Neo. Is denn dat wirklich so simple?
Ich gebe aus meinem Protokoll die Remote- Adresse als Adresse bei Neo an und GENAU da wo er als erstes auf der KArte ansetzt sitzt der Übeltäter auch? Wäre ja goil!:-) Denn konn ich jo genau verfolgen wie gross er seine Kreise zieht.
Und da war noch das mit den Ports, wie finde ich heraus welche Ports er scannt und wo krieg ich ne Liste her? thx
In diesem Sinne
sAmUeL

[lama]

also das mit neotrace ist nur ganz genau wenn er hinter einem Registriertem Server/Rechner hängt. Und es ist nicht gleich der erste Punkt, da kommen vile ander Punkte, das sind die Stationen über die die IP wandert. So kannst du nur in etwa den Standort herausfinden, weist aber dafür ganz genau welchen Provider er benutzt und rufst dort einfach mal an und sagst, dass du die ganze Zeit gescannt wirst. Gibst datum urzeti und IP an und die werden dann etwas unternehmen müssen, was aber immer seltener gemacht wird.

Also wie kriegt man heraus welche Ports er scannt??? Du hast gesagt deine Firewall protokolliert alles mit dann speichert sie das auch irgendwo, in den log files! Dort schaust du dir an auf welche Ports sich die Atacken beziehen und vergleichst dann, wenn du nicht zurecht kommst, dann poste mal die Ports und wie oft die gescannt wurden.

Portliste? Gibts glaub ich hier unter Anleitungen!

[lama]

also das ding Zeigt die Adresse an? Danke!

[sAmUeL]

hi leute
ertsmal danke das ihr so nett seit und mir Unterstützung gebt. Um Visual Route werde ich mich auch noch kümmern. Doch einige Probleme sind aufgetaucht mit denen ich nicht ganz klar komme. Dazu werde ich, wenn es niemandem etwas ausmacht gegen Nachmittag mal posten, könnte länger werden! Ich wollte mich eigentlich nur bei euch bedanken.
In diesem Sinne eine gute, wenn auch kurze Nachtruhe ;-)
sAmUeL

P.S Es scheint fast so als käme ich mit dem netten Neo nicht zurecht!!!! :-(

[pHyrExiaN]

Also, cih glaube es ist ja lels gesagt worden, aber hohle dir am besten noch ein richtig gute Firewall, nämlich Zonealarm (www.zonelabs.com).
Das ist keinen normale Firewall, die die Ports einfach nur blockt, sondern sie verbirgt sie (stealth). Ist ganz praktisch, da deswegen diverse Portscanner überlasten... manchmal... außerdem ist (meiner Meinung nach) die sicherste Desktop Firewall, die es gibt! Schaue sie dir mal an... :e

[Pretorio]

Hi @All!
~~~~~~~~

@pHyrExiaN:
~~~~~~~~~~~
ZoneAlarm? Na ich will da lieber nix drüber lestern, bringt eh nix!

.. sondern sie verbirgt sie (stealth) ..

Zur Information:
Das können die meisten Firewalls.
(u.a. AtGuard, Conseal, Secure4u,..)
Wenn man sich dann anschaut was ZoneAlarm für den etwas gehobenen Anwender für Einstellmöglichkeiten besitzt, komme ich zu der Annahme, daß diese Firewall eher nur für den OttoNormal User konzipiert wurde. Für Leute die sich mit Rule Vergaben (..) nicht
genauer beschäftigen wollen ist sie ideal;
Meiner Meinung nach, ist das einzige Plus dieser Firewall, der beste "anti-phone-home"
Schutz der bekannten Firewalls. (nach meinen Tests).
He, ich wollte hiermit niemanden persönlich angreifen oder so, ist einfach meine Meinung.

@sAmUeL:
Ich glaub, daß es einfach "normale" Portscanns sind,(wie schon gesagt)
Wenn Du weißt welche Ports häufig gescannt
werden, und den Trojaner dazu, kannst Du Dir nen fakeserver saugen und den Typ ordendlich erschrecken.
Laß Dir doch von den Typen die Du unter Verdacht hast ne mail schicken, (wenn sie keine dynamische IP haben).
Verwend vielleicht noch Conseal & Secure4u als weiteren Schutz. Sind echt sehr sehr leistungsfähige Teile. Besonders Secure4u, darüber hört man eher selten was, sie überwacht sogar die Registry!
Dazu sollte man sich aber etwas auskennen, die beste Firewall ist nur so gut wie der, der sie konfiguriert hat.

cu Pretorio

P.S.
Die Portliste findest Du in Deinem
Posteingang...

[sAmUeL]

Hi Leute,
ersteinmal wieder ein grosses Dankeschön für eure Bemühungen!!
@pHyrExiaN ZA war meine erste Firewall und benutze sie auch noch ab und an! Doch irgendwie bin ich mit N-IS ganz zufrieden:-)
Und jetzt einfach malne Liste aller Ports die in ca einer Woche gescannt wurden:

deep throat: 2140,3150,41,60000,6670
hack"A": 31785,31787,31788,31789
infector trojan: 146
dmsetup trojan: 58
RASmin trojan: 1045,conference
stealth Spy: 555
ftp trojan: 666
dark shadow: 911
silencer: 1001
netspy: 1024
extreme: 1090
ultor's: 1234
whack a mole: 12361 zu 12363
whack job: 12631
remote grab: vdolive
ic killer: 7789
iNi killer: 9989
acid shivers: 10520
como: 10607
senna spy: 1100,1300
progenic: 11223
gjammer: 12076
keylogger: 12223
prziack: 22222
evil ftp/ ugly ftp: 23456
delta source: 26274
trin00ddos: 34555
subseven2.1/2.2: 27374
netbios: ubsession
master paradize: 31,3129,40421,40422
bla: 1024,666
donald dick: 23467,23477
rat trojan: 2989
filenail: 4567
socket de trois: 5000,5001
blade runner: 5400 zu 5557
serv me: rmt
bo facil: 5556 zu 5557
robo hack: 5569
the thing: 6400
indoctrination: 6939
gate crasher: 6969,6970
priority: 6969
ftp99 cmp: 1492
shiva burke: 1600
spy sender: 1807
shock rave: 1981
remote explorer: 2000
trojan cow: 2001
ripper: 2023
bugs: 2115
striker: 2565
phineas phucker: 2801
portal of doom: 10167,3700,10067
net monitor: 7300,7301,7306
poly: 1010,1011,1012

es kann sein das ich noch einige übersehen habe aber ich denke das dürften alle sein.
Und BITTE wenn ihr irgend einen Fehler seht, macht mich darauf aufmerksam.
Und mit dem scannen schaut er doch nur ob er einen Zugang zu mir hat, is doch richtig oder?
In diesem Sinne
sAmUeL

P.S thx !!

[lama]

also mit dem Scannen schaut er welche Ports offen sind. Man könnte auch sagen "Ob er zugang hat" könnte man aber nur.

Ok, sieht nach nem Typen aus der ne große Trojaner sammlung hat. Und dann einfach scannt ob diese Trojaner auf deiner Platte sind. Wie schon gesagt, hol dir nen Fake Server einer dieser Trojaner und dann mach ihm richtig Angst! Für fragen zu fake Servern geh ins Trojaner forum (auch als Spielplatz bekannt ) oder geh auf http://sub7.krawall.de <--- wenn ein Fehler drin is, Sorry dort kannst du dir Fake Server für Sub7 saugen.