Das bin Ich!
pD95367C4.dip.t-dialin.net
Nee im Ernst: Was hat er davon, zu wissen, daß das ein x-beliebiger (dynamischer) T-Online oder was auch immer Teilnehmer ist?
Soll er mal seine Kiste vernünftig patchen/dichtmachen, alle nötigen Updates einspielen, sicher Paßwörter benutzen und vor allem alle unnötigen Bindungen vom transparenten DSL-Anschluß entfernen!
Optimal: Router einsetzen und Kiste trotzdem dichtmachen!
Typischer Fall von "selber schuld"!
Gruß Karl
leguangras
Was hilft ihm das? Das reinste Schattenboxen - T-COM rückt die Infos sowieso nicht raus!
Verstehe ich echt nicht, daß manche Leute ihre Zeit an Symtomen verheizen, statt an den Ursachen zu arbeiten. Wenn da Tagelang an einer Hauptverkehrsstraße die Türen offenstehen, kann ich natürlich auch Jeden überprüfen und beschatten lassen, der da mal reinschaut - oder einfach ein Schloß einbauen und die Tür zuschließen!
würde trotzdem einfach mal zu http://www.t-com.de/ip-abuse gehen,...
Abuse hilft in dem Fall garnix!
Kann ja eine verseuchte Kiste sein, die Infektionsopfer sucht und per Abuse bestrafst du nur den (falls die überhaupt was machen), der als nächster mit der IP online geht....
Möhre dichtmachen und gut is!
Es gab Zeiten, da habe ich (spaßeshalber) mehr als 20 Angriffe in einer Minute mitgeloggt - wenn ich die alle ermitteln/verfolgen wollte, wäre ich bis an mein Lebensende ausgelastet....
...draufgekommen ist keiner!
Häng' einen Rechner ins Internet und es dauert keine 5min, bis die ersten Portscans eintrudeln. Völlig normale Sache, es kommt nur darauf an, wie man damit umgeht.
Stell' sicher, dass keine Dienste laufen, die auf offenen Ports lauschen und pack' Dir eine Firewall davor.
tach auch !
Möchtet Ihr das LOG von meinem Router sehen?
Die 40 Seiten sind nach ein paar Minuten voll mit
Port 135/136 und 4** Versuchen.
Dichtmachen oder HoneyPot aufstellen und gut ist.
Der Karl
Andererseits:
Wenn 1000 Leute sich mit Datum Uhrzeit und IP bei Abuse beschweren, muß die TerrorCom was unternehmen.
Und der der einen verseuchten Rechner hat sollte auch was auf die Finger bekommen.
Anders lernen die es ja NIE.
Zitat von zisoft.....Portscans eintrudeln. Völlig normale Sache, es kommt nur darauf an, wie man damit umgeht.
portscan ist doof.da springt ja gleich die firewall an.. 
nur ipscan und dann end-point mapper (epmap).....
g/l
Danke für eure Antworten.
ich werds ihm ausrichten ..der hat schon richtig schiss gehabt das irgendwas passiert :ani_lol: :ani_lol:
na ich werd mal die woche zu ihm hingehen und die hütte mal "versiegeln" 
Kann ja eine verseuchte Kiste sein, die Infektionsopfer sucht und per Abuse bestrafst du nur den (falls die überhaupt was machen), der als nächster mit der IP online geht....
Unsinn, die IP wird mit Zeit gespeichert => wenn man Zeit des Zugriffs auch meldet ist eine Zuweisung möglich.
Die Frage ist halt ob nur ein Portscan oder ein wirklicher Zugriff stattfindet. Portscan = normal, Zugriff=würd ich melden.
Zitat von SelurDie Frage ist halt ob nur ein Portscan oder ein wirklicher Zugriff stattfindet. Portscan = normal, Zugriff=würd ich melden.
Wie kann man das feststellen?
Ich habe zum Beispiel nur einen Router und Outpost 2.7.
..der hat schon richtig schiss gehabt das irgendwas passiert :ani_lol: :ani_lol:
Klar passiert da was! Ich würde die Kiste sofort vom Netz nehmen!
Unsinn, die IP wird mit Zeit gespeichert =>..
Das ist mir durchaus bekannt. Ob ein DAU das auch richtig macht, bezweifle ich. Und ob sich wirklich Tausend DAUs bei T-COM melden....:nein:
..muß man natürlich erstmal mitkriegen und manche handeln erst, wenn die Kiste so voll mit Viren ist, daß überhaupt nix mehr geht!
...ob nur ein Portscan oder ein wirklicher Zugriff stattfindet.
Der taucht in den "Sitzungen" auf - zumindest stand das in der Eingangsfrage. D.h.: Der ist erfolgreich authentifiziert (vermutlich Administrator offen und M$-Client und Freigabe auf WAN-Interface gebunden). Da wühlt schon Jemand lustig in der Pornosammlung und ändert die Briefe an Erbtante Elfriede....
Zitat von Der KarlDa wühlt schon Jemand lustig in der Pornosammlung und ändert die Briefe an Erbtante Elfriede....
üblicherweise greift man da nachts den complete ordner ab.da liegt aber meist käse...erst wird man nett eingeladen und dann nur mist auf der platte.
g/l
Wenn der Admin offen ist, hat man die komplette C$-share und die andern latürnich auch!
Wie kann man das feststellen?
Ich habe zum Beispiel nur einen Router und Outpost 2.7.
Wenn Du z.B. merkst das bei Dir neue Dateien auftauchen etc. und die log files im Router darauf Rückschlüsse ziehen lassen, dass die von jemanden ohne deine Erlaubnis geschickt wurden kann man die entsprechenden log File, ein paar weiter Infos an die Telekom schicken und die Sperren gegebenen Falls den User. (Rechtliche Schritte kann man selber natürlich auch starten.)
Wenn der Admin offen ist, hat man die komplette C$-share und die andern latürnich auch!
Deaktiviert die administrativen Freigaben $C, $D,...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\Parameters]
"AutoShareWks"=dword:00000000Cu Selur
Deaktiviert die administrativen Freigaben $C, $D,...
Darauf habe ich gewartet!
..und springe Jedesmal an die Decke, wenn ich in einem Netz meinen Job nicht machen kann, weil irgendein ComputerBild-Halbgebildeter DAU an der Registry rumschraubt mit dem Resultat, daß man ihm sämtliche Rechte auf der lokalen Maschine entziehen muß und sich dann wieder mit etlichen älteren Anwendungen rumärgern muß, die nur als Admin laufen wollen!
Ich schrubs doch oben schon mal: An den Ursachen arbeiten! Kiste dicht machen! Was hat die "Datei- und Druckerfreigabe" auf dem PPPOE-Interface zu suchen? Ebenso der "Client für Microsoft Netzwerke"! Wieso hat der Admin kein sicheres Paßwort? Wieso geht ein DAU nur mit DSL-Modem online? Router kriegt man heutzutage mit jedem Vertrag hinterhergeschmissen! Damit sind weit über 95% aller solcher Probleme obsolet!
Im übrigen kann man auch die Reg-Änderungen jederzeit per RPC rückgängig machen, wenn man Admin-rechte hat. Und die hat wohl auch der Standarduser in den meisten Fällen....
irgendein ComputerBild-Halbgebildeter DAU an der Registry rumschraubt
Wenn man ihm die Rechte gibt an der Registry rumschrauben zu dürfen, selber schuld!
Persönlich benutzich den Patch immer, wobei angemerkt sei, dass auf Rechnern für die ich verantwortlich bin auch als eine der ersten Aktionen in den Adminsitrativen Richtlinien u.a. erstmal die Verschlüsselung des Remote Desktops aktiviert wird. (Die ist standardmäßig nicht immer an, sondern wird nur aktiv wenn der Client sie auch anfordert!)
Im übrigen kann man auch die Reg-Änderungen jederzeit per RPC rückgängig machen, wenn man Admin-rechte hat. Und die hat wohl auch der Standarduser in den meisten Fällen....
Stimmt, aber auch das kann man unterbinden. 
Und es geht ja auch eher darum den Rechner nach außen zu schützen. User einsperren ist wirklich das Allerletzte was man versuchen sollte. Lieber die User schulen/erziehen. Wenn man nicht zu extrem eingeschränkten Terminal Servern übergeht kann ein geschulter User immer etwas machen.
(und wenn er seine eigene Platte an den Rechner anschließt und direkt am Dateisystem rumbastelt,...)
Wieso hat der Admin kein sicheres Paßwort?
Weil es immer noch keine gute Unterstützung für Passphrases unter WIndows gibt. (Meine Eltern beschweren sich auch immer wenn ich mich mit ihnen über Passwörter unterhalte. :))
Cu Selur
Naja - man kann auch übertreiben! Wenn man als Admin für eine relativ überschaubare Zahl an Rechnern verantwortlich ist, kann man sowas natürlich im Laufe der Zeit optimieren, aber Fakt ist doch: Schätzungsweise über 90% aller kleinen Netze laufen ohne Admin. Vermutlich deutlich über 90% der Benutzer sind lokaler Admin. Und in den meisten Fällen ist sowas völlig Problemlos, weil die mit ihren Kisten einfach nur ihren Job machen wollen. Wenn Jemand wirklich mal was verkonfiguriert, muß man schonmal schaun, ob der Aufwand, das gradezuziehen nicht deutlich kleiner ist, als alles zuzusperren und dann ständig präsent zu sein, weils Irgendwo hakelt....
..den meisten Kunden ist es scheißegal, was da wie im Hintergrund werkelt und es ist schon schwierig genug bei den Chefs (die geben ja schließlich die Kohle!) wenigstens die Grundlegenden Sicherheitsstandards durchzusetzen.
Und um eben diese Sicherheitsstandards geht es hier. Da muß man nicht in der Registry rummachen, sondern nur ein paar einfache Regeln beachten...
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!