hy
bei mir häufen sich seit 2-3 Tagen logs mit Anfragen nach Port 80 ,4662,1243,1214,6346
da ich keinen Server betreibe oder sonstige Dienste anbiete bin ich darüber doch ziemlich überrascht liegt es daran das ich mich mit T-DSL einwähle oder warum kommen diese Anfragen.
Beim surfen alle paar minuten eine firewall-meldung gemailt zubekommen ist nicht lustig.
Gruß AB

Mnache Ports sind typische Win-Trojaner-Ports. NetBus oder SUB7 z.B haben einen eingebauten Scanner nach diese Ports. Das kommt oefters mal vor, vor allem im Telekom Netz, einfach mal schauen was die IP's ueber und unter mir machen,sagen sich die Kidys.
Also, einfach ignorieren und froh sein das du nicht Win benutzt.

T;o)Mes

Also Port 80 ist ja auf jeden Fall HTTP und Port 4662 ist in den misten Fällen eDonkey also filesharing! und die anderen Ports über 1024 sind wahrscheinlich auch ports, die von trojanern oder filesharing programmen genutzt werden.

naja,
mit dieser T-online IP ist man ja ein interesantes Objekt von gestern :
fwlogwatch summary
Generated Thu Feb 14 18:47:46 CET 2002 by root.
6 (and 14 older than 86400 seconds) of 540 entries in the file
+"/var/log/messages" are packet logs, 3 have unique characteristics.
First packet log entry: Feb 13 21:53:07, last: Feb 13 22:04:45.
All entries were logged by the same host: "*****".
All entries are from the same chain: "-".
All entries have the same target: "-".
All entries are from the same interface: "ppp0".

Feb 13 21:53:07 to Feb 13 21:53:09 3 tcp packets from 80.129.27.8 to
+217.228.176.134 port 80
Feb 13 21:53:11 to - 1 tcp packet from 152.14.60.207 to 217.228.176.134 port 21
Feb 13 22:04:45 to Feb 13 22:04:45 2 tcp packets from 80.133.78.193 to
+217.228.176.134 port 27374
also Port 21 und 27374(sub7 etc) hatte ich vorher noch nie
Gruß Arne
.

sub7 ist ein windows trojaner, also nichts gefaehrliches
ftp (port 21) koennte gefaehrlich werden, wenn du ein anonymous zugang hast, denn ziemlich viele haben sec. bugs (siehe securityfocus.com)




Mfg,
Air

Ich habe da auch ein paar intressante Geschichten:

Damit kann ich leider nichts anfangen ist aus den syslogs:

Feb 17 11:00:48 spookyshome kernel: Packet log: input REJECT ppp0 PROTO=6 195.92.95.16:54584 80.142.182.56:443 L=44 S=0x00 I=11821 F=0x4000 T=244 SYN (#79)

Feb 17 15:31:21 spookyshome kernel: Packet log: input REJECT ppp0 PROTO=6 134.76.11.100:55852 80.142.184.82:113 L=60 S=0x00 I=44440 F=0x4000 T=57 SYN (#79)

Feb 17 15:48:16 spookyshome kernel: Packet log: input REJECT ppp0 PROTO=6 62.180.194.129:61019 80.142.184.82:32775 L=48 S=0x00 I=2261 F=0x4000 T=115 SYN (#79)

Feb 17 15:48:19 spookyshome kernel: Packet log: input REJECT ppp0 PROTO=6 62.180.194.129:61019 80.142.184.82:32775 L=48 S=0x00 I=2262 F=0x4000 T=115 SYN (#79)

Feb 17 15:48:25 spookyshome kernel: Packet log: input REJECT ppp0 PROTO=6 62.180.194.129:61019 80.142.184.82:32775 L=48 S=0x00 I=2281 F=0x4000 T=115 SYN (#79)

Feb 17 16:38:13 spookyshome kernel: Packet log: input REJECT ppp0 PROTO=6 213.177.141.87:2032 80.142.190.123:1214 L=48 S=0x00 I=65185 F=0x4000 T=112 SYN (#79)

Feb 17 16:38:16 spookyshome kernel: Packet log: input REJECT ppp0 PROTO=6 213.177.141.87:2032 80.142.190.123:1214 L=48 S=0x00 I=65441 F=0x4000 T=112 SYN (#79)

Feb 17 16:38:22 spookyshome kernel: Packet log: input REJECT ppp0 PROTO=6 213.177.141.87:2032 80.142.190.123:1214 L=48 S=0x00 I=162 F=0x4000 T=112 SYN (#79)

Feb 17 16:38:34 spookyshome kernel: Packet log: input REJECT ppp0 PROTO=6 213.177.141.87:2032 80.142.190.123:1214 L=48 S=0x00 I=418 F=0x4000 T=112 SYN (#79)

und so weiter.... solche Meldungen treten häufig auf.... kann mir ja mal jemand einen Tip geben was das ist ?

Außerdem Massenweise nimda attacken im apache error.log.... fast alles von t-online IP's

wer es genauer (http://www.trojaner-info.de/port.shtml) wissen will.

sieht nach einem geziehlten portscan auf deinen rechner aus, villleicht wurdest du (gluecklicher?) "zufallsfund". wenn der scan von T-Online kommt, logauszug an abuse@t-online.de


mfg,
Air

also port 443 ist secure http und port 113 wird für auth benutzt, sprich da wollte jemand wissen ob du nen imap-server und nen identd am laufen hast.

Gruß,
Marko

wer lesen kann ist klar im vorteil :eek: