Hi,
folgende Frage:

Was ist ein "Sub Seven Attack"? Und vor allem, warum wurde der bei uns ausgeführt? Ripe.net sagt, dass beide IPs, von denen es ausgeführt wurde(verschiedene Tage) aus Belgien stammen. Merkwürdig ist, dass beide auf die gleiche IP wollen, die zwar existiert, aber DEFINITIV nicht an war! Beide wollen Sie auf port 1243 und kommen von port 2209 bzw. 4198.

Alles was ich in Google gefunden hatte war, dass es ein Trojaner ist? Bin für jede Hilfe dankbar!
Solltet ihr dazu weitere Angaben brauche, bitte Info..
Gruß Columbo

hi,

mach dir keine Sorgen das ist ein Trojaner für Windoof, mitdem kannst du Rechner fernsteuern. Uns Linuxer stört dieser überhaupt nicht

greetz
adme

Ist nur für windoof und macht auch dann nur Probleme, wenn das Teil auf der Platte ist, Beschreibungen hier: http://www.trojaner-info.de/aktuell.shtml

Hi,
und was wenn mich das sehr beunruhigt? Ich hab ein Win-Netz (sorry, das ich hier poste, aber ich glaub "ihr" seid da etwas kompetenter...).
Gruß Columbo

@Columbo0815,
besorg Dir einen aktuellen Virenscanner und scanne Deine Platte(n).

http://www.free-av.de/
http://www.fprot.org/

http://www.trojancheck.de/

Wenn die nichts finden, hast Du auch kein Problem.

Hi,
danke schonmal für die links!
www.trojaner-hilfe.de ist schonmal sehr gut! die anderen klapper ich auch noch ab, danke schonmal für die Hilfe, Bericht kommt!
Gruß Columbo

http://www.trojaner-info.de/inhalt.shtml

Hi,

führe bspw. mittels http://housecall.trendmicro.com/ einen onlinescan Deines Systems durch, und installiere direkt anschließend einen AV Scanner. Vor allem: aktualisiere die AV Definitionsdateien wenigstens einmal pro Woche!!!
Dann noch regelmäßig bei den Webseiten zum Thema Trojaner vorbeischauen, und ggf. dort beschriebene Prozeduren durchführen.
Oder halt zusätzlich noch einen Linux Gateway inkl. FW installieren ... ;-)

Gruß

Hi,
hab jetzt imho alle Clients durchgescannt, die Zugang zum Internet haben. Oder kann sich ein Trojaner die Route selbst suchen, und ich muss alle Rechner kontrollieren??

Kann es sein, das der Rechner, der in der DMZ steht genau deswegen "Opfer" wurde, obwohl er garantiert aus war? Mich wundert halt, das 2x an 2 verschiedenen Tagen der gleiche Rechner angegriffen worden sein soll, obwohl dieser aus ist, aber wie gesagt, er ist als DMZ-Rechner am Router eingetragen (bis vorhin).

Bisher noch nichts gefunden,
gruß Columbo

Woher hast du das mit dem SubSeven? Sagt dir das deine Firewall? Dann lösch diese Regeln - ist nur Augenauswischerei ....

SubSeven verwendet normalerweise Port xy und wenn dein Rechner an diesem Port abgefragt wird, dann schreien gewisse PF's .... das war alles
Wenn der Trojaner aber auf einem anderen Port des Weges kommt - passiert gar nix - deshalb Regeln löschen und neu erstellen - bezieht sich aber eher mehr auf WIndowsDesktopFirewalls.

Hi,
also, ich hab eine Hardwarefirewall. Regeln sahen bisher wie folgt aus:

Erlaube alles von Lan zu *
Verbiete alles von Wan zu *

Habs jetzt umgeändert auf

Erlaube Port 80 von Lan zu *
Verbiete alles von Lan zu *
Verbiete alles von Wan zu *

Und die Firewall sagt "Sub Seven Attack Dropped" Destination eben der DMZ-Rechner auf Port 1243. Das erste mal aufgetreten vor 3 Tagen, und heute nacht. Wir haben dynamische IPs, deswegen verwundert mich es, dass beide Anfragen aus Belgien kommen!

Wenn es nur sowas wie "Code-Red" ist, das heisst er versucht von aussen nach innen zu kommen, schwitz ich nicht mehr allzu sehr!

Gruß und danke
Columbo

...wollts nur noch mal sagen:
der Trojaner muss sich auf der HDD des angegriffenen Rechners befinden, sonst passiert gar nichts und wenn der betreffende Rechner aus ist, erst recht nicht, das ist einfach nur ein Portscan und harmlos !!!

Habe eine Frage...

Ist es möglich das jemand via eines Lamer-Progys auf meine Windoof Ix Päh (xp) partiotion(en) zugreift. Wenn ich mit Linux online bin?

Wenn ja, stell ich gleuch furchtbare zugriffsregeln für meine NTFS und Fat32 Partitionen auf.



mfg.
MysticR

//edit: Also, ich meine das der Läaimha (Lamer) dann nicht mein Lin beschädigt, sondern mein win.

//edit: Also, ich meine das der Läaimha (Lamer) dann nicht mein Lin beschädigt, sondern mein win.

-> Wenn welches System gerade läuft?

windows ist schon eine geniale misskonstruktion

ein freund von mir hatte 2 rechner mit einen lan verbunden und an einer 2ten netzwerckarte in einen rechner sein cable modem hängen...(beide mit windows) und jetzt kommts er hat mit den rechner auf die smb platten von ein paar leuten in internet zugreifen können. Entweder die haben pfusch mit ihrer smb configuration gebaut oder es ist ein netter bug...

Hi,
kurze Zwischeninfo:
Bisher keine weitere Attacke, scheint wohl tatsächlich ein Scan oder was ähnliches gewesen sein...

@Linuxschrotter: Was hat das mit einer Subsevenattack zu tun? Egal welche Meinung man über Windows hat (und meine ist sicher nicht gut), hat das ja nichts mit einem Virus zu tun. Ganz großes Problem sind da nämlich die User! Selbst bei Windows kann man bei der Installation (oder später) ein Passwort für den Administrator vergeben! Und wer machts? Zumindest von den Dau-Usern keiner. Jetzt braucht nur jemand noch die Standardfreigaben von Windows zu kennen, also die, die für administrative Zwecke freigegeben sind, und schon hast du Vollzugriff auf die Platte. Da kann aber das Betriebssystem noch so gut sein. Das kann nichts dafür! Scann doch zum Spaß mal deinen Rechner auf offene Ports...

Gruß Columbo

@Columbo

bevor du noch mehr anspielungen machst was für ein dau ich doch bin...
es wahr sehrwohl ein windows bug (war noch 98).

Hab mal gehört, dass S7 auch DDoS beherrscht. Es kann also doch Linux gefährlich werden...
Aber ich denke bei dir wars ein einfacher Portscan eines S7 clients, der nach Opfern Ausschau hält.

Apropos S7: Zumindest die alten Versionen hatten ein Backdoor (der Angreifer kann ein Passwort für seine Clients sammeln). Aber mittels eines Master-Password konnte dann trotzdem auf alle zugegriffen werden. Eine ICQ-Bekanntschaft hat das Master-Passwort gekannt und bei reihenweise S7-Installationen das normale Passwort geändert.

Mittlerweile ist die grosse S7-Welle seit 3 Jahren vorbei. Oder blüht S7 im Moment wieder auf?

Gruss, Andy

subseven wird so ziemlich von jeden virenscanner erkannt. Auserdem bringt es nichtmals eine eigerne netzwerkimplermentierung mit wie das normal bei troijanern der fall ist.