|
portscans!
Hallo Leute!
Werde seitdem ich heute online bin, ständig vo zwei Webservern auf diversen Ports gescannt. Irgendwer eine Ahnung was das soll? Hab' sonst auch immer Scans (v.a. auf port 80, Code Red), aber so wie heute war's noch nie? Auszug aus dem Logfile: Monday, September 17, 2001 09:17:06 - Unrecognized access from 192.216.249.138:80 to TCP port 4924 Monday, September 17, 2001 09:17:14 - Unrecognized access from 192.216.249.138:80 to TCP port 3169 Monday, September 17, 2001 09:17:26 - Unrecognized access from 192.216.249.138:80 to TCP port 3524 Monday, September 17, 2001 09:18:52 - Unrecognized access from 192.216.249.138:80 to TCP port 4482 Monday, September 17, 2001 09:19:06 - Unrecognized access from 192.216.249.138:80 to TCP port 4924 Monday, September 17, 2001 09:19:14 - Unrecognized access from 192.216.249.138:80 to TCP port 3169 Monday, September 17, 2001 09:19:26 - Unrecognized access from 192.216.249.138:80 to TCP port 3524 Monday, September 17, 2001 09:11:55 - Unrecognized access from 192.96.79.239:80 to TCP port 4648 Monday, September 17, 2001 09:11:55 - Unrecognized access from 192.96.79.239:80 to TCP port 3359 Monday, September 17, 2001 09:12:25 - Unrecognized access from 192.96.79.239:80 to TCP port 4307 Monday, September 17, 2001 09:12:55 - Unrecognized access from 192.96.79.239:80 to TCP port 3147 Monday, September 17, 2001 09:13:09 - Unrecognized access from 192.216.249.138:80 to TCP port 4924 Monday, September 17, 2001 09:13:17 - Unrecognized access from 192.216.249.138:80 to TCP port 3169 Monday, September 17, 2001 09:13:25 - Unrecognized access from 192.96.79.239:80 to TCP port 4978 Monday, September 17, 2001 09:13:25 - Unrecognized access from 192.96.79.239:80 to TCP port 4708 Monday, September 17, 2001 09:13:25 - Unrecognized access from 192.96.79.239:80 to TCP port 4992 Monday, September 17, 2001 09:13:29 - Unrecognized access from 192.216.249.138:80 to TCP port 3524 Monday, September 17, 2001 09:14:55 - Unrecognized access from 192.216.249.138:80 to TCP port 4482 Monday, September 17, 2001 09:15:09 - Unrecognized access from 192.216.249.138:80 to TCP port 4924 Grüße Manx |
192.216.249.138 gehört:
BBN BARRNET, Inc. (NETBLK-BARRNET) NETBLK-BARRNET 192.216.0.0 - 192.216.255.255 Solucian Networking, L.L.C. (NETBLK-SOLUCIAN-249-04) SOLUCIAN-249-04 192.216.249.0 - 192.216.249.255 192.96.79.239 wem die ip gehört weis ich nicht. |
Hi LouCypher!
Danke mal. Was mich nur verwundert, dass auf den IPs (192.216.249.138 und 192.96.79.239) Webserver laufen. Infos zu den gescannten ports hab ich nur für den port 3169 gefunden. Zitat:
Manx |
Hi!
Nur zur Vervollständigung - Infos zur IP 192.96.79.239
Owner: UNINET Project Address: Meiring Naude Road Pretoria, South Africa 0001 ZA sowie Owner: Tool & Die Manufacturing Address: Tool & Die Manufacturing P. O. Box 26267 Isipingo Beach Durban 4115 ZA <<grrr.. 1. Posting und gleich ein Mörder-Rechtschreibfehler>> cu-tmt |
@ToolMan: wo hast die info her, alle meine links konnten nichts über die ip finden, bitte posten.
|
Ist net wirklich schwer herraus zu finden wem die Page gehört: Einfach Ip Adresse eingeben, fertig.
http://192.216.249.138/ gehört DARRENRAHN.COM, ebenfalls in Süd Afrika. |
Re: Hi!
Zitat:
Obesa Gardens (Gartenfachbetrieb) Owner: C.J.Bouwer Murray Street Graaf-Reinet 6280 South Africa Tel: 27 82 899 6330 oder 6329 http://192.96.79.239/PAGE8.HTM |
@LouCypher:
Ich verwende zum einen www.checkdomain.com und das Tool "WS-Ping Pro" von IPSwitch um an meine Infos zu kommen. @Memphis: Hmmmm...ich glaub da is jetzt der Wurm drinnen. Ist schon richtig, dass darrenrahn.com der IP 192.216.249.138 entspricht. Das ist doch aber nur der aufgeschlüsselte DNS-Eintrag oder? Wem der Net-Block gehört kann man auf die Art jedoch nicht rausfinden. Vielleicht "stolpert" ja ein wirklicher "Guru" über diesen Thread und der kann uns dann ganz genau erklären, was Sache ist. cu-tmt |
@ToolManTim
Aber eines ist sicher, der Hund ist in Süd Afrika!:lol: :lol: |
loooooollll
Yep! Irgenwem in SA is furchbar fad... :) ;) cu-tmt |
__________________________________________________ _____
Yep! Irgenwem in SA is furchbar fad __________________________________________________ ______ Das glaube ich gar nicht. Für mich schaut das nach einem kaputten Router,Dns-Server, whatever aus. Oder es ist jemand mit einer gespooften IP unterwegs.Denn normalerweise: Request --> Webserver Ports 1024-5000 -> Port 80 Antwort Port 80 -> an anfragenden Port Hier antwortet der Webserver ohne das eine Anfrage gestellt wurde. Alle Ports im normalen Bereich. WS Ping Pack Pro ist gut kostet aber Geld. Sam Spade kann mind. das gleiche ist Freeware. http://samspade.org/ssw/dl.html Just my 0.02$ g17 |
@toolman: danke für die url.
|
Thx @all!
insbesondere an g17 super link! Danke Manx |
zu 192.216.249.138
Solucian Networking, L.L.C. (NETBLK-SOLUCIAN-249-04) 7451 East Ponderosa Circle Parker, CO 80138-8624 US Netname: SOLUCIAN-249-04 Netblock: 192.216.249.0 - 192.216.249.255 Coordinator: Towt, Howard (HT420-ARIN) htowt@SOLUCIAN.COM Solucian Networking, L.L.C. Solucian Networking, L.L.C. 7451 East Ponderosa Circle Parker, CO 80138-8624 (303) 520-0868 (FAX) (303) 840-3508 keiner aus ZA sondern US. zu 192.96.79.239 Tool & Die Manufacturing (NET-TDM) Tool & Die Manufacturing P. O. Box 26267 Isipingo Beach Durban 4115 ZA Netname: TDM Netblock: 192.96.79.0 - 192.96.79.255 Coordinator: Kent-Brown, Russell (RK68-ARIN) [No mailbox] 27 31 902-3330 die domain obesa wird offensichtlich verwaltet von 5a. Tec Contact: MacMillan, Michael 5b. Tec Title: Technical Manager 5c. Tec Company: EastCapeNET 5d. Tec Postal: 11 Hampton Road, Mill Park, Port Elizabeth, 5e. Tec Phone: +27 41 333442 5f. Tec Fax: +27 41 333441 5g. Tec E-Mail: michael@eastcape.net 5h. Tec Nic: 6a. Prim NS FQDN: ntsrv.eastcape.net 6b. Prim NS IP: 192.96.79.3 6e. Sec NS1 FQDN: ntsrv2.eastcape.net 6f. Sec NS1 IP: 192.96.79.4 hier kannst mal über die mail addy nach einem technischen defekt fragen |
Ein richtiger Portscan müsste eigentlich einen gesamten Portbereich abscannen. Bei diesen Versuchen auf Port 80 handelt es sich wohl um Versuche von Code Red, Code Blue und Konsorten einen Webserver zum Infizieren zu finden. Die können ziemlich lästig sein!
Zu einer IP-Adresse den Besitzer zu finden geht meiner Meinung nach am besten (und genauesten) über die WhoIs Server der Internet Registries. Mein Tip: RIPE - auch weitergehende Info möglich. Oder wer's einfach mag: Schwarzl Internet Tool Das einfache eintippen der IP-Adresse im Browser ist natürlich auch möglich. Oft findet man dort allerdings nur heraus das die IP-Adresse aus einem Adressbereich eines Internetproviders kommt, in seltenen Fällen ist eine IP-Adresse einer Firma/Verein usw. zugeordnet. Im Fall von Code Red und Konsorten ist das Ganze vielleicht auch gar nicht Absicht - vielen wissen gar nicht, dass ihr Rechner befallen ist und versucht den Virus/Wurm weiter zu verbreiten. In einigen Fällen könnte auch ein Router falsch konfiguriert sein und Pakete falsch weiterleiten. E.S. |
Ein richtiger Portscan müsste eigentlich einen gesamten Portbereich abscannen. Bei diesen Versuchen auf Port 80 handelt es sich wohl um Versuche von Code Red, Code Blue und Konsorten einen Webserver zum Infizieren zu finden. Die können ziemlich lästig sein!
Zu einer IP-Adresse den Besitzer zu finden geht meiner Meinung nach am besten (und genauesten) über die WhoIs Server der Internet Registries. Mein Tip: RIPE - auch weitergehende Info möglich. Oder wer's einfach mag: Schwarzl Internet Tool Das einfache eintippen der IP-Adresse im Browser ist natürlich auch möglich. Oft findet man dort allerdings nur heraus das die IP-Adresse aus einem Adressbereich eines Internetproviders kommt, in seltenen Fällen ist eine IP-Adresse einer Firma/Verein usw. zugeordnet. Im Fall von Code Red und Konsorten ist das Ganze vielleicht auch gar nicht Absicht - vielen wissen gar nicht, dass ihr Rechner befallen ist und versucht den Virus/Wurm weiter zu verbreiten. In einigen Fällen könnte auch ein Router falsch konfiguriert sein und Pakete falsch weiterleiten. E.S. |
Hi E.S!
Wie Du wahrscheinlich gelesen hast, handelte es sich um Zugiffe von Webservern auf diverse Ports und das Schauspiel war nach ca. 2 Stunden wieder vorbei. Von Zugriffen auf port 80 red' ich gar nicht. Wednesday, September 19, 2001 21:04:59 - Unrecognized access from 62.46.226.36:1316 to TCP port 80 Wednesday, September 19, 2001 21:05:02 - Unrecognized access from 62.46.226.36:1316 to TCP port 80 Wednesday, September 19, 2001 21:05:08 - Unrecognized access from 62.46.226.36:1316 to TCP port 80 Wednesday, September 19, 2001 21:05:32 - Unrecognized access from 62.46.226.36:2090 to TCP port 80 Wednesday, September 19, 2001 21:05:35 - Unrecognized access from 62.46.226.36:2090 to TCP port 80 Wednesday, September 19, 2001 21:05:41 - Unrecognized access from 62.46.226.36:2090 to TCP port 80 ... und so gehts den ganzen Tag Grüße Manx PS: nochmal Thx @all |
Code Red kann es nicht sein. Denn dann wären die Scans genau umgekeht, nicht
80 --> = Webserver antwortet ( so wie hier) sondern --> 80 = Sucht Webserver (Code Red) g17 So gehts mir schon das 3. mal immer zu langsam |
| Alle Zeitangaben in WEZ +2. Es ist jetzt 17:27 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag