hallo leute!
bekam heute ein mail eines bekannten, er war leicht fertig da er sich keiner schuld bewusst ist, sagen wir er kann den pc bedienen.. aus..
ich möchte euch um eure meineung bitten wie er sich weiter verhalten soll..
auszug aus dem mail:

Heute ist bei mir ein RSb Brief von der Jet2web also Telekom eingelangt.
Ich mußte zu meiner großen Überraschung Festellen das ich die allgemeinen Geschäftsbedingungen nicht eingehalten habe.
Ich weiß zwar nicht warum den ich kann es nicht entziffern. Hier das orginalzitat :Seitens ihres Internetaccounts mit der Kundennummer ....... sind mittels Logifileauswertung folgende Aktivitäten nachgewiesen worden- diese Auswertung wurde auf Grund von Userbeschwerden durchgeführt, die bei uns eingelangt sind: Datum/ Urzeit 19.12.2000/18:40 Sachverhalt : TCP port scanning .
Ich weiß nicht was ich falschgemacht habe und so kann ich natürlich nicht sagen ich mach das nicht mehr. Weißt du vielleicht rat ? Sie schreiben auch das bei einer wiederhohlung mein Account gesperrt wird was natürlich fatal ist den ich habe das Complete.

anhand des verlauf`s lässt sich nichts mehr feststellen da die speicherzeit auf 3 tage eingestellt ist..

danke/gruss
wibsi

Also wenn er nicht weiß was Prot scanning ist - wird er es auch nicht gemacht haben. Aber vieleicht hat er einen Trojaner am Rechner.
Würde auf jeden Fall jet2depp Kontakt aufnehmen und dementieren.

D_T

Ein bisschen mit Sub 7 herumgespielt(Portscanner).

hi!
kann sub7 scannen?
er hat sicher nicht "gespielt"..
der erste schritt wäre dann mit dem programm anti trojan den pc zu scannen..
gruss wibsi

beim complete allg. geschäftsbedingungen?
die hätt ich auch mal gerne erhalten!
hab bis heute nicht mal meine kundennummer offiziell erhalten,nur tel. alles durchgegeben worden!
und auf der homepage von telekom steht absolut nichts was verboten wäre!
ich bin 24h online! alle 8h verbindungsabbruch für 2sec.
ich würde das im rundordner ablegen :)

@Jen Nyelvers
AGB von AON - habs mir aber auch noch nie komplett durchgelesen.

D_T

hi wibsi, schon ein bisschen eigenartig. wenn diese scan's tatsächlich erfolgt sind kann es nur ein trojaner oder ähnliches auf seinem compi sein, denn complete ist an die tel nummer gebunden (zwegen grundgebühr&verbindungsentgelt). würd ich (hab auch complete) mir schon zu herzen nehmen, denn die agb sind sehr wohl abrufbar und dort stehts drin.

@jen nyelvers, nur ein satz: unwissenheit schützt vor strafe nicht ;)

------------------
mfg karl s'glühlamperl
------------------

ich würds eher nicht im rundordner ablegen.

freund von mir hat selbigen brief bekommen (zu recht ;)) dem hams dann den account gesperrt!

hi leute!
ich bin eigentlich der meinung das ein trojaner keine rundum scan`s macht, oder?
könnte es sein das ein anderer die IP adresse aus einem mail header zum scannen benützt?
bei complete werden sie ja dynamisch vergeben, ist es trotzdem möglich?
ich schliesse aus das er bewusst gescannt hat..
gruss wibsi

das ist eine möglichkeit, aber durch die dynamische vergabe ziemlich unwahrscheinlich. was mir dazu noch einfällt wär, möglicherweise hat jemand anderer seine zugangsdaten, dann kann er auch von einem anderen pc auf complete zugreifen, dazu müsste er aber wissen ob der zugang nicht gerade besetzt ist. am besten wärs wenn er in den news mit josef sabor kontakt aufnehmen würde ;)

schau dir mal diesen link an www.mcca.at/aon/support.htm

------------------
mfg karl s'glühlamperl
------------------

[Dieser Beitrag wurde von Rundumadumleuchtn am 28. Dezember 2000 editiert.]

Jet2Web ist eine GmbH; ein RSb-Brief ist die gewöhnliche Zustellform für behördliche Schriftstücke nach dem ZustellG; die Jet2Web ist eine Behörde?
Steht in dem Schreiben eine Rechtsgrundlage? Spruch und Begründung lassen sich erkennen; da sich offenbar Rechtsfolgen ergeben muss es ein Bescheid sein; nach §2 DVO-FG iVm §22/2 PoststrukturG scheint die Telekom (noch immer) das AVG anzuwenden. Wenn dem so ist (Begründung!?) -> §63 AVG - Berufung binnen 14 Tagen an die Behörde, die den Bescheid ausgestellt hat.
Wenn die Rechtsgrundlage aber irgendwas iVm VStG ist, dann wäre ein Einspruch notwendig. Geht aber an die gleiche Stelle (Absender). Falschbezeichnung schadet aber nicht, daher: binnen 14 Tagen nach Zustellung Berufung - formloses Schreiben genügt; Aktenzahl angeben, "ich bin unschuldig" draufschreiben und rechtzeitig in die Post damit. Beweise sind (noch) nicht notwendig, Hauptsache die Frist ist gewahrt. Hilfreich wäre natürlich den Trojaner oder was auch immer das ist/war zu isolieren und zu dokumentieren.

hallo leute!
.. noch ein detail, er verwendet auch Napster..
könnte dieser die ping`s verursachen?
system ist mit NAV2000 geschützt, anti trojan installiert er noch..
gruss wibsi

Also wenn dein ahnungsloser Freund die IP
195.3.96.69 hat, ist er nicht so Ahnungslos wie er tut.
Dieses A...loch probiert seit 23.12 gezielt meine Firmennetzwerk zu hacken.
Und die Beschwerde kommt von mir, soll lieber Froh sein das ich sooo gutmütig bin, und nicht gleich meinen Rechtsbeistand hinzugezogen habe.Komischerweise ist seit heute eine Ruhe mit den Scans und Angriffen.
Eine andere Möglichkeit, falls er wirklich Ahnungslos ist, ist der Trojaner MTX.
Er soll einmal im Windowsverzeichnis nachschauen, ob dort eine mtx.exe liegt.

Sloter

PS: Bisherige kosten der Abwehr ca 50 000.- ATS, und mit der Gutmütigkeit ist seit heute auch Schluß.

@sloter: was hat der gemacht? das ihr schon 50000ats kosten habt?

ist er schon reingekommen und hat er daten gelöscht? oder wi kommst sonst auf diese kosten?

also ich will weder hier partei ergreifen oder hacker oder sonst welche illegalen sachen gutheißen. aber erst vor kurzen hat ein OGH beschluß (USA oder BRD?) festgestellt das ein portscann noch nicht mal illegal ist und auch keine strafbare handlung darstellt. aber ich gebne dir recht, mich stören diese Kinder mit ihren pc-anywhere, BO2k und konsorten auch mächtig. deshalb habe ich schon den firewall learning mode abgestellt. gleiches empfehle ich anderen auch
<BLOCKQUOTE><font size="1" face="Verdana, Arial">quote:</font><HR>Original erstellt von Sloter:
Also wenn dein ahnungsloser Freund die IP
195.3.96.69 hat, ist er nicht so Ahnungslos wie er tut.
Dieses A...loch probiert seit 23.12 gezielt meine Firmennetzwerk zu hacken.
Und die Beschwerde kommt von mir, soll lieber Froh sein das ich sooo gutmütig bin, und nicht gleich meinen Rechtsbeistand hinzugezogen habe.Komischerweise ist seit heute eine Ruhe mit den Scans und Angriffen.
Eine andere Möglichkeit, falls er wirklich Ahnungslos ist, ist der Trojaner MTX.
Er soll einmal im Windowsverzeichnis nachschauen, ob dort eine mtx.exe liegt.

Sloter

PS: Bisherige kosten der Abwehr ca 50 000.- ATS, und mit der Gutmütigkeit ist seit heute auch Schluß.<HR></BLOCKQUOTE>

habe es gefunden!:

Legal: Ports scannen

Das bloße Scannen einen Ports ist nicht illegal. So sieht das jedenfalls ein amerikanisches Gericht. Werden nun allen Hackern Tür und Tor geöffnet? Oder gibt es gute Gründe für diese Entscheidung?

Der Streit zweier IT-Unternehmen um die Frage, ob das Scannen eines Netports illegal ist, war vor dem Distriktsgericht des US-Bundesstaates Georgia gelandet. Da durch den Scan alleine, das Netzwerk nicht beschädigt werden würde, sei dies nicht illegal. Dabei beruft sich das Gericht auf einen Abschnitt der "Anti-Hacking"-Gesetze.

Beide Seite vereinbarten, keine Berufung gegen das Urteil einzulegen. Richter Thomas Thrash hatte befunden, dass der Zeitaufwand, der erforderlich ist, um einen Portscan zu untersuchen, noch nicht als Schaden angesehen werden kann.

Das Gesetz würde ganz deutlich sagen, dass nur eine echte Beeinträchtigung der Integrität und der Verfügbarkeit eines Netzwerks als Schaden anerkannt werden könnte. Dies treffe nur für den Scan nicht zu. Jennifer Granick, die Anwältin der Hacker, freute sich über das Urteil: "Es ist eine gute Entscheidung für Experten, die Sicherheitslücken aufspüren".

Denn es ist gang und gebe, dass Unternehmen spezielle Sicherheitsfirmen beauftragen, ihre Ports heimlich zu scannen, um so Sicherheitslücken aufzudecken. Der Scan als solches bedeutet noch keinen Zugriff auf das System.

Der Streit war letzten Dezember ausgebrochen, als Scott Moulton, der Präsident der Network Installation Computer Services (NICS), beim Versuch, die Verletzbarkeit eines von ihm betreuten staatlichen Netzwerkes zu testen, den Port eines fremden Firmennetzwerkes gescannt hatte.

Als Moulton dabei vom Administrator dieses Firmennetzes entdeckt wurde, brach er den Scann sofort ab. Die betroffene Firma VC3 meldete den Scann jedoch der Polizei, woraufhin der Vertrag mit Moultont gelöst wurde und dieser einige Wochen später sogar verhaftet wurde. Daraus entwickelte sich dann der Rechtsstreit, der mit diesem Urteil beendet wurde. (PC-WELT, 19.12.2000, hc)

Personalkosten 4x24 Stunden,
Check aller Rechner auf Datenverlust, oder Backdoors.

Sloter

jo, personalkostetn san teuer :D

aber die daten werds doch eh zentral liegen haben? oder sind die wirklcih auf den clients?

Ich will mich nicht einmischen und kenn mich auch nicht aus, aber die IP hat mich heute auch gescannt.
Meldung Zonealarm:

The firewall has blocked Internet access to your computer (ICMP Echo Request ('Ping')) from 195.3.96.69.

Time: 28.12.00 10:20:20

mfg fredl

Natürlich Zentral.
Aber manche Projekte liegen auf den Clients herum, der diversen Entwickler.
Und ein alter Schmäh ist ein Backdoor am Client einbauen, und erst viel Später auf den Server losgehen.

Sloter

Hallo Leute! Hab mich jetzt als Hauptperson auch in dieses Forum eingeklingt.Muß sagen das hier schon mit schweren Geschützen gegen mich aufgefahren wurde obwohl ich nicht viel Ahnung von dieser Sache hab (darum habe ich meinen Freund wibsi gebeten um zu recherchieren)soviel hab ich schon gecheckt das diese IP die hier immer genannt wurde nicht meine ist. Meine ist mit dieser fast identisch, Kann dies der Grund für diese Drohung des Providers sein????
Ich bedanke mich bei allen die mir helfen wollen.
baader

die ip von aon complete ist 192.3.96.67 und 192.3.96.68 :D

------------------
mfg karl s'glühlamperl
------------------

@rundumadumleuchtn:
sollte es nicht 195.3.96.67 und 195.3.96.68 heissen? :D

@fredl:
Ein Ping ist doch noch lange kein Portscan.

------------------
MoSKiTo

natürlich..... du hast vollkommen recht. war ganz in gedanken, sprich konfig meines netzwerks, versunken. glaub ich hab einen bock geschossen. aber dafür stimmen die 3 nachfolgenden zahlen :D tschuldigung!

------------------
mfg karl s'glühlamperl
------------------

Was in Usa ein Gericht entschieden hat muß wohl nicht für Österreich gelten,oder lieg ich da falsch.Außerdem,wenn der Provider in die Agb schreibt daß diverse Aktivitäten nicht erlaubt sind - dann wird daß ja wohl die Richtlinie sein die zählt.
Die Konsequenzen wären ja nur daß der Vertrag gekündigt wird.
Solange es nur ein Brief ist als Warnung,ist ja noch Zeit zu klären wie die Dinge liegen.

Warum weiß MoSKiTo meine IP ? Hat etwa jeder Completekunde diese Nummern. Ich bitte um Aufklärung. Danke baader

Die Entscheidungen ausländischer Gerichte sind nicht bindend für österr. Gerichte, aber bei gleichem Sachverhalt sehen sich die Richter die Entscheidungsgründe schon an. Besonders Deutschland gibt oft die Judikatur vor; die USA so gut wie nie (Ausnahme zB Asyl-, Menschenrechte), wegen des anderen Rechtssystems.
Nach österr. Recht sind Portscans mit dem Vorsatz mit den so gewonnenen Informationen fremde Daten auszuspähen so gut wie sicher StGB-widrig. Wichtig im Sinne von strafbar ist bei Straftaten immer der Vorsatz das intendierte Delikt auch tatsächlich tun zu wollen. Einfach nur einen Scanner laufenzulassen um die gefundenen IP-Adressen nachher wegzuschmeissen ist dann nicht strafbar. Das muß einem der Richter aber erst einmal glauben.
Was nie strafbar sein kann ist wenn man im Auftrag eines Users versucht in sein System einzudringen. Das ist Einwilligung des Opfers und davor brauchen die Gesetze nicht zu schützen (Ausnahme ist nur die Tötung eines Menschen, die ist auch strafbar wenn das Opfer zustimmt).

Was hier aber vorliegt ist ein behördlich zugestelltes Schriftstück, das nicht von einem Gericht kommt - daher ist es - wenn überhaupt - eine Verwaltungsangelegenheit. Die Telekom hieß ja früher auch Post- und Telegraphen*verwaltung*. Wenn ein Schreiben der Verwaltung für den Bürger Recht schafft, dann muß es ein Bescheid sein. Den kann/soll/muß man binnen 14 Tagen beeinspruchen wenn man damit nicht einverstanden ist.
Nur wegen der AGB ist das eher sinnlos, weil die Jet2Web den Account auch ohne Angabe von Gründen binnen 1 Monat kündigen kann (Pkt. 9 der AGB). Es hätte mich auch gewundert wenn es anders gewesen wäre. Mit sofortiger Wirkung kann der Betreiber kündigen wenn ua "widerholt" gegen die Gesetze verstoßen wird. Dieses "widerholt" setzt also begrifflich zumindest eine rechtswirksame Abmahnung voraus = dieses "Schreiben". Daher hat dieses Schreiben eine rechtliche Bedeutung und daher muss man es auch beeinspruchen können. Im Ergebnis kann man damit aber nur 1 Monat Vertragslaufzeit herausholen. Wichtiger wäre ein Einspruch für einen Firmenkunden der einen Schaden durch das fristlose Abklemmen erleidet, weil der dann Schadenersatz verlangen könnte.

@baader also das sind die üblichen DNS adressen v. AON

egal welchen account bei welchem provider ich hab könnte ich diese als DNS angeben, is ja sowieso meistens auch dynamisch und wird (im router) automatisch upgedatet. Das kann nicht deine IP adresse sein.

Habe jetzt eine Firewall installiert und siehe da es wurden gleich 4 Angreifer abgeblockt darunter auch die IP 195.3.96.69.
Also kann es doch ich nicht ich sein lieber sloter

hallo sloter!
erst mal runter vom gas wir sind erwachsene menschen die vernünftig miteinander reden können.. man sollte nicht immer gleich das böse im menschen sehen und mit unbedachten meldungen hervorpreschen..
sollte dein verdacht stimmen dann könnt ihr ja miteinander zur klärung beitragen.. wenn er es bewusst gemacht hat würde er damit nicht in die öffentlichkeit gehen..

ich bin nur ins WCM forum mit diesem problem eingestiegen da der betroffene überhaupt keine ahnung hat was da geschieht mit ihm und er mich gebeten hat zu helfen..

ich kenne complete nicht, aber eines ist klar die nr. 195.3.36.67 ist der prim. DNS und 195.3.36.68 der sec. DNS... die sollten doch alle complete user haben, oder?
sein dynamische IP adresse abgefragt mit winipcfg war zb 62.46.xxx.xxx..
er hat mir einen scrennshot von winipcfg geschickt..

da der hauptbetroffene ja im forum ist könntet ihr doch einmal miteinander reden bevor solche derbe ausdrücke fallen..

haltet uns auf dem laufenden da es sicher interessant ist wie sowas zustande kommen kann..

gruss wibsi

Ich habe auch nicht geschrieben, das du es definitiv bist. Habe ja geschrieben,wenn du die IP hast, das es von dir kommt.
Hast du schon nachgeschaut ob du eine mtx.exe in deinem Windowsverzeichniss hast ?
Kontrolliere das Verzeichnis !!!
Wichtig, ist ein Trojaner der von dort kommt.

Sloter

Neue Meldung !!

Alles entspannen, wir konnten den Hacker weiter isolieren, kommt von einem Holländischen Provider, und wir haben diesbezüglich schon Kontakt aufgenommen.

@Baader
Ich muß dich nocheinmal auf den Trojaner hinweisen, bitte schau umbedingt nach ob der nicht bei dir sitzt. Der Versucht immer Kontakt mit seinen Brüdern aufzunehmen, und macht dabei Portscans. MCAfee hat den Trojaner auch nicht erkannt, dürfte eine neuere Version sein.

@ sloter
habe mit &gt; start&gt; suchen&gt; nach datein oder ordner&gt; nach mtx.exe gesucht aber nichts gefunden . muss ich vielleicht mit etwas anderen suchen?

195.3.96.67, 195.3.96.68; sind die DNS-Adressen von AON !!
und wenn die scannen?

wenn ich mir jedes mal ins hoserl machen würde, wenn einer meiner ports gescannt wird, dan wäre ich schon bis ohen hin zugesch****.
allein bei meinem rechner werden täglich bis zu 20x diverse ports gescannt. Wer es nicht glaubt, dem schick ich gerne das log-file. sind meistens irgenwelche bubis, die mal BO2K oder Subseven, Netbus etc. probieren wollen.
Das ist halt der fluch einer statischen IP-Adresse.
ach ja, z.B. scannt auch ICQ teilweise hohe ports (&gt;1000) um die verbindung zur gegenstelle zu etablieren. vielleicht macht ja Napster was ähnliches.
Wenn jemand Port 21 scannt, um sehen ob ich einen ftp server laufen habe, regt mich das nich lange nicht auf.

Es geht auch um die IP: 195.3.96.69.
Der Rechner hat den Namen warsl401pip1.highway.telekom.at oder
warsl401pip2.highway.telekom.at
nicht um die DNS.

Sloter

[Dieser Beitrag wurde von Sloter am 29. Dezember 2000 editiert.]

@sloter
nachdem aon seine ip's dynamisch, d.h. bei jeder einwahl neu vergibt, kann man aus der ip alleine sicher nicht auf den benutzer schließen. das kann nur aon anhand ihrer logs. (falls sie überhaupt wissen wo die sind, und wie man die auswertet)

weiters: läuft eure interne Uhr syncron mit der von aon? wenn nicht können die anhand deiner angaben auch leicht den falschen beschuldigen.
und mittels ip-header faking kann man ja auch einiges machen...

Ja das stimmt, aber du kannst die IP auflösen wann du willst, und kommst immer auf den selben Rechner.
Also liegt die Vermutung nahe, das es eine statische ist.
Ich habe ja vorher schon geschrieben, das eine holländische IP auch mitspielt.
Für mich ist das ganze sehr dubios, es kann auch sein das AON nachschaut ob verbotene Server irgendwo laufen.

Bei mir läuft es immer gleich ab.
Zuerst der Ping ob man online ist, dann der direkte Portscan auf neuralgische Punkte.
Mail,Web,FTP,Telnet,SSH
Aber wie gesagt, seit gestern ist eine Ruhe.

Sloter

Da gibt es anscheinend Leute die absichtlich ungesicherte Boxen aufstellen um Hacker zu beobachten was sie tun wenn man sie läßt: http://project.honeynet.org/ http://xdot76.de/ubb/smilies/pimp.gif

Frage an die Wissenden:
<u>Was ist SSh?</u>
Heutige Zonealarmmeldung:
The firewall has blocked Internet access to your computer (Ssh) from 213.33.43.51 (UDP Port 61370).

Time: 29.12.00 11:43:54
fredl :confused: