WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   Internet (http://www.wcm.at/forum/forumdisplay.php?f=8)
-   -   Trojaner-Meldung, was bedeutet sie (http://www.wcm.at/forum/showthread.php?t=44764)

Dumdideldum 30.01.2002 22:17
Trojaner-Meldung, was bedeutet sie
 
Vor kurzem habe ich die LOG-Datei meiner Linux-Firewall durstöbert, und dabei entdeckt, dass es einen Einbruchsversuch gegeben hat.
Snort hat gemeldet, dass xxx.xx.xxx.xxx:1370 einen Angriff auf meine IP yyy.yyy.yyy.yyy mit der Bezeichnung Back orifice und dem key 31337 gemacht hat.

Nun will ich wissen, wie dies zu verstehen ist.
Dass es sich um den Trojaner Back Orifice handelt ist schon klar. Wie ist dies jedoch geschehen: Hat ein Hacker aktiv versucht, meinen Rechner mit Back-Orifice zu infizieren, oder geschieht das automatisiert, wie bei Viren?
Weiters möchte ich wissen, ob ich auf so einen Angriff, wenn er einer ist, überhaupt reagieren soll - sprich an den Admin der IP, die ich per ripe.net aufgelöst habe, eine Mail zu schreiben - ist dies überhaupt sinnvoll?

Daher wollte ich prinzipiell mal nachfragen, ob dieser "Angriff" auch wirklich einer ist, d.h. böswillig gemacht wurde, ohne gleich den Admin auf den User zu hetzen.


dank im voraus

Schizo 30.01.2002 22:38
Also ein Mail an den Admin kann nicht schaden.
Dumm nur, wenn der Admin selbst der Hacker ist...

Dumdideldum 30.01.2002 22:42
Naja, das einzig komische bei der Sache ist halt, dass sich die IP im Adressenraum eines ungarischen GSM-Anbieters befindet.

Ich will halt nur sicher gehen, dass dies wirklich ernst zu nehmen ist, weil ich nicht unnötigerweise Staub aufwirbeln will.

mfg

quaylar 30.01.2002 23:03
das ganze hat nur folgendes zu bedeuten :

jemand hat versucht auf deinen rechner zielport 31337 - der standardmäßig von back-orifice verwendet wird - zuzugreifen.

das kann jetzt heissen das derjenige einfach einen portscanner gestartet hat und eine oder mehrere subdomains nach rechnern gescannt hat die port 31337 offen haben. (man sollte es nicht für möglich halten wieviele es da noch immer gibt...)

deine firewall hat lediglich den "versuchten" connect auf den back-orifice port mitgeloggt.
niemand hat versucht den trojan bei dir "einzuschleusen"

du kannst das ganze getrost vergessen, noch dazu wo du eh einen linux rechner als gateway hast, solche einträge werden in deinen logs noch öfter vorkommen.

also dont worry - und eine mail an abuse@isp.com zahlt sich net wirklich aus.....

--quay

Dumdideldum 30.01.2002 23:09
ja, hab ich mir eh auch gedacht, dass es wenig Sinn hat, eine Mail an den Admin zu schreiben - die werden mit solchen Meldungen sicher zugespammt.
Nur ist es komisch, dass die IP von einem ungarischen GSM-Unternehmen stammt :D


Alle Zeitangaben in WEZ +2. Es ist jetzt 13:23 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag