portscans! - Seite 2

g17 · 17.09.2001, 16:04

__________________________________________________ _____
Yep! Irgenwem in SA is furchbar fad
__________________________________________________ ______

Das glaube ich gar nicht. Für mich schaut das nach einem kaputten Router,Dns-Server, whatever aus. Oder es ist jemand mit einer gespooften IP unterwegs.Denn normalerweise:

Request --> Webserver
Ports 1024-5000 -> Port 80

Antwort Port 80 -> an anfragenden Port

Hier antwortet der Webserver ohne das eine Anfrage gestellt wurde. Alle Ports im normalen Bereich.

WS Ping Pack Pro ist gut kostet aber Geld.
Sam Spade kann mind. das gleiche ist Freeware.

http://samspade.org/ssw/dl.html

Just my 0.02$
g17

LouCypher · 17.09.2001, 16:33

@toolman: danke für die url.

MANX · 17.09.2001, 16:51

Thx @all!

insbesondere an g17 super link!

Danke

Manx

martens · 17.09.2001, 18:21

zu 192.216.249.138

Solucian Networking, L.L.C. (NETBLK-SOLUCIAN-249-04)
7451 East Ponderosa Circle
Parker, CO 80138-8624
US

Netname: SOLUCIAN-249-04
Netblock: 192.216.249.0 - 192.216.249.255

Coordinator:
Towt, Howard (HT420-ARIN) htowt@SOLUCIAN.COM
Solucian Networking, L.L.C.
Solucian Networking, L.L.C.
7451 East Ponderosa Circle
Parker, CO 80138-8624
(303) 520-0868 (FAX) (303) 840-3508

keiner aus ZA sondern US.

zu 192.96.79.239

Tool & Die Manufacturing (NET-TDM)
Tool & Die Manufacturing
P. O. Box 26267
Isipingo Beach
Durban 4115
ZA

Netname: TDM
Netblock: 192.96.79.0 - 192.96.79.255

Coordinator:
Kent-Brown, Russell (RK68-ARIN) [No mailbox]
27 31 902-3330

die domain obesa wird offensichtlich verwaltet von
5a. Tec Contact: MacMillan, Michael
5b. Tec Title: Technical Manager
5c. Tec Company: EastCapeNET
5d. Tec Postal: 11 Hampton Road, Mill Park, Port Elizabeth,
5e. Tec Phone: +27 41 333442
5f. Tec Fax: +27 41 333441
5g. Tec E-Mail: michael@eastcape.net
5h. Tec Nic:
6a. Prim NS FQDN: ntsrv.eastcape.net
6b. Prim NS IP: 192.96.79.3
6e. Sec NS1 FQDN: ntsrv2.eastcape.net
6f. Sec NS1 IP: 192.96.79.4

hier kannst mal über die mail addy nach einem technischen defekt fragen

E.S. · 19.09.2001, 20:34

Ein richtiger Portscan müsste eigentlich einen gesamten Portbereich abscannen. Bei diesen Versuchen auf Port 80 handelt es sich wohl um Versuche von Code Red, Code Blue und Konsorten einen Webserver zum Infizieren zu finden. Die können ziemlich lästig sein!

Zu einer IP-Adresse den Besitzer zu finden geht meiner Meinung nach am besten (und genauesten) über die WhoIs Server der Internet Registries.
Mein Tip: RIPE - auch weitergehende Info möglich.
Oder wer's einfach mag: Schwarzl Internet Tool
Das einfache eintippen der IP-Adresse im Browser ist natürlich auch möglich.

Oft findet man dort allerdings nur heraus das die IP-Adresse aus einem Adressbereich eines Internetproviders kommt, in seltenen Fällen ist eine IP-Adresse einer Firma/Verein usw. zugeordnet.

Im Fall von Code Red und Konsorten ist das Ganze vielleicht auch gar nicht Absicht - vielen wissen gar nicht, dass ihr Rechner befallen ist und versucht den Virus/Wurm weiter zu verbreiten.

In einigen Fällen könnte auch ein Router falsch konfiguriert sein und Pakete falsch weiterleiten.

E.S.

E.S. · 19.09.2001, 20:40

Ein richtiger Portscan müsste eigentlich einen gesamten Portbereich abscannen. Bei diesen Versuchen auf Port 80 handelt es sich wohl um Versuche von Code Red, Code Blue und Konsorten einen Webserver zum Infizieren zu finden. Die können ziemlich lästig sein!

Zu einer IP-Adresse den Besitzer zu finden geht meiner Meinung nach am besten (und genauesten) über die WhoIs Server der Internet Registries.
Mein Tip: RIPE - auch weitergehende Info möglich.
Oder wer's einfach mag: Schwarzl Internet Tool
Das einfache eintippen der IP-Adresse im Browser ist natürlich auch möglich.

Oft findet man dort allerdings nur heraus das die IP-Adresse aus einem Adressbereich eines Internetproviders kommt, in seltenen Fällen ist eine IP-Adresse einer Firma/Verein usw. zugeordnet.

Im Fall von Code Red und Konsorten ist das Ganze vielleicht auch gar nicht Absicht - vielen wissen gar nicht, dass ihr Rechner befallen ist und versucht den Virus/Wurm weiter zu verbreiten.

In einigen Fällen könnte auch ein Router falsch konfiguriert sein und Pakete falsch weiterleiten.

E.S.

MANX · 19.09.2001, 21:15

Hi E.S!

Wie Du wahrscheinlich gelesen hast, handelte es sich um Zugiffe von Webservern auf diverse Ports und das Schauspiel war nach ca. 2 Stunden wieder vorbei.

Von Zugriffen auf port 80 red' ich gar nicht.

Wednesday, September 19, 2001 21:04:59 - Unrecognized access from 62.46.226.36:1316 to TCP port 80
Wednesday, September 19, 2001 21:05:02 - Unrecognized access from 62.46.226.36:1316 to TCP port 80
Wednesday, September 19, 2001 21:05:08 - Unrecognized access from 62.46.226.36:1316 to TCP port 80
Wednesday, September 19, 2001 21:05:32 - Unrecognized access from 62.46.226.36:2090 to TCP port 80
Wednesday, September 19, 2001 21:05:35 - Unrecognized access from 62.46.226.36:2090 to TCP port 80
Wednesday, September 19, 2001 21:05:41 - Unrecognized access from 62.46.226.36:2090 to TCP port 80

... und so gehts den ganzen Tag

Grüße

Manx

PS: nochmal Thx @all

g17 · 19.09.2001, 21:17

Code Red kann es nicht sein. Denn dann wären die Scans genau umgekeht, nicht

80 --> = Webserver antwortet ( so wie hier)

sondern

--> 80 = Sucht Webserver (Code Red)

g17

So gehts mir schon das 3. mal immer zu langsam

17.09.2001, 16:33	#12
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	@toolman: danke für die url. ____________________________________ Greetings LouCypher

17.09.2001, 18:21	#14
martens Bundeseigentum Registriert seit: 26.07.2001 Ort: Mitteleuropa Alter: 56 Beiträge: 886 Mein Computer	zu 192.216.249.138 Solucian Networking, L.L.C. (NETBLK-SOLUCIAN-249-04) 7451 East Ponderosa Circle Parker, CO 80138-8624 US Netname: SOLUCIAN-249-04 Netblock: 192.216.249.0 - 192.216.249.255 Coordinator: Towt, Howard (HT420-ARIN) htowt@SOLUCIAN.COM Solucian Networking, L.L.C. Solucian Networking, L.L.C. 7451 East Ponderosa Circle Parker, CO 80138-8624 (303) 520-0868 (FAX) (303) 840-3508 keiner aus ZA sondern US. zu 192.96.79.239 Tool & Die Manufacturing (NET-TDM) Tool & Die Manufacturing P. O. Box 26267 Isipingo Beach Durban 4115 ZA Netname: TDM Netblock: 192.96.79.0 - 192.96.79.255 Coordinator: Kent-Brown, Russell (RK68-ARIN) [No mailbox] 27 31 902-3330 die domain obesa wird offensichtlich verwaltet von 5a. Tec Contact: MacMillan, Michael 5b. Tec Title: Technical Manager 5c. Tec Company: EastCapeNET 5d. Tec Postal: 11 Hampton Road, Mill Park, Port Elizabeth, 5e. Tec Phone: +27 41 333442 5f. Tec Fax: +27 41 333441 5g. Tec E-Mail: michael@eastcape.net 5h. Tec Nic: 6a. Prim NS FQDN: ntsrv.eastcape.net 6b. Prim NS IP: 192.96.79.3 6e. Sec NS1 FQDN: ntsrv2.eastcape.net 6f. Sec NS1 IP: 192.96.79.4 hier kannst mal über die mail addy nach einem technischen defekt fragen ____________________________________ Ich wollte mich mit Dir geistig duellieren, stelle aber fest, dass Du unbewaffnet bist...

17.09.2001, 16:04	#11
g17 Elite Registriert seit: 13.07.2001 Beiträge: 1.339	__________________________________________________ _____ Yep! Irgenwem in SA is furchbar fad __________________________________________________ ______ Das glaube ich gar nicht. Für mich schaut das nach einem kaputten Router,Dns-Server, whatever aus. Oder es ist jemand mit einer gespooften IP unterwegs.Denn normalerweise: Request --> Webserver Ports 1024-5000 -> Port 80 Antwort Port 80 -> an anfragenden Port Hier antwortet der Webserver ohne das eine Anfrage gestellt wurde. Alle Ports im normalen Bereich. WS Ping Pack Pro ist gut kostet aber Geld. Sam Spade kann mind. das gleiche ist Freeware. http://samspade.org/ssw/dl.html Just my 0.02$ g17

17.09.2001, 16:51	#13
MANX Inventar Registriert seit: 27.02.2001 Beiträge: 1.967	Thx @all! insbesondere an g17 super link! Danke Manx

19.09.2001, 20:34	#15
E.S. Jr. Member Registriert seit: 18.09.2001 Beiträge: 24	Ein richtiger Portscan müsste eigentlich einen gesamten Portbereich abscannen. Bei diesen Versuchen auf Port 80 handelt es sich wohl um Versuche von Code Red, Code Blue und Konsorten einen Webserver zum Infizieren zu finden. Die können ziemlich lästig sein! Zu einer IP-Adresse den Besitzer zu finden geht meiner Meinung nach am besten (und genauesten) über die WhoIs Server der Internet Registries. Mein Tip: RIPE - auch weitergehende Info möglich. Oder wer's einfach mag: Schwarzl Internet Tool Das einfache eintippen der IP-Adresse im Browser ist natürlich auch möglich. Oft findet man dort allerdings nur heraus das die IP-Adresse aus einem Adressbereich eines Internetproviders kommt, in seltenen Fällen ist eine IP-Adresse einer Firma/Verein usw. zugeordnet. Im Fall von Code Red und Konsorten ist das Ganze vielleicht auch gar nicht Absicht - vielen wissen gar nicht, dass ihr Rechner befallen ist und versucht den Virus/Wurm weiter zu verbreiten. In einigen Fällen könnte auch ein Router falsch konfiguriert sein und Pakete falsch weiterleiten. E.S.

19.09.2001, 20:40	#16
E.S. Jr. Member Registriert seit: 18.09.2001 Beiträge: 24	Ein richtiger Portscan müsste eigentlich einen gesamten Portbereich abscannen. Bei diesen Versuchen auf Port 80 handelt es sich wohl um Versuche von Code Red, Code Blue und Konsorten einen Webserver zum Infizieren zu finden. Die können ziemlich lästig sein! Zu einer IP-Adresse den Besitzer zu finden geht meiner Meinung nach am besten (und genauesten) über die WhoIs Server der Internet Registries. Mein Tip: RIPE - auch weitergehende Info möglich. Oder wer's einfach mag: Schwarzl Internet Tool Das einfache eintippen der IP-Adresse im Browser ist natürlich auch möglich. Oft findet man dort allerdings nur heraus das die IP-Adresse aus einem Adressbereich eines Internetproviders kommt, in seltenen Fällen ist eine IP-Adresse einer Firma/Verein usw. zugeordnet. Im Fall von Code Red und Konsorten ist das Ganze vielleicht auch gar nicht Absicht - vielen wissen gar nicht, dass ihr Rechner befallen ist und versucht den Virus/Wurm weiter zu verbreiten. In einigen Fällen könnte auch ein Router falsch konfiguriert sein und Pakete falsch weiterleiten. E.S.

19.09.2001, 21:15	#17
MANX Inventar Registriert seit: 27.02.2001 Beiträge: 1.967	Hi E.S! Wie Du wahrscheinlich gelesen hast, handelte es sich um Zugiffe von Webservern auf diverse Ports und das Schauspiel war nach ca. 2 Stunden wieder vorbei. Von Zugriffen auf port 80 red' ich gar nicht. Wednesday, September 19, 2001 21:04:59 - Unrecognized access from 62.46.226.36:1316 to TCP port 80 Wednesday, September 19, 2001 21:05:02 - Unrecognized access from 62.46.226.36:1316 to TCP port 80 Wednesday, September 19, 2001 21:05:08 - Unrecognized access from 62.46.226.36:1316 to TCP port 80 Wednesday, September 19, 2001 21:05:32 - Unrecognized access from 62.46.226.36:2090 to TCP port 80 Wednesday, September 19, 2001 21:05:35 - Unrecognized access from 62.46.226.36:2090 to TCP port 80 Wednesday, September 19, 2001 21:05:41 - Unrecognized access from 62.46.226.36:2090 to TCP port 80 ... und so gehts den ganzen Tag Grüße Manx PS: nochmal Thx @all

19.09.2001, 21:17	#18
g17 Elite Registriert seit: 13.07.2001 Beiträge: 1.339	Code Red kann es nicht sein. Denn dann wären die Scans genau umgekeht, nicht 80 --> = Webserver antwortet ( so wie hier) sondern --> 80 = Sucht Webserver (Code Red) g17 So gehts mir schon das 3. mal immer zu langsam

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)