Auf den Beitrag: (ID: 521053) sind "19" Antworten eingegangen (Gelesen: 1134 Mal).
"Autor"

Hackerangriff

Nutzer: Gast_Zabia
Status: Profiuser
Post schicken
Registriert seit: 20.06.2002
Anzahl Nachrichten: 5679

geschrieben am: 09.06.2002    um 14:27 Uhr   
Kann mir jemand sagen, was es bedeutet, wenn in MSDOS
bei netstat -n

ich die Meldung bekomme:

Zustand:
Established
Time_wait
SYN_DAT
????


Und vor allem, wie ich SYN_DAT den Saft entziehe?

  Top
"Autor"  
Nutzer: MondesNacht
Status: Profiuser
Post schicken
Registriert seit: 07.07.2001
Anzahl Nachrichten: 596

geschrieben am: 09.06.2002    um 22:06 Uhr   
Established....Eine Verbindung zu nem anderen Rechner besteht.
Time_wait.....In der Verbindung werden keine Daten mehr gesendet.
..................Wird aber noch gehalten, falls noch was kommt.
..................Diese Zeit bis zum ganz Ausschalten kann man auch einstellen.
SYN_DAT......????
..................Könnte mir vorstellen, dass ne Verbindung gerade aufgebaut wird.

R.
Geändert am 09.06.2002 um 22:08 Uhr von MondesNacht

Geändert am 09.06.2002 um 22:08 Uhr von MondesNacht

Geändert am 09.06.2002 um 22:09 Uhr von MondesNacht
  Top
"Autor"  
Nutzer: alina
Status: Profiuser
Post schicken
Registriert seit: 01.01.2000
Anzahl Nachrichten: 591

geschrieben am: 09.06.2002    um 22:30 Uhr   
[i]über SYN_DAT habe ich nur das gefunden:
Specifies the input file name tag. The default is syn_dat, but it can be modified to any value in the filename convention file. A full name convention can be specified as well.

hab's übersetzen lassen :(weiß nicht ob's sinngemäß ist)
Spezifiziert den Eingangsdateinameumbau. Die Rückstellung ist syn_dat , aber sie kann zu jedem möglichem Wert in der Dateinameversammlungakte geändert werden. Eine Versammlung des vollen Namens kann außerdem spezifiziert werden.
  Top
"Autor"  
Nutzer: MondesNacht
Status: Profiuser
Post schicken
Registriert seit: 07.07.2001
Anzahl Nachrichten: 596

geschrieben am: 09.06.2002    um 23:10 Uhr   
Übrigens: "netstat -a" (anstatt "netstat -n") gibt die ip-adressen als hostnamen aufgelöst, soweit möglich. dann steht da z.B. "chatfun.de" anstatt "212.227.192.24". dann sollte hoffentlich klarer sein, wohin die verbindungen gehen.

Die Beschreibung für SYN_DAT, die alina gefunden hat, ist wohl Teil einer Programmiersprache, also also wohl nicht wirklich für dein Problem zu gebrauchen.
Geändert am 09.06.2002 um 23:13 Uhr von MondesNacht
  Top
"Autor"  
Nutzer: alina
Status: Profiuser
Post schicken
Registriert seit: 01.01.2000
Anzahl Nachrichten: 591

geschrieben am: 10.06.2002    um 08:07 Uhr   
[i] ups,naja dachte könnte hilfreich sein
  Top
"Autor"  
Nutzer: Doggy
Status: Profiuser
Post schicken
Registriert seit: 01.01.2000
Anzahl Nachrichten: 157

geschrieben am: 10.06.2002    um 08:36 Uhr   
huhuhu zabia

Süsse ist ja richtig Stress hier
ax habe den anderen Beitrag gelesen wenn du die Ip des servers hast dann Finde raus wehm er gehärt Otelo,Arcor,Telekom usw das geht mit NeoTrace ganz Gut und bekommst auch gleich den Standort den Servers und wenn du Glück hast under Geosat ist über Deutschland Sogar schöne Fotos des Standortes mit Strasse usw.

Daher besorge es dir mal und was der Sicherheit entspricht its die Norton Firewall nicht die besste würde dir ne raten diese Firewalls iimmer zusammen laufen zu lassen 1 ESafe Desktop Firewall (Im Menu eintellung für Hacker Words, 2 Norton Firewall (Maximale Sicherheit), 3 ZoneAlarm (Maximale Sicherheit ist etwas nervend der Meldungen wegen),
4 BlackIce (Maximale Sicherheit), 5 MacAffe Firewall oder wie das Ding heist (Maximale Sicherheit) und folgende ports über wachen 21 FTP,3360 Mysql in Jedem Win ist der offen.

Das war es erstmal was ich dazu sagen kann.

Mfg Doggy
  Top
"Autor"  
Nutzer: Gast_Zabia
Status: Profiuser
Post schicken
Registriert seit: 20.06.2002
Anzahl Nachrichten: 5679

geschrieben am: 10.06.2002    um 20:39 Uhr   
Nicht SYN_DAT sondern SYN_SENT!
Sorry, aber ich bin solche Datenklaus nicht gewöhnt.

Ich fahre WinNT, da will Norton 1000.- $ für die SIcherheit!

Ich hab was gefunden in der Registry.

In Classes Root gibts einen Eintrag, der mit $$$ beginnt. AUto_file steht auch dabei. Dann kommt man in viele Ordner, bis zum Schluß command.

Dort verweist er auf die Notepad.exe und Zahl und %. Kann grad ne thin, weil ich die Registry kopiere.

Ich vermute, da hat er mir ein Kuckucksei gelegt.

Mein Rechner stellt nämlich neuerdings immer meine Festplatten frei. Nach jedem Start.

Momentan bin ich clean.

Ich vermute deshalb, weil ich meinen Provider verständigt hatte. Und der mithorchte. Wenn die Provider alle als letzte bestimmte Nummern benutzen, dann hat er wahrscheinlich gemerkt, daß es 13 geschlagen hat.

Nebenbei. Heut hab ich Anzeige erstattet, obwohl die armen Polizisten gar nicht wissen, was verbrochen wurde.

netstat -r gibt auch interessantes. Dann bekomm ich auch z.B. www.winfiles.com

netstat -s sagt mir, daß Daten im Hundertbytebereich downgeloadet wurden, und im Hunderttausenderbytebereich upgeloadet. Er meldet dann sogar wieviele Dateien, Versuche, und sonst noch alles mögliche.

Ich hab gerade Interessantes in der Registry gefunden. Controlsets, autofile.
Da soll sich die Kripo drum kümmern.















  Top
"Autor"  
Nutzer: MondesNacht
Status: Profiuser
Post schicken
Registriert seit: 07.07.2001
Anzahl Nachrichten: 596

geschrieben am: 11.06.2002    um 01:01 Uhr   
Das unter HKEY_Classes_Root sind die Einträge für die Dateiendung.

datei.$$$ wird jetzt immer mit Notepad, also dem Editor geöffnet. Und das %1 ist der Parameter. %1 bedeutet die aktuelle Datei. Also wird bei einem Klick auf datei.$$$ diese als Parameter an Notepad übergeben.
  Top
"Autor"  
Nutzer: Wuslona
Status: Profiuser
Post schicken
Registriert seit: 31.08.2002
Anzahl Nachrichten: 80

geschrieben am: 12.06.2002    um 03:30 Uhr   
Das müsste es sein (kopiert):

W32/YAWsetup
Dieser Wurm erreicht als eine gefälschte Newsletterausgabe von www.trojaner-info.de und hat folgendes Aussehen:

Absender: [email protected]
Betreff: Trojaner-Info Newsletter 19.02.2002
Inhalt:

Hallo !

Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de.

Hier die Themen im Ueberblick:

1. YAW 2.0 - Unser Dialerwarner in neuer Version

************************************

1. YAW 2.0 - Unser Dialerwarner in neuer Version
Viele haben ihn und viele moegen ihn - unseren Dialerwarner YAW. YAW ist nun in einer brandneuen und stark erweiterten Version verfuegbar. Alle unsere Newsletterleser bekommen ihn kostenlos zusammen mit diesem Newsletter. Also einfach die angehaengte Datei starten und YAW 2.0 installieren. Bei Fragen steht Ihnen der Programmierer des bislang einzigartigen Programmes Andreas Haak unter [email protected] zur Verfügung. Viel Spaß mit YAW!

<Link

************************************

Das war die heutige Ausgabe mit den aktuellsten Trojaner-Info News. Wir bedanken uns fuer eure Aufmerksamkeit und wuenschen allen Lesern noch eine angenehme Woche.

Mit freundlichem Gruss

Thomas Tietz & Andreas Ebert

<Link

************************************

Anzahl der Subscriber: 5.966
Durchschnittliche Besuchzahl/Tag: 4.488
Diese Mail ist kein Spam ! Diesen Newsletter hast du erhalten, da du in unserer Verteilerliste aufgenommen wurdest. Solltest du unseren Newsletter nicht selber abonniert haben, sondern eine andere Person ohne dein Wissen, kannst du diesen auf unseren Seiten wieder abbestellen. Oder sende uns einfach eine entsprechende E-Mail.

************************************

Dateianhang: yawsetup.exe



Nachdem der Dateianhang ausgeführt wurde kopiert sich der Wurm unter einem zufällig gewählten Dateinamen nach in das Windows Verzeichnis. Damit der Wurm bei jedem Systemstart geladen wird erstellt er auch folgenden Eintrag in der Registry:

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce]
"<Zufallsname>"=""C:WINDOWS<Zufallsname>""

Außerdem benennt der Wurm die Datei Notepad.exe welche im Windows Verzeichnis zu finden ist in Notedpad.exe um. Anschließend ersetzt es die Notepad.exe durch eine Kopie seiner selbst.

Der Wurm fängt nun an, die Festplatte nach Dateien mit folgenden Erweiterungen abzusuchen: *.htm; *.php; *.cgi; *.pl; *.shtm. Aus diesen Dateien entnimmt er Emailadressen.

Danach verschickt sich der Wurm an alle gefundenen Adressen und zusätzlich an alle Einträge im Microsoft Outlook Adressbuch.

Weiter Infos finden Sie direkt auf der Webseite von www.trojaner-info.de


Ende des Kopierten.

Fazit: Du müsstest das Ding noch auf dem System haben. Entferne ihm aber sei vorsichtig, da das System alle Exen momentan über den Trojaner startet, kannst du ihn nicht entfernen, ohne das vorher in der Registry zu ändern, sonst starten keine Exen mehr.

W.
  Top
"Autor"  
Nutzer: MondesNacht
Status: Profiuser
Post schicken
Registriert seit: 07.07.2001
Anzahl Nachrichten: 596

geschrieben am: 12.06.2002    um 12:02 Uhr   
Aber das was Zabia beschrieben hat, muss nicht zwangsweise dieser Virus sein.

Aber wie auch immer: Viel Erfolg beim Entviren.
  Top
"Autor"  
Nutzer: Gast_Zabia
Status: Profiuser
Post schicken
Registriert seit: 20.06.2002
Anzahl Nachrichten: 5679

geschrieben am: 15.06.2002    um 08:49 Uhr   
Danke für Unterstützung.

Hab plattgemacht und neues Betriebssystem draufgemacht.

Bin noch beim Aktualisieren des Systems.

  Top
"Autor"  
Nutzer: Doggy
Status: Profiuser
Post schicken
Registriert seit: 01.01.2000
Anzahl Nachrichten: 157

geschrieben am: 15.06.2002    um 12:03 Uhr   
(zitat)Danke für Unterstützung.

Hab plattgemacht und neues Betriebssystem draufgemacht.

Bin noch beim Aktualisieren des Systems.

(/zitat)

huhuhu Zabi

lass den Kopf net hängen ich hab auch öfters jemanden der es schaft mal ne wall zu überlisten aber mann kann die Bugs beheben in dem man sich die logs ansieht und schwups ist der bug weg bzw Port oder anderes.

Mfg Doggy
  Top
"Autor"  
Nutzer: Gast_Zabia
Status: Profiuser
Post schicken
Registriert seit: 20.06.2002
Anzahl Nachrichten: 5679

geschrieben am: 15.06.2002    um 23:22 Uhr   
Huhuu Doggy!

Anscheinend bin ich zu doof die Ports zu schliessen.

Aber ich hab was anderes drauf, da seh ich, wer ncoh dranhängt.
  Top
"Autor"  
Nutzer: Gast_voxi
Status: Profiuser
Post schicken
Registriert seit: 16.12.2003
Anzahl Nachrichten: 2

geschrieben am: 18.06.2002    um 10:38 Uhr   
aus deiner steckdose du sackgesicht!!!!!!!!!
  Top
"Autor"  
Nutzer: Gast_Zabia
Status: Profiuser
Post schicken
Registriert seit: 20.06.2002
Anzahl Nachrichten: 5679

geschrieben am: 25.06.2002    um 00:24 Uhr   
Tja_

kann mir wer sagen, was "ephemer" ist?

Und wie ich das stoppen kann?

Ich vermute, da laufen Programme im Hintergrund. Und die aktualisieren sich über
127.0.0.0

Ich hab Win2000. Aber er macht das sicher bei WinNt auch.

Ich blockierre services.exe über die Firewall. Die mführt das aber trotzdem aus. Ich blockiere die 2x, die führt das 2x aus.

Dafür hat die firewall immer 2 Ausnahmefehler. Und tut was sie will. Blockiert mich, wie sie will, und lässt den tun, was er will.

Weiß da jemand Rat?




  Top
"Autor"  
Nutzer: flyover
Status: Profiuser
Post schicken
Registriert seit: 18.07.2001
Anzahl Nachrichten: 763

geschrieben am: 25.06.2002    um 00:33 Uhr   
.
Geändert am 25.06.2002 um 00:34 Uhr von flyover
  Top
"Autor"  
Nutzer: Wuslona
Status: Profiuser
Post schicken
Registriert seit: 31.08.2002
Anzahl Nachrichten: 80

geschrieben am: 25.06.2002    um 07:40 Uhr   
1. Services.exe gehört zu Windows. Es handelt sich um den Service Controller (steuert die Dienste). Der ist für alles mögliche zuständig ... Eine normale Firewall lässt natürlich Zugriffe der Services.exe über Localhost (also dein eigener Rechner) zu. Ganz natürlich greift diese Exe auf den Rechner zu ... dazu ist sie da.

2. 127.0.0.0 ist das Loopback-Netzwerk und gehört auch zu dir. Nennt sich auch Localhost. Gehört auch zu Win (und auch zu jedem anderen Betriebssystem mit TCP/IP).

3. Ephemer bedeutet: 1. kurzlebig, flüchtig, rasch vorübergehend, vergänglich 2. (biol.) nur einen Tag dauernd, eintägig. Irgendwas kurzes also.
Ein Virus/Trojaner mit diesem Namen ist mir nicht bekannt. Ist auch eigentlich nur ein Eigenschaftswort.

Also ... keine Paranoia bitte! Es ist nichts ungewöhnliches, gefährliches in deiner Beschreibung ... bis auf ie Frage, wie du auf das Wort "ephemer" gekommen bist.

W.
  Top
"Autor"  
Nutzer: Gast_Zabia
Status: Profiuser
Post schicken
Registriert seit: 20.06.2002
Anzahl Nachrichten: 5679

geschrieben am: 25.06.2002    um 19:19 Uhr   
Die service.exe macht Datenverkehr, zeigt die Firewall an. Obwohl ich diese exe blockiert hatte.
Ich denke, z.B. wenn meine Emails abgefragt werden, dann arbeitet die.

Nun ist es ja so, daß McAfee zeigt, die ist blockiert. Trotzdem sendet die.

Ich bin verzweifelt auf der Suche, wie und warum und wann "der" unbekannte auf meinen Rechner zugreift. Sicher ist, er/sie tuts. Trotz neuinstallierter Firewall, die nur Ausnahmefehler zeigt.



  Top
"Autor"  
Nutzer: Gast_Zabia
Status: Profiuser
Post schicken
Registriert seit: 20.06.2002
Anzahl Nachrichten: 5679

geschrieben am: 25.06.2002    um 19:28 Uhr   
Eigenartigerweise sagt mir die Systemsteuerung. daß ich Firewall und Virenscanner nur selten verwende, letztes Mal, vor 3 Tagen. Obwohl ichs permanent glaube laufen zu haben. Jedenfalls sagt mir die Taskleiste das.
  Top
"Autor"  
Nutzer: MondesNacht
Status: Profiuser
Post schicken
Registriert seit: 07.07.2001
Anzahl Nachrichten: 596

geschrieben am: 08.09.2002    um 12:27 Uhr   
Späte Antwort, aber ich hab den Beitrag gerade zufällig gefunden.

Wahrscheinlich ist das das Konfigurationstool, dass du selten benutzt.

Da sind doch bestimmt einige .exe-Dateien in dem Firewall-Verzeichnis vorhanden. Denke mir, dass Windows eine davon überwacht.

Sie wird sicherlich laufen
  Top