Jemand / Etwas Attackiert Mein Router! Hilfe!
#1
geschrieben 16. Juli 2005 - 17:58
also ich habe ein großes problem: Mir wurde am montag T-DSL 6000 aktiviert und seitdem trennt sich meine inet verbindung in unregelmäßigen zeitabschnitten!
hab nen wlan router T-Sinus 130DSL...die Technik Hotline von der Tcom hat mir gesagt , dass ich mal in die log des routers schauen soll und mal nach dem wort Flood suchen...also hab ich das gemacht und da stand **SYN Flood to Host**.........etc.
der typ am telefon hat gemeint das wäre ein virus oder wurm bzw. jemand greift mein internet an und ich sollte ma nach viren etc. checken
hatte keine, forsichtshalber hab ich formatiert und jett ist das problem immernoch da!
ausser das mit dem Flood gibt es noch:
-**IP Zero Length**
-Duplicate user login
-**UDP Loop**
Bitte helft mir!
mfg,
noob2profi
Anzeige
#2
geschrieben 16. Juli 2005 - 18:00
Hast du eine fixe IP?
Dieser Beitrag wurde von Graumagier bearbeitet: 16. Juli 2005 - 18:15
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#3 _Breaker_
geschrieben 16. Juli 2005 - 18:00
Inet Verbindung Trennt Sich
Ihr scheint nicht zu verstehen, was ein Forum ist. Wenn also schnelle Antworten gewünscht werden dürft ihr gerne eine Hotline anrufen, die hilft euch dann sofort!
Dieser Beitrag wurde von Breaker bearbeitet: 16. Juli 2005 - 18:03
#4
geschrieben 16. Juli 2005 - 18:02
echt sry
ps: Hab ne feste IP
Dieser Beitrag wurde von noob2profi bearbeitet: 16. Juli 2005 - 18:03
#5 _Breaker_
geschrieben 16. Juli 2005 - 18:04
#6
geschrieben 16. Juli 2005 - 18:04
Dieser Beitrag wurde von Graumagier bearbeitet: 16. Juli 2005 - 18:15
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#7
geschrieben 16. Juli 2005 - 18:06
die IP vom SYN Flood hab ich grad leider nicht , weil ich mein router neugestartet habe und da wird ne neue log erstellt
ps: hab das ma eingestellt das meine ip automatisch bezogen wird
Dieser Beitrag wurde von noob2profi bearbeitet: 16. Juli 2005 - 18:09
#8
geschrieben 16. Juli 2005 - 18:09
whois.arin.net sagte:
Adresse: whois.arin.net
Suchergebnis:
OrgName: ThePlanet.com Internet Services, Inc.
OrgID: TPCM
Address: 1333 North Stemmons Freeway
Address: Suite 110
City: Dallas
StateProv: TX
PostalCode: 75207
Country: US
ReferralServer: rwhois://rwhois.theplanet.com:4321
NetRange: 70.84.0.0 - 70.87.127.255
CIDR: 70.84.0.0/15, 70.86.0.0/16, 70.87.0.0/17
NetName: NETBLK-THEPLANET-BLK-13
NetHandle: NET-70-84-0-0-1
Parent: NET-70-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.THEPLANET.COM
NameServer: NS2.THEPLANET.COM
Comment:
RegDate: 2004-07-29
Updated: 2005-03-24
TechHandle: PP46-ARIN
TechName: Pathos, Peter
TechPhone: +1-214-782-7800
TechEmail: [email protected]
OrgAbuseHandle: ABUSE271-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-214-782-7802
OrgAbuseEmail: [email protected]
OrgNOCHandle: TECHN33-ARIN
OrgNOCName: Technical Support
OrgNOCPhone: +1-214-782-7800
OrgNOCEmail: [email protected]
OrgTechHandle: TECHN33-ARIN
OrgTechName: Technical Support
OrgTechPhone: +1-214-782-7800
OrgTechEmail: [email protected]
# ARIN WHOIS database, last updated 2005-07-15 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.
noob2profi sagte:
Ähm ich meinte im Internet, nicht im LAN.
Dieser Beitrag wurde von Graumagier bearbeitet: 16. Juli 2005 - 18:10
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#9
geschrieben 16. Juli 2005 - 18:11
und warum sollte mich diese firma angreifen?
und meine ip adresse wird automatisch bezogen..mein standartgateway ist halt immer der selbe
Dieser Beitrag wurde von noob2profi bearbeitet: 16. Juli 2005 - 18:12
#10
geschrieben 16. Juli 2005 - 18:18
Auf die SYN-Anfrage deines PCs erfolgt jedoch keine Antwort --> Der Server ist vmtl. nicht erreichbar (zumindest auf dem entsprechenden Port) normalerweise sollte dann der PC aufhören, verbinden zu wollen, und nicht noch weitere SYN-Pakete schicken.
Lass also doch besser mal Hijackthis durchlaufen
Und sorry dass ich da was verwechselt habe
Dieser Beitrag wurde von Graumagier bearbeitet: 16. Juli 2005 - 18:33
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#11
geschrieben 16. Juli 2005 - 18:25
aber hier ma trotzdem meine hijackthis log:
Logfile of HijackThis v1.99.1 Scan saved at 19:24:16, on 16.07.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\MessengerPlus! 3\MsgPlus.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\System32\svchost.exe C:\Programme\mIRC\mirc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\noob2pro\Desktop\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{C4285E5B-8377-47DC-A892-102CC05BC222}: NameServer = 192.168.2.1,0.0.0.0 O21 - SSODL: IconPackager Repair - {1799460C-0BC8-4865-B9DF-4A36CD703FF0} - C:\Programme\IconPackager\iprepair.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
#12
geschrieben 16. Juli 2005 - 18:33
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#14
geschrieben 16. Juli 2005 - 19:31
Zitat
Zitat
Scan saved at 19:24:16, on 16.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Tja ich sage nur, du kannst grade noch mal Formatieren
Mit SP1 würde ich mich nicht mehr ins Netz Trauen!
#15
geschrieben 16. Juli 2005 - 19:44
2. Die Verbindung geht vermutlich flöten, weil dein Router so etwas überhaupt erst beachtet. Also schalte es ab.
3. Diese Firma ist, sowohl am Namen als auch an den /15 bis /17-Netranges auch eindeutig zu erkennen, ein Internet-Provider. Dort stecken zigtausende User, die alles mögliche machen. Kannst ja 'ne Abuse-Message schicken, aber mit der Zeit wird dir das ganz schnell zu blöd.
4. Ein falsch konfigurierter Router kann ein unbeabsichtigtes Fehlverhalten nur noch mehr provozieren.
5. Natürlich kannst du dir was eingefangen haben. Du hast nachwievor noch SP1, und dazu sicherheitstechnisch stark anfällige Software wie MSN Messenger und mIRC. Wenn du dich damit ins Netz verbindest, darfst du mit allem rechnen.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)