hier eine Sache, die ich schon länger beobachte, aber nicht weiß was da passiert.
Bin in einem Uninetzwerk und habe den freien avast!-Scanner installiert. Ab und zu meldet sich der Netzwerkscanner von avast!, dass ein unerlaubter Netzwerkzugriff stattfindet (genau: LSASS Exploit (SXP)), der geblockt wird. Es ist immer die gleiche IP. Ich mach also die Konsole auf und ein net session liefert mir die entsprechende IP, aber noch keinen Benutzernamen, so dass sich der (ich nenn ihn mal) Angreifer zumindest nicht bei meinen Dateifreigaben angemeldet hat. Sollte auch nicht sein, da ich darauf Benutzername und PW abfrage, die diese IP eigentlich nicht wissen sollte
Weiterhin liefert mir ein netstat:
Protokoll: TCP
Lokale Adresse: %meinRechner%:microsoft-ds
Remoteadresse: %Angreiferrechner%:2735
Status: FIN_WARTEN_2
Mehr Information konnte ich der Konsole nicht entlocken.
Meine Frage nun:
Was macht der Angreifer da? Ist sein Rechner ein Zombie-PC und er weiß nichts davon oder lässt er nmap oder ähnliches laufen?
Vielleicht hat jemand eine Antwort. Danke schonmal
Gruß,
blue32
Dieser Beitrag wurde von blue32 bearbeitet: 27. September 2005 - 17:10