[blue32]

Hi und hallo,

hier eine Sache, die ich schon länger beobachte, aber nicht weiß was da passiert.

Bin in einem Uninetzwerk und habe den freien avast!-Scanner installiert. Ab und zu meldet sich der Netzwerkscanner von avast!, dass ein unerlaubter Netzwerkzugriff stattfindet (genau: LSASS Exploit (SXP)), der geblockt wird. Es ist immer die gleiche IP. Ich mach also die Konsole auf und ein net session liefert mir die entsprechende IP, aber noch keinen Benutzernamen, so dass sich der (ich nenn ihn mal) Angreifer zumindest nicht bei meinen Dateifreigaben angemeldet hat. Sollte auch nicht sein, da ich darauf Benutzername und PW abfrage, die diese IP eigentlich nicht wissen sollte

Weiterhin liefert mir ein netstat:
Protokoll: TCP
Lokale Adresse: %meinRechner%:microsoft-ds
Remoteadresse: %Angreiferrechner%:2735
Status: FIN_WARTEN_2

Mehr Information konnte ich der Konsole nicht entlocken.

Meine Frage nun:
Was macht der Angreifer da? Ist sein Rechner ein Zombie-PC und er weiß nichts davon oder lässt er nmap oder ähnliches laufen?

Vielleicht hat jemand eine Antwort. Danke schonmal

Gruß,
blue32

Dieser Beitrag wurde von blue32 bearbeitet: 27. September 2005 - 17:10

[blue32]

-- war OT --

Dieser Beitrag wurde von blue32 bearbeitet: 27. September 2005 - 18:00

[Rika]

Zitat

Ist sein Rechner ein Zombie-PC und er weiß nichts davon oder lässt er nmap oder ähnliches laufen?

Mal ganz davon abgesehen, daß die Bezeichnung als "Zombie-PC" total kaputt ist, ist sowas heutzutage absolut nichts ungewöhnliches. Kriegt man täglich von Hunderten von Rechner, lohnt sich gar nicht, da überall den Providern Abuse-Meldungen zu schicken. Schalte die Meldungen einfach ab, zumal die sowieso sinnnfrei sind.

Dieser Beitrag wurde von Rika bearbeitet: 27. September 2005 - 17:58

[blue32]

Ja, gut und schön.

Dass mein Rechner dadurch (noch) nicht übernommen ist, weiß ich. Soll heißen Sorgen mach ich mir deswegen nicht wirklich.

Wollte wissen, was der Typ da macht.

Mit Zombie-PC meinte ich, dass er vielleicht von Würmern befallen ist und es nicht weiß und die Malware jetzt versucht andere Systeme "anzufallen".

[blue32]

*push*

Hat niemand eine Idee?

[puppet]

Na um zu sehen was der machst musst du nur mal Ethereal laufen lassen!
Ist die Quelladresse denn eine Adresse aus dem eigenen LAN?
Vielleicht spielt ja auch nur jemand mit Nessus oder GFI LanGuard rum, wobei Sasser o.ä. sicher auch in Frage käme. Wäre ja auch nichts neues das irgendwelche Leute soetwas in Netzwerke mit rein schleppen.

[blue32]

Ja, Quelladresse ist aus dem eigenen LAN.

Ethereal ...gute Idee, werde ich probieren.

Danke,
blue32

[Shamall]

LSASS Exploit = SASSER

[sic05]

bei mir wird im task manager auch eine ISSAS datei angezeigt. Ist das jetzt der Sasser Wurm ? oder ist LSSAS der Sasser Wurm ?

[Urne]

Zitat

bei mir wird im task manager auch eine ISSAS datei angezeigt. Ist das jetzt der Sasser Wurm ? oder ist LSSAS der Sasser Wurm ?

Wohl nicht.->Klick

[puppet]

Naja wenn dort wirklich LSSAS steht und nicht LSASS dann hast du wohl ein mittleres Problem

[sic05]

OK, dann is jo alles in ordnung java script:emoticon('', 'smid_21')
smilie

[cyberfrosch]

Hi, lade dir Tcpview runter, damit kannst Du alle Verbindungen sehen was woher und wohin! Echtzeit bei einem Wurm wirst Du es sehr schnell erkennen!