Forsøk på hacking? Scanning av maskinen?

H

holte

Medlem
Fant ikke noe post for dette så jeg prøver meg her.

jeg fikk nylig problemer med en annen datamaskin og da jeg sjekket loggen på brannmuren kom dette frem. XX i parantes er en IP adresse, en meget interessant en.

Har noen peiling på dette? Og hvorfor kommer dette frem uten at jeg har endret noe? IDS is turn off - operation GAME mode

2012/08/18 12:30:09 detected scan packet: 4102; packet recv TCP 109.205.184.65:80 -> 2.150.140.31:4102 (40) [ RST ACK ]
2012/08/18 12:36:31 detected scan packet: 4846; packet recv TCP 109.205.186.65:80 -> 2.150.140.31:4846 (40) [ RST ACK ]
2012/08/18 12:55:41 IDS is turn off - operation GAME mode
2012/08/18 14:05:40 IDS is turn off - operation GAME mode
2012/08/18 14:12:04 IDS is turn off - operation GAME mode
-------------------------------------------------------------------------------
Init log session

2012/08/18 16:55:59 attack detection: enabled
2012/08/18 16:55:59 IDS level: Low Security
2012/08/18 16:59:03 IDS is turn off - operation GAME mode
2012/08/18 17:02:26 IDS is turn off - operation GAME mode
2012/08/18 17:03:22 IDS is turn off - operation GAME mode
2012/08/18 17:06:22 IDS is turn off - operation GAME mode
2012/08/18 17:15:59 IDS is turn off - operation GAME mode
2012/08/18 17:29:09 detected scan packet: 1891; packet recv TCP 109.205.186.65:80 -> 2.150.76.221:1891 (40) [ RST ACK ]
2012/08/18 17:31:21 detected scan packet: 2247; packet recv TCP 199.59.149.235:80 -> 2.150.76.221:2247 (40) [ RST ACK ]

2012/08/16 07:40:28 detected scan packet: 4045; packet recv TCP 89.151.66.198:80 -> 46.67.123.186:4045 (40) [ RST ACK ]
2012/08/16 08:11:31 detected scan packet: 1176; packet recv TCP 109.205.186.65:80 -> 109.179.143.12:1176 (40) [ RST ACK ]
2012/08/16 08:19:33 detected scan packet: 1707; packet recv TCP 195.88.55.59:80 -> 109.179.143.12:1707 (40) [ RST ACK ]
2012/08/16 08:19:40 detected scan packet: 1723; packet recv TCP 195.88.55.72:80 -> 109.179.143.12:1723 (40) [ RST ACK ]
2012/08/16 08:21:38 detected port scanning: 1723, 1716, 1713, 1719, 1715, 1718, 1747, 1749, 1750, 1748; packet recv TCP (xxx.xx.xx.xx:xx) -> 109.179.143.12:1761 (40) [ RST ACK ]
2012/08/16 08:21:38 Attack SCAN (47878, 46086, 45318, 46854, 45830, 46598, 54022, 54534, 54790, 54278) detected from (xxx.xx.xx.xx) {host blocked for 5 min} [00000170]
2012/08/16 08:21:38 Show PROTECT alert sound: E:\PROGRA~1\Agnitum\OUTPOS~1\warning.wav
2012/08/16 08:26:33 [~] deinit data...
2012/08/16 08:26:33 intruder( xxx.xx.xx.xx) unblocked [00000170]
2012/08/16 08:26:34 [~] deinit...
-------------------------------------------------------------------------------

xx er ipn, og det er mulig dette er helt normalt da jeg er helt grønn på slikt.

Tips mottas med stor takk:)
 
kek91

kek91

Webutvikler
Det ser ut som at noen prøver å scanne PC/brannmuren din for åpne porter. Hvis "hackeren" finner en åpen port så kan han bruke verktøy for å finne ut hvilken tjeneste som kjører der, og forhåpentligvis så finner han ut hvilken versjon tjenesten kjører.
Deretter sjekker han exploit databaser på internett for å finne mulige sikkerhetshull på den spesfikke tjenesten med det versjonsnummeret.

Det er vanlig at "script kiddies" gjør dette for å leke og teste. Veldig ofte bruker de scanneprogrammet "nmap" som er utrolig genialt (i riktige hender), den scanner og rapporterer hvilke åpne porter som er i bruk.

Hvordan type brannmur er det snakk om? Og er det noe server du snakker om, eller er det en helt vanlig privat PC som du fant dette på tilfeldigvis?

Kanskje jeg tyder loggen feil, men hvis det bare er en vanlig port scan, og du vet at du ikke kjører noen spesielle tjenester (med fri tilgang til internett), så er det nok ikke noe å bry seg om.
 
H

holte

Medlem
Hei og takk for svar kek91

Jeg brukte Outpost firewall på privat maskin. Da jeg skulle logge inn på en av mine sider fikk jeg "Intruder" varsel

2012/08/16 08:21:38 detected port scanning: 1723, 1716, 1713, 1719, 1715, 1718, 1747, 1749, 1750, 1748; packet recv TCP (xxx.xx.xx.xx:xx) -> 109.179.143.12:1761 (40) [ RST ACK ]
2012/08/16 08:21:38 Attack SCAN (47878, 46086, 45318, 46854, 45830, 46598, 54022, 54534, 54790, 54278) detected from (xxx.xx.xx.xx) {host blocked for 5 min} [00000170]
2012/08/16 08:21:38 Show PROTECT alert sound: E:\PROGRA~1\Agnitum\OUTPOS~1\warning.wav
2012/08/16 08:26:33 [~] deinit data...
2012/08/16 08:26:33 intruder( xxx.xx.xx.xx) unblocked [00000170]
2012/08/16 08:26:34 [~] deinit...
----------------------------------
IP adressen markert med XXX tilhører et større avishus i Norge. Jeg har også opplevd en del trojanere i det siste, men finner ikke den infoen akkurat nå. som du ser på den nederste så så det ut som om den slapp igjennom. Jeg har skiftet brannmur, men hvis dette er et hacker angrep, så har jeg ei høne å plukke...

Jeg forstår heller ikke dette; IDS is turn off - operation GAME mode.. jeg har ikke slått av noe, og gamer aldri
 
Sist redigert:
H

holte

Medlem
Nytt tilfelle

Jeg har nettopp installert xp på en ny maskin og kun hentet oppdateringer, var ikke inne på nett en gang. Jeg hadde innstallert antivirus, og brannmur, kjører en virustest og dette skjer...

E:/pagefile.sys Alvorlighetsgrad Høy Trussel: Win32:FakeVimes-B (Trj)

Jeg prøver å flytte filen til kiste/karantene slik at jeg kan sjekke den, men etter lang tid får jeg beskjed om at filen er for stor for disken... med 40GB free space?

Jeg har i de siste to tre uker oppdaget det samme på en annen maskin. Tre stk varsler, men alle heter forskjellig

nå kjørte jeg et antivirusprogram på en tredje maskin og fikk nesten samme varsel, men denne gang heter den

E:/pagefile.sys Trussel: Suela – 1042

Og for ordens skyld. Jeg driver ikke med noe ulovlig, besøker aldri porn etc. Tvert i mot har jeg en stor interesse for sannhet
 
H

holte

Medlem
En nettside til jeg har, gwh.no, ble plutselig nedrent av dette.. på tross av Akismet og Si chapta. Dette er jo svar som tilhører facebook profiler og har ingenting med min side, men det kan jo hende at noen vil sabotere den.

Hvis disse linkene spammer forumet her så gjerne slett dem, men jeg føler meg litt hjelpesløs.. anyone???

Forfatter
Kommentar Som svar til


Heityrar
cheap-lebron-james-shoes.com/ x
Swortaft@aol.com
222.187.222.104
Sendt 13/09, 2012 kl. 10:15 pm
check lebron james shoes cheap FmdXbYzp cheap-lebron-james-shoes.com
- Jordvarme er ei kjend energikjelde
0 Vis side


MooleCem
cheap-lebron-james-shoes.com/ x
abravign@aol.com
222.187.222.104
Sendt 12/09, 2012 kl. 3:29 pm
get cheap lebron james shoes 9 zCpLlMbN cheap-lebron-james-shoes.com
Klima
0 Vis side


Sendt 08/09, 2012 kl. 1:22 am
Jeg har siden jeg begynte e5 bruke Internett ennagg pe5 midten av nittitallet sett pe5 Internett som en forlenget arm av media generelt og utnyttet derfor de muligheter den gir til e5 delta aktivt i samfunnsdebatten, pe5 lik linje da jeg ff8r den tid deltok i samfunnsdebatten via aviser og lignende, og senere ogse5 har hatt mulighet til e5 bruke radio, video med mer. Det har ve6rt den viktigste grunnen til at jeg har sett store fordeler med Internett. Av den grunn at du fritt kan gi uttrykk for dine meninger, uten tungvindt redaksjonell vurdering. Samtidig som du mer eller mindre pe5 direkten kan fe5 tilbakemeldinger pe5 det du me5tte gi uttrykk for. Det er jo et valg en gjf8r og det var et valg jeg gjorde mange, mange e5r ff8r det var noe som het Internett, tidlig i min ungdom. Kan hende det skyltes at jeg drev med interesser som tvang meg til e5 drive med publisering, da som tegner og illustratf8r, en form for formidling pe5 lik linje med andre som driver med formidling av musikk, litteratur, teater, film og offentlig informasjon via, radio og tv, trykksaker med mer. Har jo jobbet i ne6r tilknytning til aviser, i forlag og i ne6rradio. Pe5 den annen side se5 har du alle de som ikke av den grunn deltar i sosiale grupperinger pe5 Internett, som aldri eller skjeldent har hatt noe spesiell tilknytning til bruk av de nevne virkemidlene for e5 ne5 ut, ja, sogar ikke har hatt behov eller interesse for det. Ikke ff8r de oppdaget en del sosiale grupper som var fristende og pe5 den me5ten valgte en aktiv deltakelse, som regel da i dekke av e5 ha et nick, et pseudonym, noe som jo enda i dag er veldig utbredt, spesielt pe5 Internett. Nick har jeg aldri ve6rt se6rlig tilhenger av, ne5r en skal delta pe5 Internett, det er i visse situasjoner det kan ve6re pe5krevet, spesielt ne5r du skal bevege deg innpe5 helt personlige ting, dypet av ditt privatliv, som er kjent kun for de fe5, men i en generell samfunnsdebatt er det liten grunn for det. Ne5 er det nok slik at mange i altfor stor grad, ikke har se6rlig grenser for sitt eget privatliv, spesielt i sosiale mediaer som facebook, og blander kortene i altfor stor grad, uten tanke for ff8lgende. Det er jo ogse5 klart at det ligger en fare i dette med at det fra myndighetenes side kan misbrukes, all den informasjon en legger ut via nettsamfunn og pe5 andre me5ter. Det kan ligge en agenda bak som ff8rer oss bak lyset og vi ser jo at det er fullt ut mulig og blir brukt. Vi har jo i veldig stor grad knyttet til oss teknologi som gjf8r dette i stor grad mulig e5 ff8lge med hver enkelt bevegelse vi gjf8r, via mobiltelefon, kortbruk og pe5 andre me5ter, er vi registert eller registeres i tillegg til at vi er knyttet opp mot Internett pe5 en eller annen me5te. Se5 totalt sett har vi gjort ve5re valg, som gjf8r oss veldig se5rbare, om noen skal titte oss i kortene. Ff8r Internett og de mulighetene den gir oss, se5 var det de som aktivt holdt pe5 i den offentlige debatt, gjennom trykte mediaer, radio og tv, som var utsatt, men ogse5 de som ble mistenkeliggjort og av den grunn overve5ket, se5 langt som det var mulig. Det var likevel ikke noe som enhver borger opplevde, og ff8lte det som en trussel, her i landet, selv om mange med e5rene oppdaget at de var blitt overve5ket som ff8lge av den fremmedfrykten var se5 dominerende fra f8st. Media
0 Vis side


Anne
facebook.com/profile.php?id=100003406596496 x
dep.comercial@seu-dominio.com
130.207.124.50
Sendt 06/09, 2012 kl. 7:32 pm
Sv: Tusen takk, det hjelper ailtld med oppmuntrende kommentarer, uansett hvordan det ge5r ! Det med skjf8nnskrift som fag hadde kanskje ikke ve6rt se5 dumt. Hvis vi hadde hatt det, hadde jeg sikkert klaget og sagt at det var unf8dvendig, men ne5 skulle jeg gjerne likt e5 skrive like fint som de andre i klassen. Lykke til med e5 prf8ve e5 slutte ! Tror de fleste vet at det ikke er lett, se5 ingen df8mmer deg (jeg gjf8r i hvertfall ikke det, kan selvff8lgelig ikke snakke for alle da ) hvis du ikke fe5r det til ! Villa Alstrup eksporterer energi til andre
0 Vis innlegg
 
Sist redigert av en moderator:
H

holte

Medlem
Tonny Kluften skrev:
Det der er spam som legges inn som kommentarer på blogger. Et program samler sammen bloggkommentarer fra nettet og poster dem så som kommentarer på diverse blogger.
Se også https://www.webforumet.no/forum/blo...fra-andre-blogger-dukker-opp-p-min-blogg.html
Klikk for å utvide...

Takker for det Tonny. skulle egentlig ikke lagt inn den siste da den tok bort fokuset fra det viktigste, men det forundrer meg at man får det til når jeg bruker både akismet og si capta.

Dette skulle jeg funnet ut mer av. Mulig Geek buddy kan hjelpe?

Jeg brukte Outpost firewall på privat maskin. Da jeg skulle logge inn på en av mine sider fikk jeg "Intruder" varsel fra ip skjult med xxx.xx.xx.xx. Jeg vil ikke vise den for hvis dette er hackerforsøk så har jeg en kjempesak:)

2012/08/16 08:21:38 detected port scanning: 1723, 1716, 1713, 1719, 1715, 1718, 1747, 1749, 1750, 1748; packet recv TCP (xxx.xx.xx.xx:xx) -> 109.179.143.12:1761 (40) [ RST ACK ]
2012/08/16 08:21:38 Attack SCAN (47878, 46086, 45318, 46854, 45830, 46598, 54022, 54534, 54790, 54278) detected from (xxx.xx.xx.xx) {host blocked for 5 min} [00000170]
2012/08/16 08:21:38 Show PROTECT alert sound: E:\PROGRA~1\Agnitum\OUTPOS~1\warning.wav
2012/08/16 08:26:33 [~] deinit data...
2012/08/16 08:26:33 intruder( xxx.xx.xx.xx) unblocked [00000170]
2012/08/16 08:26:34 [~] deinit...
----------------------------------
IP adressen markert med XXX tilhører et større avishus i Norge.

Jeg forstår heller ikke dette; IDS is turn off - operation GAME mode.. jeg har ikke slått av noe, og gamer aldri, men dette at denne er slått av dukker opp fk\lere plasser, og så er den på igjen
 
H

holte

Medlem
hansson skrev:
Ta kontakt med avishuset. De har ofte flinke nett/datafolk på jobb som sikkert kunne tenke seg å finne ut hvem som bruker ip-en deres...
Klikk for å utvide...

Takk for svar Hansson, men siden det er snakk om er opprettet på et subdomene og inneholder litt spesiell informasjon. Jeg misstenker at det er avishuset selv som er interessert, og det er ikke bare News of The World som holder på slik. Dette synes å være en utbredt ukultur.

- NRK avlyttet kommisjonen
I 53 minutter overhørte noen hos NRK diskusjonen i Den rettsmedisinske kommisjon. - Saken er under etterforskning, opplyste kommisjonsleder
- NRK avlyttet kommisjonen | ABC Nyheter
 
Du må logge inn eller registrere deg for å svare her.
Topp