IP Finden?

[michi_pc]

Hi ihr,

bin ganz neu hier, und habe gleich eine Frage. Ähm.... wie die Frage es schon sagt, wie kann ich denn eine IP zurück verfolgen, die andauernt auf meinen PC zugreifen will! Ich habe zwar die IP (80.34.34.101) dieser will immer auf meinen PC!

Nun, die Festplatte ratter immer ganz spontan, und die LED leucht und hört nicht mehr auf. Wir vermuten, das unser PC als Server benutzt wird, um daten an andere zu senden. Aber wie kann ich herraus finden, wer das ist?
Könnt ihr mir helfen? Wäre echt Toll

Bis dann

ps. sorry wenn dass, das falsch Forum ist! ^^

 

[Dario Linsky]

An welchem Port will die IP denn auf Deinen Rechner. Evtl. solltest Du den anderen Rechner dann einfach mit einer Firewall aussperren.
Zurückverfolgen kannst Du die IP mit traceroute.

 

[Cestna]

Hi,

1. Frage, wieviel Upspeed hast du.
2. Frage, wie groß iss deine größte HD (freier speicher)..

Wenn du viel upspeed hast, ich sage mal mindestens 30-60kb/s, ist es möglich, dass aus deinem PC ein "Stro" gebastlet wurde.

Such mal auf deinem PC nach:

"servu", "serv-u", "iroffer", "svchost" <-- an ungeöhlichen Orten, nehmen Hacker oft, damit es nicht auffällt (standard: system32).

Wenn du damit nix findest weis ich auch net weiter, kannst mir ja mal deine IP geben, dann schau ich mal ob es ne möglichkeit gibt dareinzukommen, wenn ja sag ich dir was du schließen musst, aber am einfachsten währe sicher die firewall.

 

[michi_pc]

an den Genauen Port kann ich mich nicht erinnern. Ich weiß nur, das meine Firewall alle 3sek eine Warnung gab! *hilfe* Ich habe Norten Antivirus 2002!

Danke für eure Hilfe! Ähm... die IP ist 80.34.34.101. sagt mir Norten immer! Aber die ändert sich ja immer wieder

Danke für die Suchbegriffe! Werde gleich mal Suchen! Wäre toll, wenn ihr was in erfahrungen bringen könntet, wegen der obigen genannten IP!

an alle

 

[JohannesR]

Hmm, der Host der IP 80.34.34.101 ist 101.Red-80-34-34.pooles.rima-tde.net.

nmap sagt:

[jr@jr:~]$ nmap 80.34.34.101

Starting nmap 3.48 ( http://www.insecure.org/nmap/ ) at 2003-11-02 18:12 CET
Interesting ports on 101.Red-80-34-34.pooles.rima-tde.net (80.34.34.101):
(The 1655 ports scanned but not shown below are in state: closed)
PORT    STATE SERVICE
135/tcp open  msrpc
139/tcp open  netbios-ssn

traceroute sagt:

[jr@jr:~]$ traceroute 80.34.34.101
traceroute to 80.34.34.101 (80.34.34.101), 30 hops max, 38 byte packets
 1  <piep> (<piep>)  21.052 ms  20.077 ms  25.702 ms
 2  eth1.router1.bitel.net (212.100.40.46)  26.857 ms  23.196 ms  24.227 ms
 3  fe3-20.switch0.bicos.net (212.100.36.250)  21.609 ms  20.819 ms  21.600 ms
 4  bb-gw.bicos.net (212.100.32.85)  23.865 ms  25.572 ms  21.487 ms
 5  BICOS.DO-1-eth000-111.de.lambdanet.net (217.71.104.53)  24.729 ms  26.340 ms  24.938 ms
 6  D-2-pos030-0.de.lambdanet.net (217.71.105.57)  25.477 ms  24.585 ms  25.963 ms
 7  F-4-eth300-0.de.lambdanet.net (217.71.105.82)  28.493 ms  28.582 ms  30.238 ms
 8  F-8-eth030-0.de.lambdanet.net (217.71.105.42)  29.711 ms  29.358 ms  29.209 ms
 9  ge9-0-grtfraix1.ri.telefonica-data.net (80.81.192.2)  29.976 ms  30.535 ms  29.723 ms
10  So5-0-1-grtpargc1.ri.telefonica-data.net (213.140.36.50)  59.770 ms  61.212 ms  58.343 ms
11  So5-0-0-0-grtmadpe1.ri.telefonica-data.net (213.140.43.10)  79.877 ms  77.974 ms  81.983 ms
12  TDE-4-1-0-grtmadpe1.ri.telefonica-data.net (213.140.50.146)  77.960 ms  79.708 ms  77.595 ms
13  81.Red-80-58-83.pooles.rima-tde.net (80.58.83.81)  81.265 ms  78.223 ms  81.465 ms
14  1.Red-80-58-74.pooles.rima-tde.net (80.58.74.1)  115.482 ms  116.592 ms  115.358 ms
15  * * *
16  134.Red-80-58-78.pooles.rima-tde.net (80.58.78.134)  400.620 ms  688.882 ms  116.713 ms
17  13.Red-80-58-20.pooles.rima-tde.net (80.58.20.13)  104.101 ms  104.216 ms  109.995 ms
18  101.Red-80-34-34.pooles.rima-tde.net (80.34.34.101)  164.087 ms  165.981 ms  162.862 ms

Auf welchem Port greift die IP dich denn an?

 

[michi_pc]

Ich hatte auch verschiende anhaltspunkte, mit der Selben IP! Er sagt, der Angreifer kommt aus Spanien! Komisch oder

Aber was meint ihr mit Ports? Könnt ihr mir das erklären

 

[JohannesR]

Verschiedene Dienste haben verschiedene Ports... FTP laeuft standartmaessig z.B. auf 20 und 21, SSH auf 22, Telnet auf 23, SMTP auf 25, HTTP auf 80 und mySQL auf 3306. Welches Tool zeigt dir denn die IP an? Normal sollte es auch den Port anzeigen (Format: <hostname/ip>:<port>)

 

[michi_pc]

Hier ich zeige euch das mal! ^^

 

[Fabian H]

Ich weiss nicht, ob es dir hilft, aber du könntest mal nach allen Dateien auf deiner Festplate suchen und diese dan nach Datum sortieren.
Vielleicht fallen dir da verdächtige Sachen auf.

Ps: Der Port ist auf deinen Screenshots leider nicht zu sehen

//Edit: Und nochmal die Frage: Mit welcher Anbindung bist du im Internet und wie lang (also 24/7 oder nur ab und zu)?

 

[lohokla]

Es wäre schon hilfreich ein Port und Protokoll zu wissen. Nimm dazu am besten mal TCPview, sobald du wieder eine Verbindung mit ihm hast oder wenn du vermutest, dass grad bei dir ein Server am laufen ist brauchst du es nur zu starten und du siehst alle Verbindungen mit IP/Port/Programm/Localport.
Aber eigentlich glaube ich nicht, dass es ein "gefährlicher Angreifer" ist. Das Problem, der PFirewalls ist, dass sie nicht gut von böse unterscheiden können und somit alles was in den Filterregeln nicht definiert wurde als Angriff ansehen. Ausserdem, wenn wirklich bei dir ein Server läuft, sollte deine PFW den "outgoing Traffic" erkennen.