Der Übeltäter sitzt im Telekom Netz (z.B. bei T-Online).
Du kannst Dich an T-Online wenden (z.B. an [email protected] ) mit dem obigen Auszug des Logfiles und um Aufklärung bitten. Du wirst als Antwort erhalten, daß man sich um das Problem kümmern werde. Wunder darfst Du nicht erwarten
Siehe zu diesem Thema auch:
Posting von A.Preusser vom 23.09. in diesem Brett
Gamz abgesehen davon herauszufinden, WER sich da gerade versucht, in Deinen Rechner reinzuhacken.
Hast Du mal gecheckt, ob jemand Dir den SubSeven (Trojanisches Pferd) geschickt hat? Die Meldung deutet unmißverständlich darauf hin, daß der Hacker zumindest versucht, über die Backdoor von Subseven auf Deinen Rechner zu gelangen. Das macht er wohl nicht ohne Grund, oder? *s*
Besorg Dir mal einen guten Virenchecker, die neuen finden diesen Virus.
SubSeven hat ein paar nette Features, falls bei Dir demnächst mal plötzlich ohne Grund das CD-Laufwerk auf und zu geht oder der Bildschirm plötzlich Kopf steht, dann weißt Du, daß Du ihn auf dem Rechner hast …
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
ist aus diesem folgendem Protokoll eine
Adresse herauszulesen. so daß man den
„Hacker“ verweisen kann
[04.11.99 22:32…
hallo karsten,
hab mir diese frage auch gestellt und von freunden erfahren, daß hacker auf der suche nach interessanten opfern das netz abscannen und dann unter den gescannten ip´s, die gerade online sind, die heraussuchen, die interessant erscheinen. wird deine ip gescannt, meldet lockdown den hackangriff, aber das heißt noch nicht, daß sich der hacker gerade bei dir umsehen möchte. übrigens kann man mit einer option von lockdown auch herausfinden, welchen server der hacker benutzt und welche personen für diesen server verantwortlich sind um sich dann dort zu beschweren. ich glaube es ist das 2. datenblatt von links. dort gibt man auf der rechten seite die beiden letzten adressteile der letztgenannten serveradresse (also in deinem fall t-ipconnect.de) ein. lockdown macht dann eine who-is-abfrage bei internic. ich habe allerdings die erfahrung gemacht daß das mit .de-adressen nicht funktioniert. man kann auch andere whois-server einstellen, aber bei mir hats noch nicht geklappt. den server eines hackers aus london habe ich bereits erfolgreich indentifiziert.
da wirst du wohl nur mit richterlicher genehmigung den namen des anwenders herausbekommen.
sieh einfach in dem programm „systeminformationen“ in zubehör (falls installiert) nach, welche aktiven prozesse du hast. ist ein eintrag in der liste vorhanden, der keine versionsnummer hat, keinen hersteller, eben nix ausser dem programmnamen, wie alle anderen prozesse, so ist das der sub seven server (aber achtung omnipage z.b. hat auch keine angaben, ausser herstellername caere).
hast du den programmnamen starte den ms-dos modus, geh ins windows verzeichnis und mache
"del ". dann kannst du wieder ins windows und der sub seven ist entfernt. die dlls sind zwar noch da, stören aber nicht weiter und du hast dein system nicht zerschosse. von anderer methode-virenscanner oder deinstall mittels subseven client kann ich nur dringendst abraten, da es dir passieren kann, dass run.exe in der registry als …siehe posting über subseven wo anders…
also gut lösch.
grüsse.
p.s. wenn du im inet bist und im msdos fenster ab und an „tracert -a“ machst dann kommen die aktiven verbindungen. wenn dort in der mittleren spalte eine verbindung mit einer portnummer „ortnummer“ höher 1024 aufscheint sollten die alarmglocken läuten (oder du hast irgendein chat modul laufen oder sonstn scheiss)
ortnummer“ höher 1024 aufscheint sollten die alarmglocken läuten (oder du hast irgendein chat modul laufen oder sonstn scheiss)