Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Moin,

meine Firewall zeigt mir gerade die gante Zeit an, das TFTP eine Verbindung zu einem anderen Host herstellen will... Einfach so...

Was kann das sein? Und dann auch noch hier hin:

inetnum: 62.248.128.0 - 62.248.230.255

netname: FI-KOLUMBUS-NET

descr: Elisa Internet Ltd

country: FI

admin-c: KH-RIPE

tech-c: KH-RIPE

status: ASSIGNED PA

remarks: INFRA-AW

mnt-by: ELISA-MNT

mnt-lower: ELISA-MNT

changed: hostmaster@kolumbus.fi 20010529

changed: hostmaster@kolumbus.fi 20020418

source: RIPE

Geschrieben
Original geschrieben von FunkyBeat

Die komplette Firewall-Meldung würd ich gerne mal sehen.

... und was das für eine Firewall ist.

Mir ist nämlich nicht ganz klar, ob es sich um ein Programm mit dem Namen "TFTP" handelt oder um den Dienst (der IMHO normalerweise auf einem Windows-Client nicht vorhanden bzw. aktiviert ist!

GG

Geschrieben
Original geschrieben von R8DER

Tftp is aufm WinNT SP6 vorhanden , überträgt Dateien zu und von einem Remote Computer, der den Tftp Dienst ausführt.

Ich hab' mich schlau gemacht:

Scheint wohl auf jedem Windows-Rechner ab WinNT (und nicht erst ab SP6) drauf zu sein. Mir ist zwar noch nicht klar, warum das TFTP bei microdommi aktiviert ist/ wird - aber es scheint nicht ungewöhnlich zu sein. Und so lange es ZoneAlarm abfängt kann ja auf keinen Fall was passieren.

Hast Du irgendwelche Software von der Firma, der der Zielrechner gehört?

Seit wann tritt dieses Phenomen auf?

GG

Geschrieben
Original geschrieben von TschiTschi

Hast Du irgendwelche Software von der Firma, der der Zielrechner gehört?

Seit wann tritt dieses Phenomen auf?

GG

Hallo TschiTschi....

also alles hat so angefangen...

Hatte eine Private Message hier auf dem Board bekommen...

Weshalb auch immer fragt der jenige mich was der Unterschied zwischen FISI und Kaufmann ist.... Er wäre neu im Buisness...

Das kam mir ein wenig seltsam vor... warum die Frage an mich ging...

Ich habe in seinen Mail Header geschaut... (Die Mail kam über AOL!) Und schau da : Er nutzt Sendmail auf einer SuSE 7.2 Distribution... (Seltsam?! Neu im Buisness!? Und dann einen Linux Rechner, wo sogar das Mailing klappt?!)

Na ja... nichts desto trotz habe ich dann zu meinem NAI zusätlich den ZoneAlarm installiert.... (Erzähle ich gleich weiter!)

Und schau da... ich bekomme wieder eine Mail über AOL! Aber diesesmal hat sich der ganze Header geändert! Und er nutzt jetzt auf einmal die AOL Software mit IExplorer.... (Habe aber die Mails nicht mehr, falls du es wissen willst!)

Dann dachte ich wieder seltsam...

So wieder zurück zum ZoneAlarm... Der meldete mir nach diesen Mails ständig Anfragen auf Port: 21, 80, 23, 25 ... sprich da hat wohl jemand versucht rauf zu kommen....

Ich habe natürlich mal bisschen rumspioniert... die IP-Adressen waren alle PPP Einwahladressen....

Und was mir jetzt noch einfällt: Diese Mails kamen alle nachdem wir hier auf dem Board über Virus in E-Mails diskutiert hatten....

Aber im Moment ist es wieder ruhig geworden....

Außer dieses TFTP... So habe kein Programm was mit dem Provider oder so in Verbindung gebracht werden könnte...

Habe heute mal auf der Arbeit geschaut... da habe ich auf keinem Rechner TFTP....? Aber das kann auch daher kommen das wir angepasste Images nutzen....

Ich vermute das ich mir irgendeinen Worm eingefangen habe...

Aber NAI meldet nix....

Na ja.... was kann es sonst sein...?

Geschrieben

Hast Du 'mal nach tftp.exe in Deiner registry gesucht - ob die irgendwo automatisch gestartet wird? Falls ja, kannst Du den Eintrga 'mal löschen.

Ansonsten benennst Du einfach die tftp.exe um (oder löschst sie - im Zweifelsfall!)!

GG

  • 2 Wochen später...
Geschrieben

Ich habe das nicht rauslesen können:

Welches Win benutzt Du jetzt? NT?

Läuft auf dem Rechner zufällig ein Webserver oder sowas?

tftp ist ein ganz einfacher ftp client, der sollte sich eigentlich nirgendwohin einwählen oder versuchen ne Verbindung aufzunehmen.

Im Betrieb hat uns mal ein Sicherheitsunternehmen gezeigt wie einfach man eine NT Server knacken kann und volle Rootrechte bekommt. Da hat tftp auch eine Rolle gespielt, das ist auf jeden Fall ein Sicherheitsloch.

Ich will den Teufel nicht an die Wand malen, aber wenn das ein NT Rechner mit einem Webserver bzw. Information Server ( oder so ähnlich) ist, hat jm. versucht den zu hacken.

Ich habe einen Linux Webserver und bei mit wird das, ohne das meine ip bekannt ist, bzw. ohne das ich Inhalte auf der Seite habe, monatlich ca 20 mal versucht.

Da scheint es schon automatische tools für zu geben, die ganze Netzbereiche abscannen.

Auf jeden Fall mußt du die aktuellsten Patches und Updates einspielen, mit irgendeinem wird dieser Fehler behoben. Und tftp, wie empfohlen, zumindestens umbennen.

Homeworld

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...