hommling Geschrieben 31. Oktober 2003 Geschrieben 31. Oktober 2003 Hi! War soeben bei einem Kunden, der sich beklagte, dass seine Internet-Anbindung nicht funktionieren würde. Ich also hin, um nach dem Ganzen zu sehen. Dabei stellte ich fest, dass die ISDN-Wählverbindung, die genutzt wird, einwandfrei funktionierte. Vom Server aus kam ich ins Netz. Aber nicht von den Clients. Also habe ich einfach mal den Firewall-Dienst neugestartet. Danach konnten alle Clients wieder arbeiten. Nachdem ich anschließend einen TCPDUMP gestartet hatte, um mir die Pakete mal ein wenig genauer anzusehen, fiel mir auf, dass der DNS-Name eines Clients, nennen wir ihn mal "clientXY.unternehmen." auf einmal um das Suffix ".pvuniwien" ergänzt war. Das kam mir dann mehr als komisch vor. Ich fragte den Kunden, ob er irgendwelchen regen Kontakt zu Diensten der Universität Wien hat, was er verneinte. Ich würde Euch an dieser Stelle ja liebend gern den TCPDUMP in geschwärzter Version zur verfügung stellen, aber leider ist beim Transport die Diskette fratze gegangen. Die Frage, die sich mir jetzt stellt, ist die: Ist es möglich, dass sich ein Angreifer Zugriff auf das Kunden-Netz verschafft hat? Gruß Hommling
sYnTaxx Geschrieben 3. November 2003 Geschrieben 3. November 2003 Original geschrieben von hommling Ist es möglich, dass sich ein Angreifer Zugriff auf das Kunden-Netz verschafft hat? hm diese frage ist mit einem ganz klaren JA! zu beantworten Aber diese Frage ist sowas von total allgemein das man auch nur JA sagen kann Sobald der Rechner an ein Netzwerk angebunden ist muss man auf diese Frage mit JA antworten. Nichts ist 100% sicher außer Strom aus Was ich aber nicht verstehe ist was der Mister möglicher Eindringling davon hat dies zu tun? :confused:
sonderzeichen Geschrieben 8. November 2003 Geschrieben 8. November 2003 http://www.inktank.com/ATpage.cfm?toon=01-07-02 ;-)
Craig Geschrieben 18. November 2004 Geschrieben 18. November 2004 Der Link geht nicht. Registered Ports: pvuniwien 1081/tcp PVUNIWIEN pvuniwien 1081/udp PVUNIWIEN http://www26.tok2.com/home/sasbeach/1024-49151.htm http://www.admins-tipps.net/glossar/portnummern_tcp_1000-2000.htm http://www.manpage.ch/faq/ports_rp.html Da hat nur jemand auf port 1081 zugegriffen, tcpdump zeigt (je nachdem, wie man startet) die namen der ports direkt nach dem hostnamen an und nicht die Ports selbst. Kein Grund zur Sorge!
hades Geschrieben 18. November 2004 Geschrieben 18. November 2004 Aehm ... Craig. Schau bitte demnaechst auf das Datum des letzten Postings. Dieses Thema hat sich anscheinend erledigt, da sich der Threadstarter sich bereits ueber einem Jahr nicht mehr zu diesem Thema aeusserte. ~~~closed~~~
Empfohlene Beiträge