Archief
- De topics van lang geleden
sokets de trois v1
16-05-2004, 17:52 door Anoniem, 36 reacties
Sinds een paar dagen meldt mijn Norton firewall mij erg vaak dat er een
aanval van deze trojan is geblokkeerd (vandaag alweer 16 keer in een uurtje
of 3). Allemaal met ip-adres begin 82.74.xxx.xxx. Op verschillende forums heb
ik er al wat over gelezen en dat meer mensen er last van schijnen te hebben.
Het zal allemaal vast wel goed gaan zolang Norton ze onderschept maar was
toch wel benieuwd wat er nou eigenlijk aan de gang is.
Wordt ik nou echt steeds gescant door verschillende hackertjes die deze
trojan gebruiken (lijkt me wel erg toevallig), of wat is er aan de hand?
Iemand die iets meer weet van deze trojan?
aanval van deze trojan is geblokkeerd (vandaag alweer 16 keer in een uurtje
of 3). Allemaal met ip-adres begin 82.74.xxx.xxx. Op verschillende forums heb
ik er al wat over gelezen en dat meer mensen er last van schijnen te hebben.
Het zal allemaal vast wel goed gaan zolang Norton ze onderschept maar was
toch wel benieuwd wat er nou eigenlijk aan de gang is.
Wordt ik nou echt steeds gescant door verschillende hackertjes die deze
trojan gebruiken (lijkt me wel erg toevallig), of wat is er aan de hand?
Iemand die iets meer weet van deze trojan?
Reacties (36)
op welke poorten proberen ze dat ? zulke info is wel belangrijk om te
vermelden.
meeste van die scans zijn automatisch, ze sweepen hele netblocks af om te
kijken of iemand een trojan of een lek heeft en die te abusen indien mogelijk.
kan ook zijn dat het een worm is, wat overigens ook automatisch is. de 82/8
range zit vol met grote dsl/kabel blokken (82.72.0.0 - 82.75.255.255 is van
@home) en een hoop van die thuisgebruikers zijn geinfecteerd.
niets om je direct zorgen over te maken, het hoort tegenwoordig bij
het "internet ruis".
vermelden.
meeste van die scans zijn automatisch, ze sweepen hele netblocks af om te
kijken of iemand een trojan of een lek heeft en die te abusen indien mogelijk.
kan ook zijn dat het een worm is, wat overigens ook automatisch is. de 82/8
range zit vol met grote dsl/kabel blokken (82.72.0.0 - 82.75.255.255 is van
@home) en een hoop van die thuisgebruikers zijn geinfecteerd.
niets om je direct zorgen over te maken, het hoort tegenwoordig bij
het "internet ruis".
16-05-2004, 18:37 door
[Account Verwijderd]
[Verwijderd]
16-05-2004, 20:47 door
capricornus
Internet ruis, kan je daar naar luisteren, misschien zit er iets vrolijks in.
Alle gekheid op een stoke, ik heb vandaag met Stealther een goed werk
gedaan, lekker ouderwets, een inellectueel die een ander intellectueel op
een forum eens zijn waarheid wou zeggen maar geblockd was, en die heb ik
kunnen helpen met de goede raad van hier. Nog een gouden Tulip. XXX.
Alle gekheid op een stoke, ik heb vandaag met Stealther een goed werk
gedaan, lekker ouderwets, een inellectueel die een ander intellectueel op
een forum eens zijn waarheid wou zeggen maar geblockd was, en die heb ik
kunnen helpen met de goede raad van hier. Nog een gouden Tulip. XXX.
Bij mij is het steeds poort 5000 inderdaad. Volgens andere forums kan deze
trojan ook via poort 5001.
Blijf het toch vreemd vinden; zit vandaag al op 63 inbraakpogingen van deze
trojan van allemaal verschillende ip...
trojan ook via poort 5001.
Blijf het toch vreemd vinden; zit vandaag al op 63 inbraakpogingen van deze
trojan van allemaal verschillende ip...
Firewall geeft het in ieder geval aan als inbraakpoging,
recente inbraakpogingen: 66
recente aanvalspogingen: 56
recente inbraakpogingen: 66
recente aanvalspogingen: 56
Heb op een ander forum daar ook al een vraag over gesteld. Mij is de
toename van scans op poort 5000 ook al opgevallen. Sinds afgelopen
zondag van 20 naar 600 probes per dag. Allemaal uit dezelfde IP blocks als
waar de firewall op zit (heb er meerdere onder beheer).
Ik vermoed dat er iets gaande is. Denk niet dat dit valt in het rijtje "Welkom op
het internet, leer ermee leven, zijn normale poortscan activiteiten.".
Trouwens ook veel scans op poorten 9898 en 5554 tegelijkertijd sinds
zaterdag.
toename van scans op poort 5000 ook al opgevallen. Sinds afgelopen
zondag van 20 naar 600 probes per dag. Allemaal uit dezelfde IP blocks als
waar de firewall op zit (heb er meerdere onder beheer).
Ik vermoed dat er iets gaande is. Denk niet dat dit valt in het rijtje "Welkom op
het internet, leer ermee leven, zijn normale poortscan activiteiten.".
Trouwens ook veel scans op poorten 9898 en 5554 tegelijkertijd sinds
zaterdag.
Correctie: afgelopen 12 uur alleen al meer dan 1200 probes op poort 5000.
Door NielsT
Als ik me niet vergis gebruikt die trojan poort 5000, dezelfde poort die UPnP
gebruikt.
http://www.microsoft.com/technet/prodtechnol/winxppro/support/upnp01.mspx
Lijkt niet echt opvallend veel activiteit te zijn op poort 5000:
http://www.incidents.org/port_details.php?port=5000
Nou... van 4045 sources op 15 mei naar 404095 sources op 16 mei vind ik Als ik me niet vergis gebruikt die trojan poort 5000, dezelfde poort die UPnP
gebruikt.
http://www.microsoft.com/technet/prodtechnol/winxppro/support/upnp01.mspx
Lijkt niet echt opvallend veel activiteit te zijn op poort 5000:
http://www.incidents.org/port_details.php?port=5000
wel opmerkelijk hoor.
18-05-2004, 22:09 door
[Account Verwijderd]
[Verwijderd]
Ik heb eenzelfde probleem zoals hiervoor beschreven werd.
Zou er een fout gelopen zijn in een updateprogramma van Norton Security?
T.t.z. na de update is het begonnen met deze troye.
Zou er een fout gelopen zijn in een updateprogramma van Norton Security?
T.t.z. na de update is het begonnen met deze troye.
Heb vandaag deze trojan drie keer gehad. Problemen met Norton
Personal Firewall zijn gekomen na de update op woensdag 12 mei jl.
Deze update betrof de "re-director" en beveiliging". Het hele programma
doet raar en vaak kan messenger niet geopend.
Personal Firewall zijn gekomen na de update op woensdag 12 mei jl.
Deze update betrof de "re-director" en beveiliging". Het hele programma
doet raar en vaak kan messenger niet geopend.
klopt heb het zelfde probleem met de paard van troje sokets v1...
heb er nog meer mensen over gehoord in mijn samenleving heb over de
hele dag nu al:
recente inbraakpogingen: 1150
recente aanvalspogingen: 550
ik weet niet waar het aan ligt want je hoort het anders altijd wek op tijd
op de t.v maar nu hoor je er helemaal niks over.
misschien komt het hierdoor zie http://www.security.nl/article/7479
heb er nog meer mensen over gehoord in mijn samenleving heb over de
hele dag nu al:
recente inbraakpogingen: 1150
recente aanvalspogingen: 550
ik weet niet waar het aan ligt want je hoort het anders altijd wek op tijd
op de t.v maar nu hoor je er helemaal niks over.
misschien komt het hierdoor zie http://www.security.nl/article/7479
Door Anoniem
Heb vandaag deze trojan drie keer gehad. Problemen met Norton
Personal Firewall zijn gekomen na de update op woensdag 12 mei jl.
Deze update betrof de "re-director" en beveiliging". Het hele programma
doet raar en vaak kan messenger niet geopend.
Heb vandaag deze trojan drie keer gehad. Problemen met Norton
Personal Firewall zijn gekomen na de update op woensdag 12 mei jl.
Deze update betrof de "re-director" en beveiliging". Het hele programma
doet raar en vaak kan messenger niet geopend.
dit klopt heb het ook gehad en de internet ging langzaam met het
openen van pagina´s het toen alles van norton deinstalleerd en alles
gezocht van norton en symantec via zoeken en verwijderd en heb toen
opnieuw opgestart en opnieuw geïnstalleerd en heb alleen de update
van "symevent en symantec redirector, live reg" er niet afgehaald en
sindsdien loopt het weer perfect alleen de paard van troje sokets krijg
je wel.
maar zie vorige tekst.
Door Anoniem
Heb vandaag deze trojan drie keer gehad. Problemen met Norton
Personal Firewall zijn gekomen na de update op woensdag 12 mei jl.
Deze update betrof de "re-director" en beveiliging". Het hele programma
doet raar en vaak kan messenger niet geopend.
wordenHeb vandaag deze trojan drie keer gehad. Problemen met Norton
Personal Firewall zijn gekomen na de update op woensdag 12 mei jl.
Deze update betrof de "re-director" en beveiliging". Het hele programma
doet raar en vaak kan messenger niet geopend.
Door Anoniem
dit klopt heb het ook gehad en de internet ging langzaam met het
openen van pagina´s het toen alles van norton deinstalleerd en alles
gezocht van norton en symantec via zoeken en verwijderd en heb toen
opnieuw opgestart en opnieuw geïnstalleerd en heb alleen de update
van "symevent en symantec redirector, live reg" er niet afgehaald en
sindsdien loopt het weer perfect alleen de paard van troje sokets krijg
je wel.
maar zie vorige tekst.
Dank voor dit antwoord, maar ik begrijp niet helemaal wat je bedoelt Door Anoniem
Heb vandaag deze trojan drie keer gehad. Problemen met Norton
Personal Firewall zijn gekomen na de update op woensdag 12 mei jl.
Deze update betrof de "re-director" en beveiliging". Het hele programma
doet raar en vaak kan messenger niet geopend.
Heb vandaag deze trojan drie keer gehad. Problemen met Norton
Personal Firewall zijn gekomen na de update op woensdag 12 mei jl.
Deze update betrof de "re-director" en beveiliging". Het hele programma
doet raar en vaak kan messenger niet geopend.
dit klopt heb het ook gehad en de internet ging langzaam met het
openen van pagina´s het toen alles van norton deinstalleerd en alles
gezocht van norton en symantec via zoeken en verwijderd en heb toen
opnieuw opgestart en opnieuw geïnstalleerd en heb alleen de update
van "symevent en symantec redirector, live reg" er niet afgehaald en
sindsdien loopt het weer perfect alleen de paard van troje sokets krijg
je wel.
maar zie vorige tekst.
dat je de ene update wel binnenhaalt en de andere niet. Het gaat toch
automatisch als je op de update klikt. Je kan dat toch niet stoppen.
Sorry als dit dom over komt maar ik ben digibeet en probeer via deze
weg mezelf te leren en de kinderen nemen de tijd er niet voor om me
op weg te helpen. Hopelijk dat morgen de oudste even hier wil
meekijken om alle info te lezen en dan te helpen. Het zou eigenlijk
Super zijn als er een item was over dit onderwerp waar een absolute
kenner zijn kennis zou willen/kunnen delen om velen van ons te helpen.
Alles gaat tot op heden prima, zolang ik maar het persoonlijke
instellingsdeel van de firewall uitgeschakeld laat. Het is raar. 2 jaar
geen problemen en nu dit. Ach, misschien dat we elkaar hier kunnen
helpen. Alvast dank aan alle anonieme inzendingen.
Hallo
heden om 14.19 gaf ik weer wat zich voordeed bij mij.
Inmiddels heb ik de laatste update doorgevoerd en het lijkt "ietsje" beter te
gaan. Ik krijg nog wel waarschuwingen maar ben blijkbaar iets minder
geblokkeerd. Surfen gaat iets sneller. Alhoewel.....
Wat ik ook vaststelde is dat de wereldbol laten verschijnen tijdens opstart
aan de zijkant van het scherm een bijzonder zware klus is geworden.
M.i. scheelt er wat met Norton Sec.
heden om 14.19 gaf ik weer wat zich voordeed bij mij.
Inmiddels heb ik de laatste update doorgevoerd en het lijkt "ietsje" beter te
gaan. Ik krijg nog wel waarschuwingen maar ben blijkbaar iets minder
geblokkeerd. Surfen gaat iets sneller. Alhoewel.....
Wat ik ook vaststelde is dat de wereldbol laten verschijnen tijdens opstart
aan de zijkant van het scherm een bijzonder zware klus is geworden.
M.i. scheelt er wat met Norton Sec.
of je in het menu bent van norton antivirus dan druk je op live update
en dan krijg je een scherm en druk dan op de knop volgende en dan
staan er vinkjes voor wat je wilt updaten en wat je niet wilt updaten
haal je gewoon de vinkjes ervoor weg ik weet niet of dit kan met norton
2003 en 2004 maar in 2002 wil dit wel
en van die wereldbol dat het gaat langzaam met het openen bij
opnieuw opstarten heb het ook gehad.
zie op dit pagina bij het tekst van
Anoniem op woensdag 19 mei 2004 17:19
heb toen het volgende gedaan zie
en dan krijg je een scherm en druk dan op de knop volgende en dan
staan er vinkjes voor wat je wilt updaten en wat je niet wilt updaten
haal je gewoon de vinkjes ervoor weg ik weet niet of dit kan met norton
2003 en 2004 maar in 2002 wil dit wel
en van die wereldbol dat het gaat langzaam met het openen bij
opnieuw opstarten heb het ook gehad.
zie op dit pagina bij het tekst van
Anoniem op woensdag 19 mei 2004 17:19
heb toen het volgende gedaan zie
en de paard van troje dat komt niet door de update´s van norton want
heb het ook bij mensen gehoord die mcafee gebruiken dus er moet
weer iets anders aan de hand zijn
heb het ook bij mensen gehoord die mcafee gebruiken dus er moet
weer iets anders aan de hand zijn
nou de problemen blijken over te zijn, hier wel maar weet niet hoe dat
bij jullie nu zit
bij jullie nu zit
en hier:
http://www.wilderssecurity.com/showthread.php?
t=2930&highlight=sokets+trois
http://www.wilderssecurity.com/showthread.php?
t=2930&highlight=sokets+trois
Door Anoniem
en hier:
http://www.wilderssecurity.com/showthread.php?
t=2930&highlight=sokets+trois
en hier:
http://www.wilderssecurity.com/showthread.php?
t=2930&highlight=sokets+trois
nou ik vindt deze link wel een beetje raar dus dan zou je zeggen dat
bijna hele Nederland hier last van had, ik heb er zelf niks aan gedaan
en de problemen zijn nu bijna over af en toe nog 1 keer in de 3 uur of
zo heb contact opgenomen met mijn provider en ze zeiden dat dit
kwam door een botnetwerk van zombie pc´s
Scans naar poort 5000 worden veroorzaakt door 2 wormen t.w. Bobax en
Kibuv. Bobax gebruikt een probe naar poort 5000 om WinXP machines te
identificeren en Kibuv probeert de allereerste vulnerability van XP (UPnP
bug) te exploiten.
Kibuv. Bobax gebruikt een probe naar poort 5000 om WinXP machines te
identificeren en Kibuv probeert de allereerste vulnerability van XP (UPnP
bug) te exploiten.
hey allen
Zelfde problemen hier bij mij met Norton Internet Security. Het lijkt
me ook dat er ergens iets foutloopt bij een update zoals boven
reeds vermeld. Ik kreeg ook vaak die aanvallen te verwerken en het
andere symptoom van traag ladend internet had ik ook. Toen ik
vandaag opnieuw live-update uitvoerde bleek alles weer vlotter te
gaan. Dat is alvast een aanrader.
Opmerkelijk hoe weinig (geen!) info er te vinden is hierover op de
site van symantec ...
Zelfde problemen hier bij mij met Norton Internet Security. Het lijkt
me ook dat er ergens iets foutloopt bij een update zoals boven
reeds vermeld. Ik kreeg ook vaak die aanvallen te verwerken en het
andere symptoom van traag ladend internet had ik ook. Toen ik
vandaag opnieuw live-update uitvoerde bleek alles weer vlotter te
gaan. Dat is alvast een aanrader.
Opmerkelijk hoe weinig (geen!) info er te vinden is hierover op de
site van symantec ...
Juist , het is een aanrader om live update uit te voeren
Ik heb inmiddels ook gedefragmenteerd, programma's bij opstart die niet
nodig zijn uit het geheugen laten verwijderen - en toch heb ik de indruk dat
het geheel nog niet op kruissnelheid verloopt.
Er moet toch "iets" zijn met Norton, maar wat?
In ieder geval het geheel loopt weer al een stuk vlotter.
Ik heb inmiddels ook gedefragmenteerd, programma's bij opstart die niet
nodig zijn uit het geheugen laten verwijderen - en toch heb ik de indruk dat
het geheel nog niet op kruissnelheid verloopt.
Er moet toch "iets" zijn met Norton, maar wat?
In ieder geval het geheel loopt weer al een stuk vlotter.
Ik heb ook last van het updaten met LiveUpdate....hetzelfde met dat
Symantec Redirector. Hoevaak ik liveupdate ook start....er komt maar geen
Sym Redirector. Nou las ik ergens dat het komt doordat de DLL files van
Norton zijn vernieuwd, en daarom problemen kunnen opleveren. Ook stond
er op die site een link waar je de goeie DLL files voor 2002 kon
downloaden, maar ik heb 2003. Als iemand mij kan helpen, hoor ik het
graag.
Symantec Redirector. Hoevaak ik liveupdate ook start....er komt maar geen
Sym Redirector. Nou las ik ergens dat het komt doordat de DLL files van
Norton zijn vernieuwd, en daarom problemen kunnen opleveren. Ook stond
er op die site een link waar je de goeie DLL files voor 2002 kon
downloaden, maar ik heb 2003. Als iemand mij kan helpen, hoor ik het
graag.
de-installeer Norton
installeer Norton opnieuw (of neem een andere)
live update
de meeste problemen zijn over
de snelheid van je pc komt terug op normaal nivo
installeer Norton opnieuw (of neem een andere)
live update
de meeste problemen zijn over
de snelheid van je pc komt terug op normaal nivo
Norton Firewall eraf
ZoneAlarm free edition erop
alle "snel"heidsproblemen voorbij
kun je op http://www.grc.com voor je zekerheid nog even kijken of je wel
onzichtbaar genoeg bent
ZoneAlarm is echt een prima firewall en kost niks
ZoneAlarm free edition erop
alle "snel"heidsproblemen voorbij
kun je op http://www.grc.com voor je zekerheid nog even kijken of je wel
onzichtbaar genoeg bent
ZoneAlarm is echt een prima firewall en kost niks
Ik krijg steeds de boodschap dat ik Symantec Redirector moet installeren.
Hoe doe ik dat?
Hoe doe ik dat?
ik heb net m'n pc gescan en andere in huis... bij iedreen
staat poort 5000 open.kan ik die gewoon dicht gooien? of is
dat slecht voor iets...ik lees hier dingen over paarden en
zooi op poort 5000 duse laat het me weten
GR MY
staat poort 5000 open.kan ik die gewoon dicht gooien? of is
dat slecht voor iets...ik lees hier dingen over paarden en
zooi op poort 5000 duse laat het me weten
GR MY
Door Anoniem
ik heb net m'n pc gescan en andere in huis... bij iedreen
staat poort 5000 open.kan ik die gewoon dicht gooien? of is
dat slecht voor iets...ik lees hier dingen over paarden en
zooi op poort 5000 duse laat het me weten
GR MY
Disablen van de Universal Plug and Play Device Host serviceik heb net m'n pc gescan en andere in huis... bij iedreen
staat poort 5000 open.kan ik die gewoon dicht gooien? of is
dat slecht voor iets...ik lees hier dingen over paarden en
zooi op poort 5000 duse laat het me weten
GR MY
Windows Worms Doors Cleaner v1.4.1:
Most of the worms, in particular the most famous, use known
vulnerabilities in Windows services which are enabled by
default and that often can't be disabled via the OS's
configuration.
Even with these services patched with Microsoft security
fixes, they are still exposed to the Internet at large ready
to be exploited by the next exploit.
These ports/services on client side are :
* DCOM RPC (listen on port 135) MS03-026
* RPC Locator (port 445) MS03-001, MS04-011
* NetBIOS (ports 137/138/139) MS03-049
* UPNP (port 5000) MS01-059
* Messenger service (uses RPC/NetBIOS ports) MS03-043
Hier te downloaden:
http://www.firewallleaktester.com/wwdc.htm
Most of the worms, in particular the most famous, use known
vulnerabilities in Windows services which are enabled by
default and that often can't be disabled via the OS's
configuration.
Even with these services patched with Microsoft security
fixes, they are still exposed to the Internet at large ready
to be exploited by the next exploit.
These ports/services on client side are :
* DCOM RPC (listen on port 135) MS03-026
* RPC Locator (port 445) MS03-001, MS04-011
* NetBIOS (ports 137/138/139) MS03-049
* UPNP (port 5000) MS01-059
* Messenger service (uses RPC/NetBIOS ports) MS03-043
Hier te downloaden:
http://www.firewallleaktester.com/wwdc.htm
07-09-2004, 11:49 door
capricornus
nog info 'n tips en een progje dat werkt:
http://www.diamondcs.com.au/info/port5000listening.htm
http://www.diamondcs.com.au/info/port5000listening.htm
hallo, ik heb zelf een scanner om me zelf te scannen voor
poorten en mensen m'n famillie in m'n netwerk...maar ik
vraag me af kan je poort 5000 ook sluiten want die staat bij
ons allee maal open...zijn daar programma's voor ik heb nog
5 andere poorten open staan maar ik kan via zone alarm niet
achter halen welke programma's die poorten gebruiken. Hebben
jullie misschien een programma waar je dat wel bij kan ziet
dat , dat lijkt me erg handig!
Alvast bedankt!
Groeten MY
poorten en mensen m'n famillie in m'n netwerk...maar ik
vraag me af kan je poort 5000 ook sluiten want die staat bij
ons allee maal open...zijn daar programma's voor ik heb nog
5 andere poorten open staan maar ik kan via zone alarm niet
achter halen welke programma's die poorten gebruiken. Hebben
jullie misschien een programma waar je dat wel bij kan ziet
dat , dat lijkt me erg handig!
Alvast bedankt!
Groeten MY
27-09-2004, 16:15 door
SirDice
Universal Plug and Play (UPnP).
Simple Service Discovery Protocol (SSDP).
Beide services op disabled zetten en poort 5000 is gesloten. Dit kan
gedaan worden zonder merkbare veranderingen in windows.
Met netstat -o onder XP kun je zien welk PID is gekoppeld aan welke
poort. Via de taskmanager kun je zien welke PID bij welk (draaiend) proces
hoort.
Simple Service Discovery Protocol (SSDP).
Beide services op disabled zetten en poort 5000 is gesloten. Dit kan
gedaan worden zonder merkbare veranderingen in windows.
Met netstat -o onder XP kun je zien welk PID is gekoppeld aan welke
poort. Via de taskmanager kun je zien welke PID bij welk (draaiend) proces
hoort.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
