Hallo zusammen ...

Ich hab folgendes Problem: Meine outpost-Firewall protokolliert ständig Verbindungsversuche zu 127.00... also zu mir.
Und das sind nicht nur Verbindungsversuche, sondern auch portsscans und etwas das ich grad vergessen habe. Also einen Virus kann ich ausschließen; ebenso die neuesten Würmer ... da gabs mal so ne kleine *.exe die nach den letzten Würmern sucht ... jedenfalls hat die auch nix gefunden.
1. WAS kann das sein?
2. Gibts irgendwas, womit ich mein system auf alle "Schädlinge" überprüfen kann ??

Thx & MfG,
s0nsty

</font><blockquote>Zitat:</font><hr />Original erstellt von s0nstwer:
Also einen Virus kann ich ausschließen; ebenso die neuesten Würmer ... da gabs mal so ne kleine *.exe die nach den letzten Würmern sucht ...
2. Gibts irgendwas, womit ich mein system auf alle "Schädlinge" überprüfen kann ??
</font>[/QUOTE]ääähm,

das widerspricht sich etwas..
WIESO kannst du einen Virus ausschließen, aber einen Wurm/Trojaner nicht ?
Welches AV-programm (aktuell ??) sagt dir das ?

Probier mal die Kaspersky-Trial von www.datsec.de (evtl. nur Hauptscanner & Updater installieren und Updaten!!)

oder Onlinescans von Trendmicro , RavAntiVirus oder KAV (s.u.)

Und bitte die "Angriffe" noch ein bisschen präzisieren. Deine "Firewall" sollte eigentlich zumindest Folgendes protokolliert haben: Richtung, Ursprungs-IP, (Ursprungsport - je nach Protokoll), Ziel-IP, (Zielport - je nach Protokoll), verwendetes Protokoll (z. B. TCP, UDP, ICMP).

Auch ein Report von Trojancheck 6 kann evtl. weiterhelfen, wenn Du diesen hier postest oder (noch besser) verlinkst:
http://www.trojancheck.de/

Hi!

Also ich hab Norten Antivirus 2003 mit den letzten viren-Signaturen drüberlaufen lassen - nix!

Die "stinger.exe" von irgendeinem Virenkillersoftwarehersteller hat auch keine Würmer gefunden.

Ich lad mir grad das trojancheck runter und versuch das mal. Hier die kopierten firewall-logs:
TCP(1175) 12.10.2003 09:24:58 Verbindungsversuch 127.0.0.1
TCP(1564) 12.10.2003 09:24:27 Verbindungsversuch 127.0.0.1
TCP(1794) 12.10.2003 09:24:04 Verbindungsversuch 127.0.0.1
TCP(1721) 12.10.2003 09:23:43 Verbindungsversuch 127.0.0.1
TCP(1003) 12.10.2003 09:21:57 Verbindungsversuch 127.0.0.1
TCP(1564) 12.10.2003 09:21:54 Verbindungsversuch 127.0.0.1
TCP(1177) 12.10.2003 09:21:49 Verbindungsversuch 127.0.0.1
TCP(1175) 12.10.2003 09:20:58 Verbindungsversuch 127.0.0.1
TCP(1509) 12.10.2003 09:20:24 Verbindungsversuch 127.0.0.1
12.10.2003 09:20:15 Meine Adresse 127.0.0.1
TCP(1390) 12.10.2003 09:20:15 Verbindungsversuch 127.0.0.1
ICMP(2048) 12.10.2003 09:19:58 Verbindungsversuch 62.134.72.124

MfG, s0nsty

Nachtrag: Hier der link zum Trojanercheck-Ergebnis. Ich hoffe auf hilfreiche Antworten.

http://www.sonstwer.de/12.10.03.html

Gruß, s0nsty

Ich habe den Eindruck, dass es sich bei diesen "Angriffen" um stinknormales Loopback handelt, wie es von zahlreicher Software verwendet wird (z. B. IE, Mozilla, Sun Java, OE, ...).

Hast Du evtl. am Ruleset etwas geändert, und seitdem treten diese Meldungen auf?

Allerdings kann ich das Logfile Deiner "Firewall" nicht ganz eindeutig interpretieren. Haben die Spalten der Tabelle auch jeweils einen Titel? Oder ist in der Dokumentation irgendwie erläutert, woran man erkennt, welches die Quell- und Ziel-IP und die Richtung der Verbindung ist?

Normalerweise dürften aber Zugriffe auf 127.0.0.1 nur von Deinem eigenen Rechner aus möglich sein, für Zugriffe von außen muss eine andere IP verwendet werden (z. B. die Deines Dial-Up-Adapters).

Der TC-Report sieht für mich ziemlich sauber und unverdächtig aus.

Hi Fatamorgana ..

also geändert habe ich nix - und ein update o.ä. hab ich auch nicht durchgeführt.

Meine "firewall" ist eher schweigsam. Sie nennt das ganze "abgewehrte Angriffe" und belässt es bei der Nennung von "Art des Angriffs", Datum und IP.

Kann ich Deinen beitrag als Entwarnung sehen `??

Gruß, snsty

</font><blockquote>Zitat:</font><hr />Original erstellt von s0nstwer:
Kann ich Deinen beitrag als Entwarnung sehen `??
</font>[/QUOTE]Nein. Dafür sind die Logs zu dürftig. Vielleicht solltest Du mal einen Sniffer einsetzen (z. B. Ethereal). Dann hast Du komplette Angaben und kannst sogar den Inhalt der Pakete einsehen.