# Port Scan?!?



## Crelog (6. Januar 2008)

Hallo zusammen.

Ich wollte mal fragen warum meine Firewall einen Portscan von der buffed.de Seite erkannt und geblockt hat?!?
Ist das noch jemandem aufgefallen? Normal ist das doch nicht oder?

Deßweiteren wurde ein Teardrop- und Nestea-Angriff registriert und auch geblockt.
Beide wiederum von der Buffed Seite.

Muss ich mir Sorgen machen daß Hacker die Seite benutzen???

MfG
Andy


----------



## Nimrot (6. Januar 2008)

Jupp einen bei mir aus der Gilde hats erwischt. Dem wurde der Account gehackt dank des Blasc Programms da hier die Zugangsdaten wohl irgendwie gespeichert werden. Habs vorsichtshalber erst mal und hoffe das Die Buffis dieses Problem schnell in den Griff bekommen.


----------



## Crelog (6. Januar 2008)

Crelog schrieb:


> Hallo zusammen.
> 
> Ich wollte mal fragen warum meine Firewall einen Portscan von der buffed.de Seite erkannt und geblockt hat?!?
> Ist das noch jemandem aufgefallen? Normal ist das doch nicht oder?
> ...



Das Blasc Programm habe ich gar nicht in gebrauch. Die Angriffe kamen direkt über die Homepage :-/  !


----------



## ZAM (6. Januar 2008)

Nimrot schrieb:


> Jupp einen bei mir aus der Gilde hats erwischt. Dem wurde der Account gehackt dank des Blasc Programms da hier die Zugangsdaten wohl irgendwie gespeichert werden. Habs vorsichtshalber erst mal und hoffe das Die Buffis dieses Problem schnell in den Griff bekommen.



Die Zugangsdaten werden von BLASC2 keinesfalls gespeichert. Zum Thema des angeblichen Keyloggers in unserem Tool haben wir bereits etwas geschrieben. http://www.buffed.de/forum/index.php?showtopic=20266

Das unsere Server angeblich Angriffe startet oder Ports scannt prüfen wir - ist aber eher unwahrscheinlich.


----------



## Crelog (6. Januar 2008)

ZAM schrieb:


> Die Zugangsdaten werden von BLASC2 keinesfalls gespeichert. Zum Thema des angeblichen Keyloggers in unserem Tool haben wir bereits etwas geschrieben. http://www.buffed.de/forum/index.php?showtopic=20266
> 
> Das unsere Server angeblich Angriffe startet oder Ports scannt prüfen wir - ist aber eher unwahrscheinlich.



Diese Einträge hat meine Firewal gemacht:
02.01.2008 22:51:45	Angreifer blockiert	Teardrop-Angriff von wow.buffed.de entdeckt
02.01.2008 22:50:22	Angreifer blockiert	Nestea-Angriff von wow.buffed.de entdeckt
02.01.2008 22:48:31	Angreifer blockiert	Port-Scan von wow.buffed.de entdeckt (gescannte Ports: TCP (1110, KPOP, 1106, 1096, 1095, 1094)).

Vielleicht hat jemand eure HP "benutzt"?!?
Dem buffed.de-Team unterstelle ich nichts :-) dafür is die Seite viel zu gut und auch der "service" stimmt.

Letzte Woche habe ich von einem Bekannten (aus dem näheren Familienkreis) gehört daß sein Kumpel der mit ihm zusammen in der Gilde spielt auch der Account gehackt, leergeräumt und dann die Chars sogar gelöscht wurden. Er konnte nur zusehen wie die Chars seines Gilden- (und Privaten) Kumpels der reihe nach online kamen und auf sein antellen nicht reagierten.

Also irgendwie is doch gerade was im Busch mit diesen Hackern.
Wenn mir das passieren würde hätte ich keinen Bock mehr auf WoW.
Alleine der Gedanke 0 Gold und kein Equipment oder gar komplett von lvl1?!? Oh Gott.


----------



## ZAM (6. Januar 2008)

Crelog schrieb:


> Vielleicht hat jemand eure HP "benutzt"?!?



Das war zu Beginn auch unser Gedanke, aber unnatürliche, ausgehende Verbindungen werden im Rechenzentrum registriert und darauf reagiert. Das einzige was wir uns momentan vorstellen können ist, das die Firewall auf die Werbe-Schaltungen merkwürdig reagiert oder ein Eintrag in deiner hosts-Datei (Windows\system32\drivers\etc) steht, der wow.buffed.de falsch routet - das ist aber eher unwahrscheinlich.


----------



## Nimrot (7. Januar 2008)

Zu dem Löschen der Chars mißbrauchs deines Equips und Account und so weiter kann ich dich etwas beruhigen. Wenn ihr es bei Blizzard meldet das euer Account gehackt wurde wird in der Regel euer Account mit dem Equip wieder hergestellt (ok muss net hängt vom Fall ab) kann dir nur aus meiner ehemaligen Gilde einen Fall berichten wo auch der Account geknackt, das Equip verkauft und das Gold versendet wurde. Sein Account wurde komplett wieder hergestellt hat aber gute 5 Wochen gedauert. 

MFG Nim

@ Zam nochmal danke für die fixe Antwort der E-Mail


----------



## The Holy Paladin (9. Januar 2008)

> Das unsere Server angeblich Angriffe startet oder Ports scannt prüfen wir - ist aber eher unwahrscheinlich.



Was ergab die Prüfung ? Oder dauert es noch ein bischen bis man ein endgültiges Fazit abgeben kann ?

PSitte sehr um eine Antwort.Danke im Vorraus.

MfG The Holy Paladin


----------



## ZAM (9. Januar 2008)

The schrieb:


> Was ergab die Prüfung ? Oder dauert es noch ein bischen bis man ein endgültiges Fazit abgeben kann ?
> PSitte sehr um eine Antwort.Danke im Vorraus.
> MfG The Holy Paladin



Es gab keine Angriffe auf die und keine Infektion der Webserver. Firewalls sind manchmal sehr pingelig. 
Die angesprochenen Angriffe laufen über bestimmte Public-Ports, also Ports über 1024. Kommunikationen zwischen Webserver und Webbrowser laufen aber nicht nur über Port 80 sondern auch über dynamisch ausgewürfelte Ports. Wird also zufällig dieser Port zwischen Client und Server genutzt, kann es vorkommen, das die Firewall dies als Angriff wertet.


----------



## The Holy Paladin (9. Januar 2008)

> Es gab keine Angriffe auf die und keine Infektion der Webserver. Firewalls sind manchmal sehr pingelig.
> Die angesprochenen Angriffe laufen über bestimmte Public-Ports, also Ports über 1024. Kommunikationen zwischen Webserver und Webbrowser laufen aber nicht nur über Port 80 sondern auch über dynamisch ausgewürfelte Ports. Wird also zufällig dieser Port zwischen Client und Server genutzt, kann es vorkommen, das die Firewall dies als Angriff wertet.



Danke für die schnelle,nette und informative Antwort  


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 .


----------



## Crelog (11. Januar 2008)

ZAM schrieb:


> Es gab keine Angriffe auf die und keine Infektion der Webserver. Firewalls sind manchmal sehr pingelig.
> Die angesprochenen Angriffe laufen über bestimmte Public-Ports, also Ports über 1024. Kommunikationen zwischen Webserver und Webbrowser laufen aber nicht nur über Port 80 sondern auch über dynamisch ausgewürfelte Ports. Wird also zufällig dieser Port zwischen Client und Server genutzt, kann es vorkommen, das die Firewall dies als Angriff wertet.




Vielen Dank für eure Mühe ^^, dann ist ja alles in bester Ordnung! Firewalls sind manchmal wirklich zu genau.
Allerdings kann ich nicht wirklich was mit den anderen 2 Meldungen anfangen.
Da ihr euch mit Sicherheit besser damit auskennt könnt ihr mir bestimmt auch erklären was diese zu bedeuten haben:

02.01.2008 22:51:45 Angreifer blockiert Teardrop-Angriff von wow.buffed.de entdeckt
02.01.2008 22:50:22 Angreifer blockiert Nestea-Angriff von wow.buffed.de entdeckt

Was sind denn das für dinger, Teardrop und Nestea?!?

THX im Vorraus
Andy!


----------



## BtbN (11. Januar 2008)

Teardrop ist ein Angriff mit Fragmentieren IP-Paketen mit modifiziertem Offset.
Nestea ist eine Firma, die u.A. getränkepulver für Kakao herstellt.


----------



## Pi91 (11. Januar 2008)

BtbN schrieb:


> Teardrop ist ein Angriff mit Fragmentieren IP-Paketen mit modifiziertem Offset.
> Nestea ist eine Firma, die u.A. getränkepulver für Kakao herstellt.


Stellt Nestea nicht eher Eistee her? o.O


----------



## BtbN (12. Januar 2008)

Pi91 schrieb:


> Stellt Nestea nicht eher Eistee her? o.O


Oh, ja. Natürlich. Mit Nestle verwechselt.


----------



## krakos (13. Januar 2008)

lass mich raten, du hast nicht rein zufällig Norton oder ZoneAlarm?

Generell sind bei SPF angebliche Portscannsmeldungen die geblockt wurden nur fadenscheinige meldungen, um den User vorzugauckeln, dass sie geschützt sind.


----------



## Crelog (14. Januar 2008)

krakos schrieb:


> lass mich raten, du hast nicht rein zufällig Norton oder ZoneAlarm?
> 
> Generell sind bei SPF angebliche Portscannsmeldungen die geblockt wurden nur fadenscheinige meldungen, um den User vorzugauckeln, dass sie geschützt sind.




Ne ne, Norton wurde mir zu dumm und ZoneAlarm hab' ich vor 2 Wochen gelöscht.
Zu dem Zeitpunkt hatte ich eine 30 Tage Test Version von Outpost auf meiner Kiste.
Nun habe ich mich aber für die Komplettlösung von BitDefender entschieden.

Welche Firewalls könnt ihr denn empfehlen?!?
(mit ausnahme von eben ZoneAlarm und Norton/Symantec)

MfG
Andy!


----------



## Nimrot (21. Januar 2008)

Noch mal zu Wort melde 

Habe ich nicht vor einigen Tagen noch gepredigt wie toll Buffed.de und Blizzard arbeiten von wegen gehackte Accounts? 
Kann ich bald mitreden meiner wurde heute gehackt  


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 !!!

Und das obwohl ich sämtlichen Sicherheitsanforderungen gerecht wurde, Fehler lag aber net am Blasc soviel sei gesagt (hatte ihn noch net wieder Installiert zu meinem Glück) Nun habe ich wenigstens ein Profilbild mit meinen inzwischen verschollenen Items.

Für die Leute auf Durotan: Solltet ihr meinen Jäger Tyderas die nächsten zwei Wochen irgendwo rumrennen sehen MELDET IHN!!!! Die Sau von Hacker rennt dann mit ihm durch die Gegend.

Euer Nim  


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## ZAM (21. Januar 2008)

Nimrot schrieb:


> ... Fehler lag aber net am Blasc soviel sei gesagt (hatte ihn noch net wieder Installiert *zu meinem Glück*)  ...



Wie ist das zu verstehen? oO


----------



## Nimrot (21. Januar 2008)

Es waren noch die Daten vom letzten Kara Run aufgeführt wo ich noch alles besaß und Konnte ein Bild davon dem GM bzw Dem Account Support schicken (für´s Wiedererstellen meiner Items wenn die "Ermittlungen" abgeschlossen sind). Der Knabe meinte das hilft ihnen unglaublich viel um zu sehen wie mein Char in etwa equipped war da das Arsenal ja leider sehr aktuell ist (trauriger Anblick kann ich nur sagen). Denn sonst könnte wie er sagt jeder behaupten er hätte die Robe der Maskerade zum Beispiel. Darum noch mal Schwein gehabt  


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 
Also keine Panik Zam alles in Butter 

Nim


----------



## Crelog (22. Januar 2008)

Nimrot schrieb:


> Es waren noch die Daten vom letzten Kara Run aufgeführt wo ich noch alles besaß und Konnte ein Bild davon dem GM bzw Dem Account Support schicken (für´s Wiedererstellen meiner Items wenn die "Ermittlungen" abgeschlossen sind). Der Knabe meinte das hilft ihnen unglaublich viel um zu sehen wie mein Char in etwa equipped war da das Arsenal ja leider sehr aktuell ist (trauriger Anblick kann ich nur sagen). Denn sonst könnte wie er sagt jeder behaupten er hätte die Robe der Maskerade zum Beispiel. Darum noch mal Schwein gehabt
> 
> 
> Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
> ...





Alter Schwede! Die Account Hacker werden ja immer mehr.
Ich hoffe nur dass ich davon verschont bleibe!
Den Blasc habe ich auch nicht installiert.
Dem Kumpel von meinem  Onkel ist es auf Madmortem passiert (wie weiter oben schon beschrieben).

Von Alleria (auf dem ich zocke) ist mir bisher noch kein Fall zu Ohren gekommen, zum Glück!!!

MfG
Andy


----------



## Nimrot (22. Januar 2008)

Jupp irgendwie erschreckend wie viele account Hacks momentan stattfinden.
Aber buffed sei dank ich bekomm mein komplettes Equip wieder


----------



## LittleFay (23. Januar 2008)

@Nimrot
Die Wiederherstellungs-Spezialisten interessiert dein Buffed-Profil herzlich wenig. Die schauen nur in ihre Logs.
Dass du alles wiederbekommst, stimmt. Aber nicht aufgrund von irgendwelchen Fanseiten oder Screenshots etc.


----------



## Nimrot (23. Januar 2008)

Kann halt nur mitteilen was mir der GM erzählt ist schließlich mein erster Account Hack und hoffentlich der letzte :-P


----------

