Wie finde ich den Angreifer?

Norton Internet Security hat einen so genannten Port-Scan abgewehrt, den ein zweifelhafter Benutzer mit dem Fernbedien-Programm des SubSeven-Trojaners durchgeführt hat. Im Einzelnen heisst dies:

Trojaner wie SubSeven bestehen aus zwei Komponenten. Das eine ist der so genannte SubSeven-Server. Unfreundliche Individuen (oder auch "Script Kiddies", jugendliche Möchtegern-Hacker) versuchen den Server-Teil eines solchen Trojaners auf dem PC eines anderen Benutzers zu installieren. Das tun diese entweder, indem sie das SubSeven-Programm auf einer zwielichtigen Webseite als nützliches Programm anpreisen, die Trojaner-Datei in File-Sharing-Dienste (z.B. Kazaa) einspeisen oder indem sie jemandem das Programm einfach per Mail zustellen, in der Hoffnung, dass der Empfänger die Beilage ausführt. Wird der Server-Teil auf einem PC installiert, öffnet dieser in der Internet-Verbindung dieses PCs eine Art Hintertüre.

Die zweite SubSeven-Komponente (der Client-Teil) installieren sich die Script Kiddies selber auf dem eigenen Rechner. Damit könnten sie dann via Internet auf andere Rechner zugreifen, auf denen der Server erfolgreich installiert wurde. Nun wissen die Möchtegern-Hacker aber nicht, auf welchen Rechnern der Server-Teil schon installiert wurde. Denn schliesslich wollen die ja ein paar Opfer finden, mit denen sie "spielen" können (Dateien auslesen, Einstellungen verändern, Meldungen anzeigen etc.). Dafür verwenden diese Bengel einen so genannten Port-Scanner.

Solche Port-Scanner durchsuchen eine Reihe von IP-Adressen nach einer allenfalls durch SubSeven geöffneten Hintertüre (Port). Wird kein SubSeven-Port gefunden, ist jeder Versuch, mit einem SubSeven-Client auf den PC zuzugreifen, erfolglos.

Norton Internet Security hat Ihnen nun gemeldet, dass Ihr PC (der auch bei jeder Internet-Verbindung eine IP-Adresse besitzt) einem Port-Scan unterzogen wurde. Während in manchen Ländern ein Port-Scan verboten ist, ist er in anderen Ländern erlaubt, da ein reiner Port-Scan keinen Schaden anrichtet, sondern eher einem "Anklopfen" an eine Tür ähnelt.

Die besagte IP-Adresse, die wir in Ihrer Anfrage teilweise durch xxx.xxx ersetzt haben, gehört gemäss der recht zuverlässigen WHOIS-Abfrage von IKS-Jena [1] zum Bereich von T-Online, Deutschland. Falls dies wieder passiert, und wieder aus dem Adressbereich von T-Online kommt, schreiben Sie doch eine kurze Mail an abuse@t-ipnet.de, berichten Sie über den Port-Scan (bitte genaues Datum und genaue Zeit angeben) und bitten Sie den T-Online-Supporter darum, das port-scannende Individuum zu finden, zu ermahnen oder abzuklemmen. Auch wenn ein Port-Scan in Deutschland eventuell nicht verboten ist, könnte dies als Netzmissbrauch ausgelegt werden. Deshalb könnte T-Online der Sache vielleicht nachgehen wollen.