Seltsame Meldung bei Aufruf des Forums - Hacker ???

  • Hallo Leute,

    meine Frage richtet sich vorwiegend an die Moderatoren / techn. Verantwortliche des Forums. Ich wollte heute Nacht (ca. 02:30 / 02:45) das Forum aufrufen, anstatt der Startseite bekam ich folgende Meldung im Browser: Die Meldung des Programmes "Security System Basic" kann NICHT von meinen PC kommen, ich besitze dieses Programm nicht. Denke also, dass die Meldung "server-seitig" vom Forum kommt ?

    Es tut mir leid, bei mir ist die EDV-Struktur etwas kompliziert. Ich hoffe, dass meine Beschreibung für einen Informatiker nachvollziehbar ist, ich bin nämlich keiner und habe mit Sicherheit nicht das Verständnis eines ausgebildeten Informatikers:

    Da meine Wohnung und Arbeit im selben Gebäude untergebracht sind, ist die EDV-Struktur bei mir auch dementsprechend umfangreich: 2 Server (einer on / einer off --> Im Sinne des Internetzugriffs), 2 PC's in der Wohnung (beide on), 8 PC's ein Stockwerk weiter, "in der Arbeit", 5 off / 3 on) Die gesamte Struktur ist als ein Client-Server-System aufgebaut. Wenn ich auf das Internet zugreife dann über den Server, der als Proxy bzw. FTP fungiert.

    Gestern Nachmittag hatte ich einen Hackerangriff, es dürfte aber nichts passiert sein, da ich mich gegen solche Angriffe u.a. mittels "HoneyPot" (Ironbox) absichere. Nun verwirrt mich die Meldung seitens des Forums "max. 30 Zugriffe p. min" doch etwas.

    Meine Fragen wären daher:

    Gab es zu besagter Zeit tatsächlich mehrerer Zugriffe auf das Forum (meinerseits) oder war dies nur ein "technischer Fehler" forums-seitig ?
    Wenn ja: Wie viele Zugriffe gab es ?
    Ist die IP mit der ich mich anmelde für die techn. Administration "voll" nachvollziehbar oder nur "zensiert" nachvollziehbar ?
    Wenn ja: Gab es Abweichungen von meinen/meiner "Standard-IP" ?
    Es ist mir klar, dass ihr mir die genaue/n IP/IPs nicht sagen dürft (auch wenn es meine sind). Das verlange ich auch nicht, ein einfaches "Ja" oder "Nein" auf die Frage genügt völlig.

    Es gibt nur ein paar IP's meinerseits, mit denen ich " auf das Forum zugreifen könnte. Wenn ich im Internet bin, dann meist immer mit der gleichen IP - Naja... Fast immer --> XDSL :whistling:

    Hier mal meine IP's:

    80.XXX.XXX.242 --> Schnittstelle - Die IP mit Endung 242 ist die IP, mit der ich ausschließlich auf das Internet/Forum zugreife.

    80.XXX.XXX.241 --> Internet 1
    80.XXX.XXX.242 --> Internet 2

    Die gesamte Kommunikation bei mir im Netzwerk wird über "Named Pipes" (Netzwerkzugriff: Klassisches Modell) abgewickelt. Anfragen der Client-PC's greifen also nicht direkt auf das Internet oder Progs zu, sondern richten ihre Anfrage an eine eigene "Server-Engine" die dann die entsprechenden Anfragen bearbeitet. Das hat einfach damit zu tun, weil ich komplexe Software-Systeme einsetze, die für den Netzwerkeinsatz in herkömmlichen Radiosendeanstalten entwickelt wurden. Verständlich, dass diese nichts mit Customer-Software wie einen "Mediaplayer", "Virtual DJ" etc... gemein haben.

    Da ich "Named Pipes" einsetze, weiß ich also nicht, ob die "restlichen" IP's überhaupt für die techn. Administration seitens des Forums einsehbar wären. Da die Anfragen ja über "Named Pipes" an die Server-Engine laufen und nicht über IP's. Dafür benötigt der Server/Clients nur den Netbios-Namen der PC's, welche in der Server-Engine über ein INI-File eingetragen sind.
    Wenn kein NP-Connect möglich ist, dann erst läuft die Kommunikation über die IP's...

    Ein Zugriff auf das Forum meinerseits wäre "theoretisch" noch über folgende IP's möglich - Falls es also wirklich diese vermehrten Zugriffe auf das Forum gab, wäre es interessant für mich, ob die folgenden IP's vorkamen: (Ich weiß aber auch nicht, ob der techn. Administration seitens des STA-Forums diese angezeigt werden, da "P-IP's", also nicht "geroutet".) Normalerweise müsste man nur die zwei IP's "von oben sehen", also 80.XXX.XXX.241 bzw. 80.XXX.XXX.242 . Ansonsten kommen nur noch3 IP's in Frage, aber mit denen kann man nicht auf das Internet mittels Browser zugreifen, da sie zu Studioequipment "gehören"

    192.XXX.XXX.80 --> Wohnung: PC1
    192.XXX.XXX.90 --> Wohnung: PC2

    192.XXX.XXX.100 --> Studio: WORKSTATION1
    192.XXX.XXX.105 --> Studio: WORKSTATION2
    192.XXX.XXX.110 --> Studio: WORKSTATION3

    224.XXX.XXX.20 --> Studioequipment: D&R LYRA
    224.XXX.XXX.30 --> Studioequipment: ORBAN OPTIMOD - FM 8600 DIGITAL
    224.XXX.XXX.40 --> Studioequipment: T.C. ELECTRONICS - DB MAX II


    Nochmals: Tut mir leid, dass es technisch so kompliziert ist... Ich hoffe, dass es die techn. Administration seitens des Forums nachvollziehen kann, dass mir die Klärung wichtig ist. Falls ich mit der Klärung des Problems jemanden zusätzlich Arbeit bereite, bitte einfach per Message mitteilen, ich bin selbstverständlich dazu bereit, jeglichen Arbeitsaufwand seitens der techn. Administration des Forums finanziell zu entschädigen.

    GLG

    Einmal editiert, zuletzt von James Gabriel (23. Juli 2015 um 06:20)

  • Also irgendwo ist da komplett der Wurm drinnen...

    Ich wollte mich dann nochmals testhalber um ca. 05:30 anmelden und bekam von meinen "OAC-Guard" (eine Art "Wächterprogramm" folgende Meldung - :D:D:D

    • Offizieller Beitrag

    Ich werde das gleich mal an den Systemadministrator melden. Viele deiner Fragen im ersten Post kann ich leider nicht beantworten.

    Vielleicht waren es nur Wartungsarbeiten...

    Bei mir kommt nach wie vor alles ganz normal wenn ich das Forum aufrufe...

  • Ich werde das gleich mal an den Systemadministrator melden.

    Danke, tricky :)

    Viele deiner Fragen im ersten Post kann ich leider nicht beantworten.

    Das macht nix. Mein Systemtechniker schaut heute gegen 14 Uhr bei mir vorbei, der kann mir da bestimmt weiterhelfen, ob der Angreifer einen Schaden angerichtet hat oder nicht. Wenn es eurerseits Wartungsarbeiten gab, sei bitte so gut und sag' mir Bescheid.

    Vielen Dank und GLG