Seite 1 von 1

Trojaner, Virus, irgendwas, ich find nix...

BeitragVerfasst: 24. Feb 2004, 21:27
von henry
Hallo Leute,

seit kurzem hab ich eine verwunderliche Sache auf meinem Rechner.

1) Es ist kein Mailprogramm gestartet.
2) Das Antivirenprogramm sagt der Rechner ist clean.
3) Spybot findet keine Spione

Meine Firewall (Kerio) meldet immer wieder:

"SPAMIHILATOR.EXE" from your computer wants to connect to webx4.aruba.it [62.149.140.14], port 80


Was soll mir das sagen??? Wer verwendet Spami um auf einen Rechner eines italienischen ISP an Port 80 zuzugreifen??? Zudem ist die Seite under construction... (auf italienisch)

Hat jemand einen Tipp?

Gruß

Henry

BeitragVerfasst: 25. Feb 2004, 07:55
von KanuUli
Hallo henry

das ist schnell und einfach erklärt:

Spami prüft ab und zu ab, ob er online ist.
dazu connected er auf http://www.spamihilator.com
da webseiten normalerweise auf port 80 laufen ( tipp mal http://www.spamihilator.com:80 ein und dann http://kanuuli.dyndns.org:5517) steht da auch was von port 80

gruß Kanu

BeitragVerfasst: 25. Feb 2004, 09:40
von henry
Hallo KanuUli,

danke für den Hinweis. Hört sich plausibel an. Ich verstehe aber immer noch nicht warum Spami bei webx4.aruba.it prüft ob er online ist.

Außerdem wofür prüft Spami das? Wenn ich eine ISDN Wählverbindung ins Internet hätte, die bei Web Anfragen automatisch die Verbindung aufbaut, würden da unnütze Verbindungskosten entstehen. SPAMI wird es beim Abholen der Mails doch zwangsläufig merken ob der Rechner online ist. Oder bei einem DSL Volumentarif bei T-Online wird jede Einwahl mit mindestens einem MB gezählt. Auch wenn es nur ein Ping war...

Gruß

Henry

BeitragVerfasst: 25. Feb 2004, 12:48
von michel
@henry:

1) webx4.aruba.it hat die gleiche IP-Adresse, wie http://www.spamihilator.com (wenn mich nicht alles täuscht).

2) Dieses "Feature" gibt es eigentlich gar nicht mehr. Du hast offensichtlich noch eine ältere Version. Bitte installiere Spamihilator 0.9.7.2

Gruß
Michel Krämer

BeitragVerfasst: 26. Feb 2004, 23:17
von henry
@ michel

ich hab das jetzt mal getestet... Ich hab die Version 0.9.7.2 und der Zugriff auf die besagte Adresse erfolt immer dann, wenn das automatische Update prüft, ob eine neuere Version verfügbar ist.

Ich hab mit drei verschiedenen DNS Servern die Auflösung getestet.

Beide Adressen http://www.spamihilator.com und webx4.aruba.it werden auf die gleiche IP 62.149.140.14 aufgelöst.

Die IP 62.149.140.14 in den IE eingeben zeigt eine italienische Seite http://62.149.140.14/

Ich glaub Dein Provider sollte da was in Ordnung bringen.

Gruß

Henry[/url]

BeitragVerfasst: 27. Feb 2004, 07:55
von Andreas_Z
Hallo!

Am Provider liegt das nicht unbedingt. Viele Provider bieten für Ihre Kunden sogenannte Virtuelle Server an. Aus Gründen der Resourcenersparnis laufen solche (LAMP)-Server meist mit nur einer IP-Adresse. Nun fragt man sich, wie das geht, daß unter EINER IP-Adresse verschiedene Domains verschiedener Kunden verfügbar sind. Nun, ganz einfach. Alle Anfragen an den Server nimmt dieser erstmal entgegen und untersucht die abgefragte Domain. Findet er sie in seiner Konfig wird die zugehörige Seite ausgeliefert, andernfalls eine Standardseite (in dem Fall die, die Du gesehen hast). Da beim Aufruf der IP-Adresse keine Domain angegeben wird, kann der Server also nur die Standardseite ausliefern. Gleiches passiert übrigens auch, wenn eine Domain abgerufen wird, die der Server nicht kennt.

Gruß Andreas

BeitragVerfasst: 27. Feb 2004, 10:08
von henry
Hallo Andreas,

da hab ich wieder was gelernt... Danke für den Tipp.

Dann muß man die "falsche" Warnung der Firewall nur richtig interpretieren.

Es stiftet halt ein wenig Verwirrung, wenn eine komplett fremde Adresse in den Verbindungen erscheint.

Danke

Henry