Hallo zusammen,

ich bin Laie auf dem Netzwerkgebiet, deshalb entschuldigt ungenaue/falsche Beschreibungen:

Wir sitzen hier in einem virtuellen Netzwerk einer größeren Institution. Das virtuelle Netzwerk umfasst ein Subnetz. Anbindung ist über ein Backbone an das RZ.

Mit einer best. IP-Adresse aus diesem Subnetz versucht jemand ständig auf andere Rechner zuzugreifen. Natürlich haben wir sofort in der Firewall die entsprechende IP und die MAC-Adresse gefiltert.

Ich würde aber gerne mehr über diesen Angreifer rausbekommen. Als erstes habe ich mal ein nbtscan gemacht.
Rechnernamen habe ich nun und die MAC Adresse.
Dann habe ich mal mit nmap den Rechner gescannt.

nmap 3.81 scan initiated Thu Sep 08 15:53:11 2005 as: nmap -sS -F -o xxx.log -v -O -P0 x.x.x.x

Interesting ports on xxx (x.x.x.x):
(The 1212 ports scanned but not shown below are in state: closed)
PORT     STATE SERVICE
113/tcp  open  auth
135/tcp  open  msrpc
139/tcp  open  netbios-ssn
443/tcp  open  https
445/tcp  open  microsoft-ds
1025/tcp open  NFS-or-IIS
4000/tcp open  remoteanything
5000/tcp open  UPnP
8000/tcp open  http-alt
MAC Address: 08:00:46:D0:CE:BC (Sony)
Device type: general purpose
Running: Microsoft Windows 95/98/ME|NT/2K/XP
OS details: Microsoft Windows Millennium Edition (Me), Windows 2000 Pro or Advanced Server, or Windows XP, Microsoft Windows XP SP1
TCP Sequence Prediction: Class=random positive increments
                         Difficulty=10920 (Worthy challenge)
IPID Sequence Generation: Busy server or unknown class

Was bringen mir jetzt diese Infos? Wo kann ich weitermachen? Was würdet Ihr empfehlen?

Gruss
LeKuchen