nicht angemeldet
Ständige Portscanns
Hi,
seit gestern verzeichnet meine Firewall (Sygate Personal F.) ständige Portscanns vom Rechner 62.26.127.130 (MAC: 00-A0-C5-5E-D3-55, ping -a: chupachups.lanlos.org, bei tracert lande ich im gleichen Klasse-B-Netz) auf den Ports 22788, 1182, 3382, 2282, 5490, 12345, 24215, 24759 und 3777 alle 10 Minuten. Wenn ich jedoch die IP in der Firewall sperre, funktioniert der komplette Internettraffic nicht mehr...
Hab soeben Virenscanner (AntiVir PE) aktualisiert (war sowieso nur 3 Tage alt) und durchlaufen lassen - nix. Surfe mit Mozilla. Hab Win2k laufen, Update für Sasser ist installiert außerdem wird lsass.exe von der Firewall geblockt.
tracert chupachups.lanlos.org
Routenverfolgung zu chupachups.lanlos.org [212.122.129.30] über maximal 30 Abschnitte:
1 20 ms <10 ms <10 ms 192.168.1.1
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 80 ms 90 ms 80 ms chupachups.nikoma.de [212.122.129.30]
Ablaufverfolgung beendet.
Was mich jetzt verwundert ist Tracert zu tiscali.de (meinem Provider):
Routenverfolgung zu tiscali.de [62.27.45.170] über maximal 30 Abschnitte:
1 10 ms <10 ms <10 ms 192.168.1.1
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 80 ms 70 ms 81 ms 62.27.45.170
Ablaufverfolgung beendet.
Fast die gleichen Zeiten, gleiche Entfernung etc.
Nun meine Frage: Wer könnte das sein, warum alle 10 Minuten, warum ausgerechnet seit Montag, und hab ich was zu befürchten?
E7
PS: Meine IP ist übrigens zur Zeit 213.54.177.27 für diem die sich selbst überzeugen wollen
-
Moin!
seit gestern verzeichnet meine Firewall (Sygate Personal F.) ständige Portscanns vom Rechner 62.26.127.130 (MAC: 00-A0-C5-5E-D3-55, ping -a: chupachups.lanlos.org, bei tracert lande ich im gleichen Klasse-B-Netz) auf den Ports 22788, 1182, 3382, 2282, 5490, 12345, 24215, 24759 und 3777 alle 10 Minuten.
Alleine diese technischen Angaben beweisen, dass man Personal Firewalls eigentlich doch nur zum User-verunsichern und Panikmachen brauchen kann.
Mal Klartext:
1. Die Angabe einer MAC-Adresse ist sinnlos hoch drei. Das ist die MAC-Adresse deines Routers bzw. der Netzwerkeinheit, welche dir in deinem Netzwerksegment (Ethernet, DSL) die IP-Pakete zugeschickt hat - nicht aber die MAC-Adresse des Portscanners.2. Ob deine Ports echt gescannt werden, oder ob da nur regelmäßig jemand versucht, eine Verbindung zu etwas aufzubauen, was früher mal unter deiner IP erreichbar war, ist nicht geklärt. Die Tatsache, dass regelmäßig alle 10 Minuten "gescannt" wird, deutet auf letzteres hin.
3. Wenn auf den genannten Ports bei dir kein Serverdienst erreichbar ist, bist du auch ohne Firewall sicher.
Wenn ich jedoch die IP in der Firewall sperre, funktioniert der komplette Internettraffic nicht mehr...
Tja, das wiederum scheint mir nun eher ein Bedienfehler auf deiner Seite zu sein.
Hab soeben Virenscanner (AntiVir PE) aktualisiert (war sowieso nur 3 Tage alt) und durchlaufen lassen - nix.
Ein drei Minuten alte Virenscanner kann schon zu alt sein.
Außerdem: Was hat ein Verbindungsversuch von außen denn mit Viren zu tun?
Außerdem:
Routenverfolgung zu chupachups.lanlos.org [212.122.129.30] über maximal 30 Abschnitte:
1 20 ms <10 ms <10 ms 192.168.1.1
Warum gibts als ersten Hop eine private IP-Adresse?
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 80 ms 90 ms 80 ms chupachups.nikoma.de [212.122.129.30]Was mich jetzt verwundert ist Tracert zu tiscali.de (meinem Provider):
Fast die gleichen Zeiten, gleiche Entfernung etc.Mal dumm gefragt: Wenn du aus deinem Haus gehst, zur ersten Kreuzung, dort eine Straße wählst, bis zur nächsten Kreuzung, und so weiter, bis du an der fünften Kreuzung stehst - wäre es denkbar, dass es, alle Straßen der Kreuzungen zusammengenommen, insgesamt mindestens zwei Wege gibt, welche zwar genau über 5 Kreuzungen gehen, an anderen Orten enden, aber von der Gehzeit her genau gleich lang sind?
Nun meine Frage: Wer könnte das sein, warum alle 10 Minuten, warum ausgerechnet seit Montag, und hab ich was zu befürchten?
Du solltest deine Firewall fürchten. Die macht unnötige Panik und nervt anscheinend nur rum, ohne die Lage zu verbessern.
- Sven Rautenberg
-
Hallo,
Warum gibts als ersten Hop eine private IP-Adresse?
Vermutlich sein ADSL Modem/Router, Tracert wurde wahrscheinlich von einer Maschine im Netz abgesandt...
Gruss Daniel
-
hi,
Alleine diese technischen Angaben beweisen, dass man Personal Firewalls eigentlich doch nur zum User-verunsichern und Panikmachen brauchen kann.
sich mal auf http://www.ntsvcfg.de/ zu informieren, könnte idT. mehr bringen.
gruss,
wahsaga--
http://wazgnuks.net/ - back from the dead -
Hi,
erst mal vielen Dank für deine umfangreiche Antwort.
Alleine diese technischen Angaben beweisen, dass man Personal Firewalls eigentlich doch nur zum User-verunsichern und Panikmachen brauchen kann.
Naja, Panik macht sie mir ja nicht, da sie ja eigentlich die Scanns ausfiltert.
- Die Angabe einer MAC-Adresse ist sinnlos hoch drei. Das ist die MAC-Adresse deines Routers bzw. der Netzwerkeinheit, welche dir in deinem Netzwerksegment (Ethernet, DSL) die IP-Pakete zugeschickt hat - nicht aber die MAC-Adresse des Portscanners.
Wusste ich leider nicht.
- Ob deine Ports echt gescannt werden, oder ob da nur regelmäßig jemand versucht, eine Verbindung zu etwas aufzubauen, was früher mal unter deiner IP erreichbar war, ist nicht geklärt. Die Tatsache, dass regelmäßig alle 10 Minuten "gescannt" wird, deutet auf letzteres hin.
Das erklärt allerdings nicht, warum ich seit Montag gescannt werde und vorher nicht, da ich gestern z. B. eine andere IP hatte, und mich vorhin mal neu eingewählt habe. Das muss entweder ein großflächig angelegter Scann sein, oder gezielt auf meinen Rechner gehen (bin unter e7live.us.to mit Dyn-IP erreichbar).
- Wenn auf den genannten Ports bei dir kein Serverdienst erreichbar ist, bist du auch ohne Firewall sicher.
Ist keiner offen, zumindest weiß ich nix davon bzw. würde ich das ja durch die Firewall mitbekommen.
Wenn ich jedoch die IP in der Firewall sperre, funktioniert der komplette Internettraffic nicht mehr...
Tja, das wiederum scheint mir nun eher ein Bedienfehler auf deiner Seite zu sein.Kann sein, aber ich weiß nicht wo der sein soll. Ich sperre lediglich den kompletten Trafic für diese IP.
Außerdem: Was hat ein Verbindungsversuch von außen denn mit Viren zu tun?
Trojaner? Backdoor? Wurm?
1 20 ms <10 ms <10 ms 192.168.1.1
Warum gibts als ersten Hop eine private IP-Adresse?Das ist der Router, allerdings leitet der alle Ports zwischen 1000 und 65.000 auf mich weiter.
aber von der Gehzeit her genau gleich lang sind?
Google und andere Websites sind wesentlich weiter weg (haben ca. 10x leere Zeilen).
Du solltest deine Firewall fürchten. Die macht unnötige Panik und nervt anscheinend nur rum, ohne die Lage zu verbessern.
Ok, danke... Naja, ganz sinnlos ist sie nicht, da ich wenigstens ausgehende Requests kontrollieren kann...
E7
-
Hallo,
Das ist der Router, allerdings leitet der alle Ports zwischen 1000 und 65.000 auf mich weiter.
Warum? Findest du das gut so?
Gruss Daniel
-
Moin!
Das ist der Router, allerdings leitet der alle Ports zwischen 1000 und 65.000 auf mich weiter.
Warum? Findest du das gut so?
Ich finde sowas absolut nicht gut. Weil: Ein Router, der NAT macht, ist besser als jede "Personal Firewall". Der blockt dann nämlich von vornherein SÄMTLICHE Verbindungsversuche aller Würmer im Internet. Alle Rechner, die dahinter im internen Netz hängen, dürfen sich damit als eine Stufe sicherer betrachten.
Einen NAT-Router stellt man nur dann, wenn man es unbedingt braucht, auf Portforwarding ein, und auch nur für exakt den einen Port, den man als Serverdienst nach außen öffnen möchte. Alles andere ist sicherheitstechnisch gesehen eher Selbstmord.
- Sven Rautenberg
-
Hallo Sven,
Einen NAT-Router stellt man nur dann, wenn man es unbedingt braucht, auf Portforwarding ein, und auch nur für exakt den einen Port, den man als Serverdienst nach außen öffnen möchte. Alles andere ist sicherheitstechnisch gesehen eher Selbstmord.
Ich wollte eigentlich, dass e7 selbst auf die Antwort kommt...;-)
Bin eben genau deiner Meinung.
Gruss Daniel
-
Hi,
könnte ich genau so gut machen; allerdings erkennen das z. B. eMule dann (auch wenn ich deren Ports weiterleite!), aber evtl. könnte ich es ja vorerst deaktiveren da eMule schon längere Zeit leer läuft
E7
-
Moin @ All
könnte ich genau so gut machen; allerdings erkennen das z. B. eMule dann (auch wenn ich deren Ports weiterleite!), aber evtl. könnte ich es ja vorerst deaktiveren da eMule schon längere Zeit leer läuft
zum Stichwort eMule habe ich direkt eine Anschlußfrage.
Nach der Hektik der letzten Tage habe ich auf allen Rechnern ZoneAlarm installiert.(Obwohl mein Hardwarerouter angeblich eine integrierte Firewall hat).Im Portforwarding habe ich nur Port 80 offen, und in Zonealarm nur meine interne IP Range.
Zum testen habe ich eDonkey gestartet. Der motzt natürlich, ich wäre nicht erreichbar.
Wie kann es nun sein, das trotzdem von meinem Rechner gesaugt wird ohne Meldung von ZoneAlarm, ganz zu schweigen davon das der Zugriff nicht geblockt wird?
Gruß
Mike--
Murphy: "Wenn etwas schiefgehen kann, dann wird es auch schiefgehen."-
Moin!
Wie kann es nun sein, das trotzdem von meinem Rechner gesaugt wird ohne Meldung von ZoneAlarm, ganz zu schweigen davon das der Zugriff nicht geblockt wird?
Simpel: Dein Rechner verbindet sich zum Suchen und Saugen mit anderen Rechnern. Also besteht eine Verbindung, über die umgekehrt auch die Bitten zum Upload gesendet werden können. Im Gegensatz zum klassischen Server ist das also ein indirekter Verfahren: Jemand, der was von dir will, muß dir diese Information über das Netzwerk per Weiterleitung zukommen lassen, damit du ihm das dann sendest.
Deshalb klappt die Verbindung zwischen Rechnern, die beide hinter einer NAT-Router stehen, nicht, weil keiner eine direkte Verbindung zum anderen aufbauen kann.
- Sven Rautenberg
-
Hi,
Obwohl mein Hardwarerouter angeblich eine integrierte Firewall hat
Aber nur nach innen und nicht nach außen... Wenn man eine Firewall auf seinem Rechner hat, merkt man erst, welche Programme auf seinem Rechner laufen (bzw. man wundert sich, was die im Internet wollen).
Wie kann es nun sein, das trotzdem von meinem Rechner gesaugt wird ohne Meldung von ZoneAlarm, ganz zu schweigen davon das der Zugriff nicht geblockt wird?
ZoneAlarm müsste eigentlich eine Meldung ausgeben. Entweder, du hast die Meldung schon mal irgednwann bestätigt oder du hast irgendeine Ip ausversehen mit in die entsprechende Zone aufgenommen oder du hast ZoneAlarm deaktiviert/an den Einstellungen zu viel rumgespielt.
E7
-
Hallo!
Eigentlich hatte ich gedacht, der Thread sei schon im Archiv, aber er ist ja doch noch da ;-)
Etwas zum Thema: [pref:t=81438&m=473789], auch wenn Du keines der dort genannten Produkte verwendest, das gilt genau natürlich genau so für alle anderen Software-Firewalls.
Grüße
Andreas--
SELFHTML Feature Artikel: http://aktuell.de.selfhtml.org/artikel/ -
Moin!
Aber nur nach innen und nicht nach außen... Wenn man eine Firewall auf seinem Rechner hat, merkt man erst, welche Programme auf seinem Rechner laufen (bzw. man wundert sich, was die im Internet wollen).
Das gilt aber nur für die Programme, die sich an die Spielregeln halten. Es gibt reichlich Möglichkeiten, trotzdem ins Internet zu kommen, indem das Programm
- einen falschen Namen im Dialog der Firewall angibt ("wer würde schon iexplore.exe blocken wollen?")
- harmlose Ports connectieren will (wer blockt schon Port 80?)
- als Plugin in erlaubter Software mitschwimmt.
- Sven Rautenberg
-
-
-
Moin!
könnte ich genau so gut machen; allerdings erkennen das z. B. eMule dann (auch wenn ich deren Ports weiterleite!), aber evtl. könnte ich es ja vorerst deaktiveren da eMule schon längere Zeit leer läuft
Wenn du eMule betreiben willst, informiere dich, welche Ports das Programm öffnet (kann man sicher einstellen), und leite die dann am Router weiter. Damit schränkst du das Risiko für Angriffe aus dem Web ganz erheblich ein, denn wenn nur eMule erreichbar ist, können dir auch nur Fehler in _dieser_ Software zum Verhängnis werden - und es ist nicht jeder x-beliebige Port, den ein anderes Programm öffnet, egal ob gewollt/unbewußt (Default-Installation), oder ungewollt (Wurmaktivität), aus dem Internet erreichbar.
- Sven Rautenberg
-
-
-
-
-