Hallo. Als ich heute mal die Log-Datei meines Routers anschaute stellte ich folgendes fest: Page 1/3 WAN Type: PPP over Ethernet (V3.04) Display time: Sun Jan 30 17:55:14 2011 Sonntag, 30. Januar 2011 17:33:29 Unrecognized attempt blocked from 87.123.3.54:3647 to TCP port 445 Sonntag, 30. Januar 2011 17:33:32 Unrecognized attempt blocked from 87.123.3.54:3647 to TCP port 445 Sonntag, 30. Januar 2011 17:33:38 Unrecognized attempt blocked from 87.123.3.54:3647 to TCP port 445 Sonntag, 30. Januar 2011 17:34:59 Unrecognized attempt blocked from 208.43.145.78:12200 to TCP port 8008 Sonntag, 30. Januar 2011 17:35:00 Unrecognized attempt blocked from 208.43.145.78:12200 to TCP port 8088 Sonntag, 30. Januar 2011 17:37:45 Unrecognized attempt blocked from 87.121.66.37:1236 to TCP port 445 Sonntag, 30. Januar 2011 17:37:47 Unrecognized attempt blocked from 87.121.66.37:1236 to TCP port 445 Sonntag, 30. Januar 2011 17:37:54 Unrecognized attempt blocked from 178.19.182.72:4489 to TCP port 445 Sonntag, 30. Januar 2011 17:37:57 Unrecognized attempt blocked from 178.19.182.72:4489 to TCP port 445 Sonntag, 30. Januar 2011 17:39:56 Unrecognized attempt blocked from 87.123.51.59:10147 to TCP port 445 Woher kommt das? Habe ich einen Wurm/Trojaner auf dem Rechner? Sowohl Virenscanner als auch Firewall melden sich nicht. Ich habe beim googlen einen Beitrag gefunden, der sagte, das sei ganz normales "internet-Rauschen", Und dass irgendwelche Windows-Rechenr über den Port überprüfen, ob Netzwerkfreigaben da sind. Aber: dann müssten das ja alle haben. Ein KOllege hat jedoch nichts derartiges in seinem Router-Log stehen. Was nun? LG, Björn
:
Verschoben durch Admin
Wenn es sich um einen Windows-Rechner (oder Linux mit Samba) handelt, sollte es OK sein, 445 ist Microsoft-DS. mfG ingo
Nichts nun. Ich habe auch immer wieder solche Einträge im Router-Log. Das geht über alle Ports, besonders gerne 80, 25 und 443. Also die typischen Ports fürs WWW und E-Mail. Einerseits sind das wirklich Windows-PCs die Freigaben suchen, andererseits sind das auch verseuchte PCs die andere infizieren wollen. Solange aber der Router alle blockt, sollte es da keine Probleme geben.
Da sind immer irgendwelche Geier unterwegs, die nach offenen Shares suchen, über die sie ins System eindringen können. Port 445 ist SMB
Vielen Dank für die raschen Antworten. Ich habe jetzt alle Freigaben weggemacht, die "Angriffe" sind aber immer noch da. Das Router-Log ist 24 Seiten lang, ich glaub länger geht auch gar nicht. Und alle gehen auf Port 445. Eigentlich hörte sich das ja gut an, was ihr da gesagt habt, aber komisch kommts mir schon vor. Wieso sollte ein Windows-Rechner im Internet nach freigaben suchen, und woher kennt der meine IP-Adresse, Zufall? wenn dem so wäre müsste ja auch mein Windows-Rechner ständig das ganze internet abgrasen, das kann ich mir nicht vorstellen. Außerdem irritiert mich, dass der kollege die Dinger nicht hat, und dass, wenn man mal googlet, 90% der leute, die das gleiche Problem haben, einen D-Link Router haben, genau wie ich. Also wenn einer noch eine Idee hat, imme rher damit...Ich weiß nicht, was ich noch machen soll...
Björn R. schrieb: > Ich habe jetzt alle Freigaben weggemacht, die "Angriffe" sind aber immer > noch da. War denn der Port 445 vorher offen? > Das Router-Log ist 24 Seiten lang, ich glaub länger geht auch > gar nicht. Und alle gehen auf Port 445. In welcher Zeit kamen denn die 24 Seiten zusammen? > Wieso sollte ein Windows-Rechner im > Internet nach freigaben suchen, und woher kennt der meine IP-Adresse, > Zufall? Ich hatte das auch schon. Die picken sich einfach zufällig IP-Adressen raus und versuchen ihr Glück. > wenn dem so wäre müsste ja auch mein Windows-Rechner ständig das > ganze internet abgrasen, das kann ich mir nicht vorstellen. Wieso? Normalerweise läßt man den 445 nur ins lokale Netz. Da muß schon jemand - höchstwahrscheinlich absichtlich - aus dem LAN raus langen. Kommen die Versuche immer von derselben IP-Adresse, oder ändert die sich? Du könntest ja mal über einen Whois-Dinst nachsehen, was das für Quelladressen sind, z.B. über http://cqcounter.com/whois/
Der Port war nie offen, mir ist nur gestern erst aufgefallen, dass der sich im Log so häuft. Keine Ahnung, wie lang das schon ist. Was auch auffällt, ist, dass es zu der Zeit, in der ich den Rechner aus hatte (heute Nacht), keine Einträge im Log gibt. Gerade habe ich den Rechner wieder eingeschaltet, das Log noch einmal gecleart und 5min später habe ich schon wieder 20 Einträge. Diesmal allerdings überwiegend auf UDP 15354, aber auch TCP 445 waren noch einige dabei. Jeweils von verschiedenen IP-Adressen, die noch nichtmal alle aus dem gleichen Adressraum kommen. Für mich sieht es wirklich so aus, als würde irgendein Wurm hier raustelefonieren und seinen Wurmgeschwistern meine IP flüstern, die dann versuchen hier reinzukommen. Allerdings hat wie gesagt weder der Virenscanner noch die Firewall was gefunden. Laut Firewall gibts nur Verbindungen vom Firefox, Miranda, svchost.exe und ab und an eine von "System". was das sein soll, weiß ich allerdings nicht. Da steht nur System und kein pfad oder datei. Das hatte ich allerdings ausgeschlossen, weil der Kollege mit der gleichen Firewall und dem lupenreinen Router-Log das auch hat. LG, Björn
Es zeichnet sich doch noch ein Teilmuster ab: Die Zugriffe auf Port 445 scheinen alle von Versatel zu kommen (mein Provider). Die auf die ganzen andern Ports, die mittlerweile weit mehr geworden sind, kommen aus so schönen Ländern wie Russland, Ukraine, Polen, Slowakei... Ich bin weiß gott kein Nationalist, aber irgendwie wird mir mulmig... LG, Björn
>Ich bin weiß gott kein Nationalist, aber irgendwie wird mir mulmig...
Dann solltest Du einer werden und ein gutes deutsches Betriebssystem
verwenden.
doch Gast
Deinem Logausschnitt aus dem Eingangsposting kann man entnehmen, daß die 445er von außen kommen. Du kannst ja mal wireshark auf deinem Rechner installieren und lauschen, ob auf deinem LAN smb-Verkehr nach einer externen IP-Adresse stattfindet. Daß derlei Requests auch aus Ländern kommen, die hier nicht ohne Recht in gewisser Beziehung als zwielichtig gelten, ist zu erwarten und nicht beunruhigend, so lange die Kerle nicht eindringen können. Wenn es sich bei den IP-Adressen um Adressen aus Provider-IP-Blocks handelt, dann sind das wohl irgend welche Zombies, die das Web nach verwundbaren Rechnern durchscannen, um die dann in das dahintersteckende Botnet einzureihen. Ich betreue einen Server, auf dem auch dauernd Einbruchsversuche geloggt werden. Die suchen meistens auf Port 80 nach PHPmyadmin und geigen dafür alle möglichen, gängigen URLs dafür durch. Außerdem sehe ich dort häufig WebDAV-Zugriffsversuche. Das alles scheitert und das wars dann.
Wireshark kannte ich noch nicht. Leider bin auch absolut kein netzwerkspezialist... Das Programm scheint einiges zu können(mit dem ich als unwissender wenig anfangen kann). Alles was ich jetzt mal gemacht habe ist Miranda aus, firefox aus usw, und dann mal fröhlich auf meiner Netzwerkkarte gecaptured. Ergebnis im Anhang. Meine laienhafte Analyse: -raus geht nichts -Ich sollte mich um unseren Drucker kümmern(192.168.0.7), was immer auch meinen Rechner(192.168.0.3) dazu veranlasst, ständig beim Router nachzufragen wer das ist -Irgendeinen Alarm macht noch das Notebook meines Vaters?? Weder das Notebook noch der Drucker sind eingeschaltet... Mit den ICMPv6-Dingern kann ich nichts anfangen, was macht der Router da? Im router-Log überwiegen jetzt ganz klar UDP 43709 und UDP 15354. googlen anch diesen beiden bringt nichts(für mich) brauchbares zutage... LG, Björn
Da ist nichts unnormales zu sehen. Der Rechner fragt die Umgebung auf dem LAN ab - das macht er, damit er neue Shares finden kann. Schlag einfach bei Wikipedia die verschiedenen Protokolle - z.B. ARP - nach, dann wirst du recht bald ein Bild davon haben, was auf der LAN-Strippe so alles los ist. Experimentiere einfach mal mit wireshark. Der ist ein sehr mächtiges Analysewerkzeug, mit dem man herausfinden kann, was auf der Leitung zwischen dem eigenen Rechner und dem Switch oder dem Router los ist. Was auf anderen Segmenten passiert, sieht man nicht ohne einigermaßen aufwendige Tricks.
> -Ich sollte mich um unseren Drucker kümmern(192.168.0.7), was immer auch > meinen Rechner(192.168.0.3) dazu veranlasst, ständig beim Router Druckertreiber wurden schon öfters als Backdoor-Programme gehalten, hauptsächlich die von HP :-)
Wenn ich bei mir oder anderen die Sicherheit testen möchte benutze ich: Shields UP von der Seite: grc.com
Nochmal danke für eure schnelle und fundierte Hilfe. Das scheint tatsächlich völlig normal zu sein. Ich habe jetzt mal von einer Ubuntu-Live-CD gebootet und auch dann kommen die Zugriffe. Der Router von dem kollegen loggt überhaupt nicht mit, wenn er was blockt. LG, Björn
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.