Ich beobachte schon seit laengerem das bei mir das Warnfenster der Firewall aufgeht weil irgendwelche fremden Rechner versuchen meine Ports abzuscannen. Und das passiert nur wenn ich im Browser diese Seite hier offen habe. Es passiert aber nicht jedesmal wenn man hier ist. Ich schaetze mal so in 5% der Faelle. Hat das ausser mir noch jemand anderes beobachtet? Warum ist das so? Olaf
Olaf Kaluza schrieb: > Ich beobachte schon seit laengerem das bei mir das Warnfenster > der Firewall aufgeht weil irgendwelche fremden Rechner versuchen > meine Ports abzuscannen. hast du etwa keinen Router? Dann dann sollte überhaupt niemand von aussen auf deine Ports kommen. Dann ist es ein Fehler der Firewall. Wenn du direkt am internet hängst ist das nichts ungeöhnliches und ist für eine Firewall überhaupt kein Grund sich zu melden. Fazit: firewall schlecht.
> Fazit: firewall schlecht. Unabhaengig davon ob deine Bewertung nun zutrifft oder nicht, die Frage ist wieso passiert das nur bei dieser Seite hier! > ist für eine Firewall überhaupt kein Grund sich zu melden. Das kommt darauf wie man sein System konfiguriert. Ich moechte es normalerweise wissen wenn es jemand probiert. Olaf
Sag doch erstmal ob du hinter einem Router bist oder nicht. Ich vermute mal sehr stark das die Firewall bei vielen abgehenden Verbindung (jweils von aufsteigenend sende Ports zu Port 80) das ganze als Portscan interpretiert. Welche Ports sind denn Betroffen, gibt es mehr details zu dieser Meldung?
Habe ich noch nicht beobachtet, werde aber mal darauf achten und wenn es passiert den Status offener Verbindungen sichern (netstat oder Protokoll der Firewall). Eine moderne Webseite hat ja x Inhalte von außerhalb (Werbung, Cookies, Social Mist...) und es ist nur eine Frage der Zeit bis einer der externen Server das missbraucht. Möglicherweise bin ich auch weniger betroffen, weil ich standardmäßig Noscript (kein JS, kein Flash) und Abblock+ verwende.
> Sag doch erstmal ob du hinter einem Router bist oder nicht. Bin ich. (Draytek Vigor) > Ich vermute mal sehr stark... Was immer es ist, es passiert nur hier. Und auch nicht jedesmal. Ich habe heute morgen extra mal diese Seite immer offen gelassen und es ist bisher noch nicht wieder passiert. > Welche Ports sind denn Betroffen, gibt es mehr details zu dieser > Meldung? Ich habs mir jetzt nicht im Detail gemerkt. Ich bekomme halt die Meldung das irgendwelche fremden Rechner dauernd versuchen mit mir eine Verbindung aufzubauen und setze deren IP dann auf eine Blacklist. Olaf
Angehängte Dateien:
-
intrusion.gif
36 KB
Hey..kaum redet man drueber schlagen die Burschen zu. :-) Ich hab mal ein Screenshot des Fensters angehangen. Olaf
Olaf Kaluza schrieb: > Bin ich. (Draytek Vigor) dann hast du noch ein anderes Problem, hinter einen NAT-Router sollte NIE ein unangefordertes UDP packet zu deinem Rechner gelangen. Etweder spinnt der router oder die Firewall.
Olaf Kaluza schrieb: > Was immer es ist, es passiert nur hier. Bedeutet nur, dass du zuviel/zulange auf µc.net unterwegs bist. Die "Portscans" kommen, weil du mit dem Internet verbunden bist. Mit dem Internet bist du verbunden, weil du µc.net benutzt... Mehr hat das nicht miteinander zu tun. Ausserdem sind das meist keine "Angriffe". Der "Vorbesitzer" der IP hatte halt ein Filesharing/Torrent/P2P-Programm offen (auch Skype ist z.B. ein P2P-Programm). Die IP ist dann noch einige Zeit in den jeweiligen Netzen gespeichert und wird halt ab und an nochmal angesprochen. Wenn dich das stört: Neu "einwählen", neue IP bekommen... Olaf Kaluza schrieb: > Verbindung aufzubauen und setze deren IP dann auf eine Blacklist. Hilft nix, das sind auch dynamische IPs...
Εrnst B✶ schrieb: > Ausserdem sind das meist keine "Angriffe". Der "Vorbesitzer" der IP > hatte halt ein Filesharing/Torrent/P2P-Programm offen (auch Skype ist > z.B. ein P2P-Programm). Es kommen zwar manchmal komische Pakete vom Vorbesitzer an, aber viel häufiger sind es doch systematische Scans von irgend welchen Bots, die Schwachstellen suchen, um Server zu finden, die sie für ihre Zwecke mißbrauchen können. Auf meinem Server kommen täglich mehrfach solche Scans und Hackversuche - wenn die gesuchte Schwachstelle nicht vorhanden ist, dann geben sie auf, was aber nicht bedeutet, daß der gleche Angriffsversuche nicht wenige Minuten später nochmal kommt.
Uhu Uhuhu schrieb: > Es kommen zwar manchmal komische Pakete vom Vorbesitzer an, aber viel > häufiger sind es doch systematische Scans von irgend welchen Bots, die > Schwachstellen suchen, um Server zu finden, die sie für ihre Zwecke > mißbrauchen können. aber doch nicht hinter einer NAT-Firewall. > Auf meinem Server kommen täglich mehrfach solche Scans und Hackversuche > - wenn die gesuchte Schwachstelle nicht vorhanden ist, dann geben sie > auf, was aber nicht bedeutet, daß der gleche Angriffsversuche nicht > wenige Minuten später nochmal kommt. richt, hängt ja auch nicht am NAT.
Womöglich hat er ja seine Firewall im Router deaktiviert...
Uhu Uhuhu schrieb: > Womöglich hat er ja seine Firewall im Router deaktiviert... dafür braucht man überhaupt keien Firewall. Der router weiss ja überhaupt nicht an wen er das Packet schicken soll.
Wenn ich das lese krausen sich meine Nackenhaare ;) Die Meldung besagt nun ganz eindeutig, dass unerwünschte Pakete aus dem Netz auf seinem Rechner aufschlagen und gefiltet werden. Interessant ist, dass diese Pakete dort überhaupt ankommen. Es gibt Varianten des Draytek Vigor, die auch nur als Modem arbeiten können. in dem Fall hängst du mit deinem PC direkt am Internet. Check das mal bitte. Wenn die Routingfunktion aktiv ist, check bitte, ob die Firewall im Router aktiv ist. Soweit so gut. Mach mal einen Online-Portscan, und poste das ergebnis hier im Forum: http://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1 Damit sieht man, welche Ports (Dienste) auf deinem Rechner bzw. aus deinem Netz von außen her erreichbar sind. Zur Sicherheit empfehle ich dir, auch zu prüfen, ob -dein PC einen aktuellen Virenscanner hat -das Regwelwerk deiner Firewall mal analysieren zu lassen bzw. hier zu posten. gruß tobi
Olaf Kaluza schrieb: > Hey..kaum redet man drueber schlagen die Burschen zu. :-) > Ich hab mal ein Screenshot des Fensters angehangen. Jemand scannt per udp den Rechner ab. Das ist erst mal nichts Auffälliges und passiert jedem Surfer zig-fach am Tag. IdR filtert eine Firewall solche Pakete weg, es sei denn, der udp-Port ist gerade offen. Denn anders als bei tcp kann eine Firewall idR einem eingehenden udp-Paket nicht ansehen, ob es angefordert wurde. Udp-Ports bleiben deshalb für eine bestimmte Zeitdauer geöffnet, wenn die Firewall nur mit irgendwelchen Antworten per udp rechnet. Diese Zeitdauer kann je nach Konfiguration der Firewall im Minutenbereich liegen. Wie der Angreifer auf die IP-Adresse kommt, ist eine andere Frage. Es kann sich bei dynamisch vergebenen Adressen um nachlaufende Relikte früherer fremder Nutzungen der aktuell eigenen IP-Adresse handeln. Dh es kann sich durchaus um eine legitime Anwendung handeln, die noch nicht erkannt hat, dass die Nutzung der IP geändert wurde. Es ist aber genauso gut möglich (und wahrscheinlich) dass dem Angreifer ein Datenpaket mit Deiner aktuellen IP-Adresse unter die Augen gekommen ist, so dass er es einfach aufs Neue versucht. Bis eines Deiner Netzwerkpakete ins Ziel gelangt, muß es etliche Internetstationen durchlaufen. Und überall kann gesnifft werden (Stichwort traceroute). Wenn man solche Meldungen nicht haben will, ist die Konfiguration der Firewall anzupassen oder noch besser ein Proxy auf der Firewall zu installieren, z.B. fürs Surfen squid, um solche Scannversuche zuverlässig am Netzwerk-Perimeter abzufangen.
da aber sein rechner vermutlich nicht eine UDP verbindung aufbaut wenn er auf www.mikrocontroller.net geht, sollte dieser Port von aussen überhaupt nicht weitergeleitet werden. Das ganze ist sehr merkwürdig.
hacker-tobi schrieb: > Die Meldung besagt nun ganz eindeutig, dass unerwünschte Pakete aus dem > Netz auf seinem Rechner aufschlagen und gefiltet werden. So eindeutig finde ich das gar nicht. Es könnte auch die Firewall auf dem Router sein, mit einem auf dem PC laufenden Frontend.
Peter II schrieb: > da aber sein rechner vermutlich nicht eine UDP verbindung aufbaut wenn > er auf www.mikrocontroller.net geht, sollte dieser Port von aussen > überhaupt nicht weitergeleitet werden. > Das ganze ist sehr merkwürdig. Mag sein. Kann aber auch sein, dass er per tcp-Verbindung surft, jemand eines der Pakete bemerkt, die IP-Adresse extrahiert und dann per udp-Portscann auf Verdacht hin loslegt. Und mit etwas Glück findet er einen offenen udp-Port, besonders wenn er anhand des/der beobachteten Paketen einen Hinweis auf das verwendete Betriebssystem findet. Es könnte sich auch um jemanden handeln, der einfach alle in Deutschland derzeit verwendeten IP-Adressen scannt. Dazu reichen ein handelsüblicher Desktop-Rechner und etwas Zeit aus.
pv schrieb: > Kann aber auch sein, dass er per tcp-Verbindung surft, jemand eines der > Pakete bemerkt, die IP-Adresse extrahiert und dann per udp-Portscann auf > Verdacht hin loslegt. geht ja nicht weil das nat keine ausgehende UDP verbindung hat. > Und mit etwas Glück findet er einen offenen udp-Port, besonders wenn er > anhand des/der beobachteten Paketen einen Hinweis auf das verwendete > Betriebssystem findet. diese muss dann auch noch zur absender IP passen. Der Port in NAT ist ja nur von diesem Absender offen. Und warum ausgerechnet wenn er den Browser nutzt? oder er hat einen "schlauen" router der alles an einen PC weiter leitet wenn nur ein PC angeschaltet ist.
Peter II schrieb: > oder er hat einen "schlauen" router der alles an einen PC weiter leitet > wenn nur ein PC angeschaltet ist. Ohne einen dump am äußeren Nic des Routers wird es bei Mutmaßungen bleiben müssen.
Ich habe mal die Scannerseite der c't fuer windows, linux und router
durchprobiert und sie findet keine offenen Ports. Ausserdem geht
bekomme ich dabei keine Warnmeldung meiner Linux-Firewall.
Oh..und wenn ich das richtig sehe dann habe ich zwei Firewalls. Eine ist
Bestandteil des Vigors, und eine ist Teil meines Betriebsystems. Die
Warnungen kommen von der internen Firewall.
Ich hab ja hier schon eine Menge interessante Theorien gelesen. Aber was
mich dabei sehr erstaunt ist das es halt nur beim lesen von
www.mikrocontroller.net passiert! Viele der hier aufgefuehrten Theorien
muessten aber genauso zuschlagen wenn ich z.b www.heise.de lese oder
irgendeine andere Seite.
> Und warum ausgerechnet wenn er den Browser nutzt?
Nochmal zu Sicherheit. Nur wenn ich mit dem Browser
www.mikrocontroller.net lese! Ich kann es mir nur so erklaeren das
vielleicht eine der Werbeanzeigen auf dieser Seite irgendwie mitbekommt
wer man ist und dann zuschlaegt. Andererseits haette das ja auch schon
anderen auffallen muessen und es war Ziel meiner Frage hier das
rauszufinden.
Olaf
Oh..und eins noch. Dieses Verhalten beobachte ich jetzt seit ein paar Monaten. Es war nicht schon immer so. Es hat sich also etwas in der boesen Welt aussehalb meines Computers geaendert was zu diesem Verhalten fuehrt.
Ist das deine eigene IP? Es ist zumindest eine normale Einwähl-IP und das schließt somit die Werbungen hier aus. Ich vermute mal stark eine Fehlkonfiguration einer der beiden Firewalls.
Die IP aus dem Screenshot ist eine vom T-Online Proxy-Server (www-proxy.t-online.de) - Verwendest du T-Online-Software? Dann könnten das evtl. Antwortpakete auf DNS-Anfragen sein...
Wird den Mist weg, k-lb-a01.isp.t-ipnet.de ist Kölner DNS-Server von T-Online, was mich einfach mal darauf schließen lässt, dass du aus dem entsprechenem Großraum und Kunde beim großen T bist. War auch kaum anders zu erwarten, sog. Personal Firewalls sind ziemlicher Müll. http://www.ulm.ccc.de/PersonalFirewalls Dein Router ist schlichtweg klüger als deine Pseudofirewall, er merkt sich nämlich, dass du eine DNS-Anfrage gesendet hast, und leitet die Antwort darauf völlig korrekt an deinen Rechner weiter. hacker-tobi schrieb: > -dein PC einen aktuellen Virenscanner hat > -das Regwelwerk deiner Firewall mal analysieren zu lassen bzw. hier zu > posten. Beides nicht gerade der Weißheit letzter Schluss. Bei deinem Posting stellen sich mir auch die Nackenhaare auf, Hauptsache erstmal irgendwas machen, ohne drüber nachzudenken. Vom zweifelhaften Zweck eines Malwarescanners abgesehen, wofür genau im konkreten Fall?
Der erste vernünftige Post in diesem ganzen Thread!
Olaf Kaluza schrieb: >> ist für eine Firewall überhaupt kein Grund sich zu melden. > > Das kommt darauf wie man sein System konfiguriert. Ich moechte es > normalerweise wissen wenn es jemand probiert. Warum? Machst du dann den Rechner aus?
Thread beobachten
Seitenaufteilung abschalten
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.