Hilfe!

Carsten

Aktives Mitglied
Thread Starter
Dabei seit
17.02.2003
Beiträge
146
Reaktionspunkte
0
Ich brauche dringend bitte mal Eure Hilfe! Ich denke, dass jemand versucht, auf meine Bürorechner zu gelangen. Habe 2 Netzwerke via vpn miteinander verbunden. Aus beiden Richtungen wird m.E. gepingt. Seit kurzer Zeit habe ich auch Apple Remote Desktop, um die speziellen Programm von zu Hause aus laufen zu lassen. Hatte bereits vor ein paarTagen den Verdacht, dass jemand sich über vnc Zugriff verschaffen will, heute dann habe ich gesehen, dass mich jemand beobachtet. Habe natürlich gleich das Passwort geändert und die Firewall ein Protokoll (allerdings erst ab dann) schreiben lassen.
Das Problem ist ja nicht, das Protokoll schreiben zu lassen als vielmehr, es auszuwerten. Folgende Zeilen, die sehr oft auftauchen, scheinen mir nicht ganz normal zu sein. Vielleicht kann mir einer helfen:
1)
"May 29 17:04:34 meinname ipfw: Stealth Mode connection attempt to TCP 192.168.x.x:56674 from 62.104.23.74.80"
2)
May 29 17:05:09 meinname ipfw: 12190 Deny TCP 192.168.x.x:51445 192.168.x.x:3863 in via en0"

Bei Nr. 1) beunruhigt mich das Wort "Stealth" und die 62er-Nummer. Die Meldung kam innerhalb sehr kurzer Zeit locker 30 Mal. Die Meldung zu 2) eigentlich alle 3 Sekunden (könnte vielleicht der Ping des vpn gekoppelten Netzwerkes sein?)

Bevor ich Strafanzeige stelle würde ich eigentlich davor genauer wissen, wass die beiden Zeilen zu bedeuten haben.

Danke schon einmal
Carsten
 
"May 29 17:04:34 meinname ipfw: Stealth Mode connection attempt to TCP 192.168.x.x:56674 from 62.104.23.74.80"
2)
May 29 17:05:09 meinname ipfw: 12190 Deny TCP 192.168.x.x:51445 192.168.x.x:3863 in via en0"

Zu 1)
Die Meldung besagt nur, daß Deine Firewall im Stealth-Mode arbeitet und jemand versucht hat auf Port 56674 Deines Rechners zuzugreifen. Also nichts besonderes. Vielleicht ist das sogar eine Antwort irgendeines Webservers, weil die Anfrage von Port 80 kam. Oder gehört die IP zu Deinem anderen Netzwerk, sie ist auf Freenet registriert.

Zu 2) Das ist auf jeden Fall nur eine interne Verbindung innerhalb Deines lokalen Netzwerks, wie Du an den IP-Adressen sehen kannst.

EDIT: Wie kommst Du denn darauf, daß sich jemand Zugriff verschafft hat?
 
Bevor ich Strafanzeige stelle würde ich eigentlich davor genauer wissen, wass die beiden Zeilen zu bedeuten haben.

Hoppla...ganz ruhig und nicht solche Panik!
Erst mal kurz schlau machen was den stealth modus etc. betrifft und dann klärt sich vieles von alleine. ;)
 
Danke für Deine Antwort.

Ich kann den Rechner, an dem ich im Büro arbeite, über ARD fernsteuern, damit ich das Programm, das dort installiert ist, letztlich auch von zu Hause benutzen kann. Ich lasse mir in der obersten Zeile den ARD-Status anzeigen. Nur ich kenne erlaubter Maßen den Zugang. Und heute war der Status auf beobachten.

Zudem habe ich seit einiger zeit festgestellt, dass wenn ich ARD von zu Hause starte, mein Rechner erst kurz inaktiv war, obgleich ich schon locker 30 Stunden keinen Zugriff hatte.
Auch wunderte ich mich, warum der Bildschirm nicht abschaltete, sondern stets der Bildschirmschoner aktiv war.
Nachdem ich nunmher das Passwort geändert hatte, ging der Bildschirm erstmalig seit langer Zeit wieder in den Ruhezustand.
OkOk, ich lese gerade das Buch über die Barschel-Affaire und vielleicht nimmt mich das zu sehr mit. Aber ich habe einfach etwas dagegen, wenn mich jemand ausspionieren will (Anm: Es gibt durchaus derzeit Gründe, weshalb so etwas geschehen könnte)
 
OK, das klingt ja schon mal recht plausibel und würde mich auch etwas Angst machen...

1. Warum ist auf Deinem Rechner zu Hause überhaupt ein ARD-Server an? Du willst doch nur auf den im Büro zugreifen?
2. Wie hast Du die Verbindung konfiguriert? Läuft es alles über eine verschlüsselte Verbindung? Sicheres Paßwort gewählt?
 
zu 1) kommt auch manchmal vor, dass ich eben mal auf meinen Rechner zu Hause zugreifen will.
zu 2) Die Verbindung erfolgt eigentlich über vpn und der Tunnel soll sicher sein. Es gehen nur verschlüsselte Pakete raus. Ich habe jetzt das Passwort für den ARD-Zugriff noch umständlicher gemacht, dass ich hoffe, es nie zu vergessen.

Hey ich sehe gerade,: Du kommst ja auch aus Berlin! *freu*
 
Zu 1)
Die Meldung besagt nur, daß Deine Firewall im Stealth-Mode arbeitet und jemand versucht hat auf Port 56674 Deines Rechners zuzugreifen. Also nichts besonderes. Vielleicht ist das sogar eine Antwort irgendeines Webservers, weil die Anfrage von Port 80 kam. Oder gehört die IP zu Deinem anderen Netzwerk, sie ist auf Freenet registriert.

Nein, ist nicht meine andere IP, hatte ich schon abgeklärt.
 
Die Verbindung erfolgt eigentlich über vpn und der Tunnel soll sicher sein. Es gehen nur verschlüsselte Pakete raus. Ich habe jetzt das Passwort für den ARD-Zugriff noch umständlicher gemacht, dass ich hoffe, es nie zu vergessen.

Dann solltest Du Deine Firewall zu Hause so einstellen, daß Anfragen an den ARD-Port nur über den VPN-Tunnel kommen dürfen. Was für eine Firewall verwendest Du?

Hey ich sehe gerade,: Du kommst ja auch aus Berlin! *freu*

Ja, nette kleine Stadt. Kannst ja zum MUT am Freitag kommen :)
 
Ich lasse im Büro die Firewall vom Vigor laufen und in den Systemeinsstellungen ist die von Apple auch aktiviert. Ich mußte die vom Router aber wegen ARD durchlöchern und einige Ports freigeben.
Für die Ausschließlichkeit des Zugriffs über vpn spricht eine ganze Menge. Mal schauen, wo ich das einstellen muss. Kann ich ja dann wieder freigeben, wenn ich mal vom Urlaub aus zugreifen will.

Hab gerade einen kleinen Sohn bekommen und der will Papa am Freitag sehen. Schließlich bin ich normaler Weise sonst wie lange im Büro und hab kaum Zeit für den Kleinen :-( . aber wenn der Kleine etwas Älter ist komm ich gerne mal mit!
 
Zurück
Oben Unten