Hacking - Stealth mode connection attempt

Diskutiere mit über: Hacking - Stealth mode connection attempt im Internet- und Netzwerk-Hardware Forum

  1. Hans_eckardt

    Hans_eckardt Thread Starter Gast

    Hallo
    Ich habe ein internes Netzwerk mit 3 Mac Rechnern und einem Windows PC über Ethernet, verbunden über Dreytek Vigor 2200 Router. Nach der Installation von Tiger auf dem Macs habe ich unter Firewall, erweiterte Optionen alles aktiviert inkl. der Protokollierung.

    Jetzt habe ich festgestellt, dass alle Rechner sehr oft mit Hacking angriffen zu tun haben. in den Protokollen steht z.B.:

    May 27 22:18:33 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":50058 from 217.12.4.96:80
    May 27 22:18:35 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":50011 from 217.27.2.150:80
    May 27 22:18:46 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":50124 from 217.72.200.153:443
    May 27 22:18:49 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":50124 from 217.72.200.153:443
    May 27 22:18:55 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":50124 from 217.72.200.153:443
    May 27 22:19:07 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":50124 from 217.72.200.153:443
    May 27 22:19:32 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":50124 from 217.72.200.153:443
    May 27 22:20:20 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":50124 from 217.72.200.153:443
    May 27 22:22:14 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":50235 from 212.243.221.222:80
    May 27 22:22:19 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":50235 from 212.243.221.222:80
    May 27 22:22:29 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":50235 from 212.243.221.222:80
    May 28 05:43:32 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":49365 from 62.26.121.2:80
    May 28 05:43:35 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":49365 from 62.26.121.2:80
    May 28 05:43:41 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":49365 from 62.26.121.2:80
    May 28 05:43:53 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":49365 from 62.26.121.2:80
    May 28 05:44:17 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":49365 from 62.26.121.2:80
    May 28 05:45:05 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":49365 from 62.26.121.2:80


    Kann mir bitte jemand sagen ob das nur Versuche sind oder ob hier jemand schon Zugang hat. Was kann ich dagegen tun um meine Rechner noch sicherer zu machen. Kann ich das testen?

    Danke für eure Hilfe und Tipps

    Hans
     
  2. .mac

    .mac Thread Starter Gast

    moin,

    du sitzt hinter einer nat box und bekommst zugriffsversuche auf port 443 und 80. das ist in der tat mal ein auge wert. der router dürfte bei normaler konfiguration gar nichts zu deinem mac durchlassen, es sei denn darauf liefe ein webserver. schaue mal im router nach, ob dort ports geforwardet sind oder gar dein mac als default dmz host eingetragen ist.
    normalerweise sollten solche meldungen nur beim router selbst auflaufen...
     
  3. Hans_eckardt

    Hans_eckardt Thread Starter Gast

    Hallo und moin

    jetzt muss ich mal erst dumm fragen. NAT Box ist die tdsl box der Telekom? Ein webserver läuft bei uns nicht. Was bedeutet "ob ports geforwardet sind" - und wo sehe ich ob mein Mac als "default dmz host" eingetragen ist?
    Durch welche Einstellungen im Router kann ich das unterbinden?
    Gehe ich recht in der Annahme, dass dies Versuche waren oder ist da schon jemand von draussen drin?
    Danke für Deine Hilfe?
     
  4. tobimacoholic

    tobimacoholic MacUser Mitglied

    Beiträge:
    310
    Zustimmungen:
    0
    Registriert seit:
    30.09.2003
    Hallo Hans_eckardt,

    NAT (= Network Adress Translation) hat nichts mit dem Splitter o.ä. zu tun (oder was meinst Du mit "tdsl Box der Telekom?) Das NAT ist u.a. dafür verantwortlich, dass Deine privaten, also die in Deinem Netzwerk befindlichen, auf öffentliche IP-Adressen abzubilden. Nach außen ist folglich nur eine IP-Adresse erkennbar oder anders gesagt, erscheint Dein Netzwerk im Inernet nur als ein Computer (nämlich der Router). Wenn jetzt immer ausschließlich ein Mac oder ein PC Angriffen ausgesetzt ist, könnte es daran liegen, dass Anfragen aus dem Internet immer an diesen weitergeleitet (.Mac: "geforwardet") werden und er durch die Firewall des Routers nicht geschützt ist.

    Relativ unsicher wäre es, wenn Du einen Rechner als DMZ (Demilitarisierte Zone) eingerichtet hättest. Diese Funktion öffnet einen lokalen Rechner komplett und der Rechner ist damit das sprichwörliche "Offene Scheunentor". Alle eingehenden Pakete werden an den von Ihnen ausgewählten Rechner weitergeleitet. Ausgenommen davon sind natürlich Pakete die als Antwort auf eine von einem
    lokalen Rechner gestellte Anfrage beim Vigor Router ankommen. Das braucht man z.B. für Server.

    Allerdings glaube ich, dass Du weder eine DMZ eingerichtet hast, noch dass Du an der NAT rumgespielt hast, denn das wäre nicht sehr klug, wenn man nicht weiß was das ist. Aber nachprüfen solltest Du es auf jeden Fall.

    Ob Du eine DMZ eingerichtet hast, siehst Du beim Vigor im Setup des Routers.
    Hauptmenü --> NAT Setup --> DMZ Host Setup (Ich habe im Vigor eine englische Firmware, die Bezeichnungen können bei Dir also abweichen).
    Mehr zu NAT: http://www.elektronik-kompendium.de/sites/net/0812111.htm
    Mehr zu DMZ: http://www.elektronik-kompendium.de/sites/net/0907241.htm

    Viele Grüße,
    tobimacoholic
     
  5. .mac

    .mac Thread Starter Gast

    die nat box ist dein router, entschuldige bitte meine unverständliche ausdrucksweise. dein router sollte eben solche meldungen, wie du sie im log hast, unmöglich machen. also würde ich im routermenue folgende punkte nachschauen:
    - ist nat eingeschaltet? (empfehlung: ja)
    - sind bei portforwarding oder virtualserver einträge vorgenommen? (empfehlung: nein)
    - ist firewalling angeschaltet? (empfehlung: ja)
    - dmz host (empfehlung: kein eintrag)
    - fernwarung erlauben? (empfehlung: nein)

    ändere in den einstellungen aber nur etwas, wenn du sicher bist, keine server zu betreiben (web, ftp, fernwartung, usw...), sonst kannst du diese ausser funktion setzen.
    nochmals, diese meldungen sind am/im router durchaus normal, dürfen aber HINTER einem router (also deinem mac) nicht auftauchen.

    fallsu du wirklich unsicher bist, solltest du dir eventuell jemanden kommen lassen, der etwas davon versteht. das ist wahrscheinlich billiger, als der ärger, der aus sowas entstehen kann.
     
  6. Vandien

    Vandien MacUser Mitglied

    Beiträge:
    103
    Zustimmungen:
    1
    Registriert seit:
    04.03.2005
    Falls du dich fragst was da überhaupt vorgeht:
    Ich vermute mal, irgend jemand scannt Netzbereiche deine Providers und versucht das Webinterface deiner Routers zu öffnen, wahrscheinlich mit einem Script (o.ä.) das default Passwörter probiert.
    Jedenfalls sind Port 80 und 443 für HTTP(S), die Ports auf denen Webserver lauschen.

    Das das ganze auf deinem Mac ankommt ist schon komisch, vermute auch das du in der DMZ bist oder aus versehen (?) Ports weitergeleitet hast...
    Wie du rausbekommst wurde ja schon geschrieben :)
     
  7. Hilarious

    Hilarious MacUser Mitglied

    Beiträge:
    2.195
    Zustimmungen:
    5
    Registriert seit:
    25.11.2004
    Vandien hat vermutlich recht, denn die IP-Adressen gehören zu sehr unterschiedlichen Firmen, die alle recht bekannt sind (oder vielleicht gemeinsam eine Verschwörung angezettelt haben ;):

    EDIT: Ich meine nicht seine Vermutung, bei Dir würde jemand die WebServer-Ports scannen, denn wie Dein Log zeigt _kamen_ die Anfragen von den HTTP-Ports 80 und 443. Sie waren nicht auf diese Ports bei Dir gezielt.

    217.12.4.96 -> extads1.vip.ukl.yahoo.com. --> http://uk.yahoo.com
    217.27.2.150 -> ein namenloser Server der infomedia GmbH, Werbebanner
    217.72.200.153 -> img.web.de --> Bilderserver von web.de, Karlsruhe
    212.243.221.222 -> noch ein namenloser der Unisource Business Networks (Schweiz) AG
    62.26.121.2 -> c.as-eu.falkag.net --> Falk eSolutions AG, Tracking & Datamining

    Da diese Server alle über die Ports 80 oder 443 auf dein Netzwerk zugreifen wollten, wird es sich wohl eher um Dinge wie das Setzen eines Cookies gehandelt haben, als Du neulich bei web.de Deine E-Mails eingesehen hast (und nebenbei ein paar Werbebanner sehen musstest). Kann das sein?
     
    Zuletzt bearbeitet: 29.05.2005
  8. .mac

    .mac Thread Starter Gast

    für das setzen eines cookies wird keine eingehende verbindung hergestellt, oder? AFAIK wird da nicht gepusht, sondern der browser holt den cookie (oder eben nicht, je nach gusto).
    wenn die anfragen VON 80 und 443 kamen (sehe nun meinen fehler), müssten in seinem router ja die highports freigegeben sein, oder? wie sollte sonst die wall seines mac solche logs schreiben?

    EDIT: ich hab grad mal die wall meines mini aktiviert (hinter ner natbox) und werde das mal beobachten.
     
    Zuletzt von einem Moderator bearbeitet: 29.05.2005
  9. Vandien

    Vandien MacUser Mitglied

    Beiträge:
    103
    Zustimmungen:
    1
    Registriert seit:
    04.03.2005
    Öhm ja, wer lesen kann... Vergiss den Quatsch von oben ;)

    Du hast mit diesen Servern gesprochen und die haben versucht eine Verbindung zu dir aufzubauen, auf den hohen 50xxx Ports. Du hast die auf 80 und 443 angesprochen, was völlig normal ist.
    Wie nun die Meldung deiner Firewall zu interpretieren ist weiß ich auch nicht genau... Jedenfalls brauchst du dir IMHO keine Sorgen zu machen.
     
  10. Hans_eckardt

    Hans_eckardt Thread Starter Gast

    Zuerst mal Danke für euere Mühe.

    Ich habe mal alle Router Einstellungen geprüft.

    1. Basiskonfiguration Ethernet:
    NAT Adresse

    1. IP Adresse – Standard – vom Router
    2. Teilnetzmaske – Standard vom Provider

    IP Routing – aus
    RIP Datenaustausch – aus
    DHCP Server Konfiguration aktivieren – nein

    2. Einwahl ins Internet

    DSL Verbindung über einen Breitbandanschluss

    PPPoE

    PPPoE Einwahl – aktiv
    ISP Name – von mir vergeben
    Benutzername – meine Einwahlkennung
    Passwort – auch von mir
    Für diese Verbindung aktive Timereinstellungen (1-15) – leer
    ISDN-Backup Einstellungen – aus
    PPP Authentifizierung – PAP oder Chap
    Max. Leerlaufzeit 180 Sek.
    Verbindung immer aktiv – nicht angekreuzt
    IP Adresszuweissung (IPCP)
    Feste IP – nein (dynamische IP)
    Feste IP – leer

    Breitbandzugriff über PPT Einwahl – deaktiviert

    Breitbandzugriff mit IP-Routing – deaktiviert

    3. Sondereinstellungen

    Dynamisches DNS – nicht aktiviert

    NAT (Network Address Translator)
    Portumleitungstabelle – leer
    DMZ-Rechner einstellen – nicht aktiviert, lokaler IP – leer
    NAT-Ports öffnen – leer
    Radius Server Einstellungen – nicht aktiviert
    Feste Adresszuweisung – leer
    Unterpunkt aktive Routing Tabelle zeigt:
    „connected – „meine Standard IP Adresse „, „meine Teilnetzmaske“ is directly connected, IFO
    IP-Filter / Firewall-Einstellungen
    Filter 1 –Default call Filter – aktiv – Block NetBios
    Filter 2 – Default Data Filter – aktiv – xNetBios -> DNS
    Rest ist leer
    VPN und externe Einwahl
    Einwahl aktivieren (angekreuzt ist PPTP, IPSec, L2TP)
    PPP-Einstellungen
    PPP-Authentifizierung – Pap oder Chap
    Gegenseitige Authentifizierung – Nein – Rest leer

    VPN-IKE Einstellungen für die Einwahl in diesen Vigor:
    IKE Authentifizierung – leer
    IPSec Methode – mittlere Sicherheit (AH) aktiviert
    - Hohe Sicherheit (ESP) aktiviert

    Externe Nutzer – leer
    VPN-/LAN-LAN Verbindung – leer

    Mehr Einstellungen gibt es nicht beim Router. Vielleicht könnt ihr was damit anfangen?

    Nochmals Danke

    Hans
     
Die Seite wird geladen...
Ähnliche Themen - Hacking Stealth mode Forum Datum
Airport Express A1264 - client mode - Client-Modus Internet- und Netzwerk-Hardware 18.10.2016
Info: 7.6.3 auf APX macht Gast WLAN auch im Bridge Mode verfügbar Internet- und Netzwerk-Hardware 10.02.2013
Hilfe - Airport dauerhaft im passiv-mode Internet- und Netzwerk-Hardware 23.12.2010
Gibt es wlan-router der in ''client mode'' funktioniert? Internet- und Netzwerk-Hardware 16.08.2008

Diese Seite empfehlen

Benutzerdefinierte Suche