Hacking - Stealth mode connection attempt

H

Hans_eckardt

Hallo
Ich habe ein internes Netzwerk mit 3 Mac Rechnern und einem Windows PC über Ethernet, verbunden über Dreytek Vigor 2200 Router. Nach der Installation von Tiger auf dem Macs habe ich unter Firewall, erweiterte Optionen alles aktiviert inkl. der Protokollierung.

Jetzt habe ich festgestellt, dass alle Rechner sehr oft mit Hacking angriffen zu tun haben. in den Protokollen steht z.B.:

May 27 22:18:33 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":50058 from 217.12.4.96:80
May 27 22:18:35 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":50011 from 217.27.2.150:80
May 27 22:18:46 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":50124 from 217.72.200.153:443
May 27 22:18:49 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":50124 from 217.72.200.153:443
May 27 22:18:55 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":50124 from 217.72.200.153:443
May 27 22:19:07 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":50124 from 217.72.200.153:443
May 27 22:19:32 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":50124 from 217.72.200.153:443
May 27 22:20:20 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":50124 from 217.72.200.153:443
May 27 22:22:14 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":50235 from 212.243.221.222:80
May 27 22:22:19 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":50235 from 212.243.221.222:80
May 27 22:22:29 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":50235 from 212.243.221.222:80
May 28 05:43:32 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":49365 from 62.26.121.2:80
May 28 05:43:35 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":49365 from 62.26.121.2:80
May 28 05:43:41 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":49365 from 62.26.121.2:80
May 28 05:43:53 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":49365 from 62.26.121.2:80
May 28 05:44:17 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":49365 from 62.26.121.2:80
May 28 05:45:05 "mein Rechner" ipfw: Stealth Mode connection attempt to "meine TCP-IP Adresse":49365 from 62.26.121.2:80


Kann mir bitte jemand sagen ob das nur Versuche sind oder ob hier jemand schon Zugang hat. Was kann ich dagegen tun um meine Rechner noch sicherer zu machen. Kann ich das testen?

Danke für eure Hilfe und Tipps

Hans
 
moin,

du sitzt hinter einer nat box und bekommst zugriffsversuche auf port 443 und 80. das ist in der tat mal ein auge wert. der router dürfte bei normaler konfiguration gar nichts zu deinem mac durchlassen, es sei denn darauf liefe ein webserver. schaue mal im router nach, ob dort ports geforwardet sind oder gar dein mac als default dmz host eingetragen ist.
normalerweise sollten solche meldungen nur beim router selbst auflaufen...
 
Hallo und moin

jetzt muss ich mal erst dumm fragen. NAT Box ist die tdsl box der Telekom? Ein webserver läuft bei uns nicht. Was bedeutet "ob ports geforwardet sind" - und wo sehe ich ob mein Mac als "default dmz host" eingetragen ist?
Durch welche Einstellungen im Router kann ich das unterbinden?
Gehe ich recht in der Annahme, dass dies Versuche waren oder ist da schon jemand von draussen drin?
Danke für Deine Hilfe?
 
Hallo Hans_eckardt,

NAT (= Network Adress Translation) hat nichts mit dem Splitter o.ä. zu tun (oder was meinst Du mit "tdsl Box der Telekom?) Das NAT ist u.a. dafür verantwortlich, dass Deine privaten, also die in Deinem Netzwerk befindlichen, auf öffentliche IP-Adressen abzubilden. Nach außen ist folglich nur eine IP-Adresse erkennbar oder anders gesagt, erscheint Dein Netzwerk im Inernet nur als ein Computer (nämlich der Router). Wenn jetzt immer ausschließlich ein Mac oder ein PC Angriffen ausgesetzt ist, könnte es daran liegen, dass Anfragen aus dem Internet immer an diesen weitergeleitet (.Mac: "geforwardet") werden und er durch die Firewall des Routers nicht geschützt ist.

Relativ unsicher wäre es, wenn Du einen Rechner als DMZ (Demilitarisierte Zone) eingerichtet hättest. Diese Funktion öffnet einen lokalen Rechner komplett und der Rechner ist damit das sprichwörliche "Offene Scheunentor". Alle eingehenden Pakete werden an den von Ihnen ausgewählten Rechner weitergeleitet. Ausgenommen davon sind natürlich Pakete die als Antwort auf eine von einem
lokalen Rechner gestellte Anfrage beim Vigor Router ankommen. Das braucht man z.B. für Server.

Allerdings glaube ich, dass Du weder eine DMZ eingerichtet hast, noch dass Du an der NAT rumgespielt hast, denn das wäre nicht sehr klug, wenn man nicht weiß was das ist. Aber nachprüfen solltest Du es auf jeden Fall.

Ob Du eine DMZ eingerichtet hast, siehst Du beim Vigor im Setup des Routers.
Hauptmenü --> NAT Setup --> DMZ Host Setup (Ich habe im Vigor eine englische Firmware, die Bezeichnungen können bei Dir also abweichen).
Mehr zu NAT: http://www.elektronik-kompendium.de/sites/net/0812111.htm
Mehr zu DMZ: http://www.elektronik-kompendium.de/sites/net/0907241.htm

Viele Grüße,
tobimacoholic
 
Hans_eckardt schrieb:
Hallo und moin

jetzt muss ich mal erst dumm fragen. NAT Box ist die tdsl box der Telekom? Ein webserver läuft bei uns nicht. Was bedeutet "ob ports geforwardet sind" - und wo sehe ich ob mein Mac als "default dmz host" eingetragen ist?
Durch welche Einstellungen im Router kann ich das unterbinden?
Gehe ich recht in der Annahme, dass dies Versuche waren oder ist da schon jemand von draussen drin?
Danke für Deine Hilfe?
Zum Vergrößern anklicken....

die nat box ist dein router, entschuldige bitte meine unverständliche ausdrucksweise. dein router sollte eben solche meldungen, wie du sie im log hast, unmöglich machen. also würde ich im routermenue folgende punkte nachschauen:
- ist nat eingeschaltet? (empfehlung: ja)
- sind bei portforwarding oder virtualserver einträge vorgenommen? (empfehlung: nein)
- ist firewalling angeschaltet? (empfehlung: ja)
- dmz host (empfehlung: kein eintrag)
- fernwarung erlauben? (empfehlung: nein)

ändere in den einstellungen aber nur etwas, wenn du sicher bist, keine server zu betreiben (web, ftp, fernwartung, usw...), sonst kannst du diese ausser funktion setzen.
nochmals, diese meldungen sind am/im router durchaus normal, dürfen aber HINTER einem router (also deinem mac) nicht auftauchen.

fallsu du wirklich unsicher bist, solltest du dir eventuell jemanden kommen lassen, der etwas davon versteht. das ist wahrscheinlich billiger, als der ärger, der aus sowas entstehen kann.
 
Falls du dich fragst was da überhaupt vorgeht:
Ich vermute mal, irgend jemand scannt Netzbereiche deine Providers und versucht das Webinterface deiner Routers zu öffnen, wahrscheinlich mit einem Script (o.ä.) das default Passwörter probiert.
Jedenfalls sind Port 80 und 443 für HTTP(S), die Ports auf denen Webserver lauschen.

Das das ganze auf deinem Mac ankommt ist schon komisch, vermute auch das du in der DMZ bist oder aus versehen (?) Ports weitergeleitet hast...
Wie du rausbekommst wurde ja schon geschrieben :)
 
Vandien hat vermutlich recht, denn die IP-Adressen gehören zu sehr unterschiedlichen Firmen, die alle recht bekannt sind (oder vielleicht gemeinsam eine Verschwörung angezettelt haben ;):

EDIT: Ich meine nicht seine Vermutung, bei Dir würde jemand die WebServer-Ports scannen, denn wie Dein Log zeigt _kamen_ die Anfragen von den HTTP-Ports 80 und 443. Sie waren nicht auf diese Ports bei Dir gezielt.

217.12.4.96 -> extads1.vip.ukl.yahoo.com. --> http://uk.yahoo.com
217.27.2.150 -> ein namenloser Server der infomedia GmbH, Werbebanner
217.72.200.153 -> img.web.de --> Bilderserver von web.de, Karlsruhe
212.243.221.222 -> noch ein namenloser der Unisource Business Networks (Schweiz) AG
62.26.121.2 -> c.as-eu.falkag.net --> Falk eSolutions AG, Tracking & Datamining

Da diese Server alle über die Ports 80 oder 443 auf dein Netzwerk zugreifen wollten, wird es sich wohl eher um Dinge wie das Setzen eines Cookies gehandelt haben, als Du neulich bei web.de Deine E-Mails eingesehen hast (und nebenbei ein paar Werbebanner sehen musstest). Kann das sein?
 
Zuletzt bearbeitet:
für das setzen eines cookies wird keine eingehende verbindung hergestellt, oder? AFAIK wird da nicht gepusht, sondern der browser holt den cookie (oder eben nicht, je nach gusto).
wenn die anfragen VON 80 und 443 kamen (sehe nun meinen fehler), müssten in seinem router ja die highports freigegeben sein, oder? wie sollte sonst die wall seines mac solche logs schreiben?

EDIT: ich hab grad mal die wall meines mini aktiviert (hinter ner natbox) und werde das mal beobachten.
 
Zuletzt bearbeitet von einem Moderator:
Öhm ja, wer lesen kann... Vergiss den Quatsch von oben ;)

Du hast mit diesen Servern gesprochen und die haben versucht eine Verbindung zu dir aufzubauen, auf den hohen 50xxx Ports. Du hast die auf 80 und 443 angesprochen, was völlig normal ist.
Wie nun die Meldung deiner Firewall zu interpretieren ist weiß ich auch nicht genau... Jedenfalls brauchst du dir IMHO keine Sorgen zu machen.
 
Zuerst mal Danke für euere Mühe.

Ich habe mal alle Router Einstellungen geprüft.

1. Basiskonfiguration Ethernet:
NAT Adresse

1. IP Adresse – Standard – vom Router
2. Teilnetzmaske – Standard vom Provider

IP Routing – aus
RIP Datenaustausch – aus
DHCP Server Konfiguration aktivieren – nein

2. Einwahl ins Internet

DSL Verbindung über einen Breitbandanschluss

PPPoE

PPPoE Einwahl – aktiv
ISP Name – von mir vergeben
Benutzername – meine Einwahlkennung
Passwort – auch von mir
Für diese Verbindung aktive Timereinstellungen (1-15) – leer
ISDN-Backup Einstellungen – aus
PPP Authentifizierung – PAP oder Chap
Max. Leerlaufzeit 180 Sek.
Verbindung immer aktiv – nicht angekreuzt
IP Adresszuweissung (IPCP)
Feste IP – nein (dynamische IP)
Feste IP – leer

Breitbandzugriff über PPT Einwahl – deaktiviert

Breitbandzugriff mit IP-Routing – deaktiviert

3. Sondereinstellungen

Dynamisches DNS – nicht aktiviert

NAT (Network Address Translator)
Portumleitungstabelle – leer
DMZ-Rechner einstellen – nicht aktiviert, lokaler IP – leer
NAT-Ports öffnen – leer
Radius Server Einstellungen – nicht aktiviert
Feste Adresszuweisung – leer
Unterpunkt aktive Routing Tabelle zeigt:
„connected – „meine Standard IP Adresse „, „meine Teilnetzmaske“ is directly connected, IFO
IP-Filter / Firewall-Einstellungen
Filter 1 –Default call Filter – aktiv – Block NetBios
Filter 2 – Default Data Filter – aktiv – xNetBios -> DNS
Rest ist leer
VPN und externe Einwahl
Einwahl aktivieren (angekreuzt ist PPTP, IPSec, L2TP)
PPP-Einstellungen
PPP-Authentifizierung – Pap oder Chap
Gegenseitige Authentifizierung – Nein – Rest leer

VPN-IKE Einstellungen für die Einwahl in diesen Vigor:
IKE Authentifizierung – leer
IPSec Methode – mittlere Sicherheit (AH) aktiviert
- Hohe Sicherheit (ESP) aktiviert

Externe Nutzer – leer
VPN-/LAN-LAN Verbindung – leer

Mehr Einstellungen gibt es nicht beim Router. Vielleicht könnt ihr was damit anfangen?

Nochmals Danke

Hans
 
IMHO sieht das gut aus, das ist die grundkonfiguration ohne erlaubte eingehende verbindungen. umso unverständlicher sind für mich deine logs der wall im mac. ich hatte jetzt testweise mal ne zeit die wall in meinem mac aktiviert (ebenfalls hinter nem router) und erhalte überhaupt keine meldungen. ich habn natürlich getestet, ob sie überhaupt funktioniert und bittorrent kurz gestartet, der gesamte verkehr wurde (da nicht erlaubt) geloggt und verworfen.
 
Also ich habe auch diese Logeinträge. Sitze hinter ner FritzBox NAT, und dachte bisher ich kenne mich mit Netzwerken aus. Das kann ich mir allerdings auch nicht erklären. Keiner der Ports ist im Router zu mir weitergeleitet.
Außerdem: Warum sollte VON 80 oder 443 (http und https wenn ich mich nicht irre) eine verbindung auf einen highport hergestellt werden? Normalerweise läuft doch http folgendermaßen ab: Ich connecte auf 80 beim webserver und bekomme dann die Antwort zurück in genau dieser _von mir_ ausgehenden verbindung. Da http stateless ist, macht es für mich auch keinen sinn, dass dort von port 80 aus verbindungen zu mir hergestellt werden.
Des weiteren verstehe ich nicht, wie von außen diese Pakete zu meinem iBook durchkommen sollen, da ja wegen des NAT-Prinzips nur Daten ankommen können, wenn ich von innen die Verbindung aufgebaut habe.
 
.mac schrieb:
für das setzen eines cookies wird keine eingehende verbindung hergestellt, oder? AFAIK wird da nicht gepusht, sondern der browser holt den cookie (oder eben nicht, je nach gusto).
wenn die anfragen VON 80 und 443 kamen (sehe nun meinen fehler), müssten in seinem router ja die highports freigegeben sein, oder? wie sollte sonst die wall seines mac solche logs schreiben?
Zum Vergrößern anklicken....
Ach das geht auch - NAT ist nicht so toll, wie alle meinen
 
BalkonSurfer schrieb:
Ach das geht auch - NAT ist nicht so toll, wie alle meinen
Zum Vergrößern anklicken....
kannst du mal genauer erläutern was du meinst? weil alles was nicht durch eine ausgehende verbindung im router in der nat tabelle drin ist, kann faktisch nicht ins interne netz weitergeleitet werden. woher soll der router auch wissen an welche interne ip das paket geleitet werden soll? m.E. geht das bei NAT also nicht...
 
|Crazor| schrieb:
kannst du mal genauer erläutern was du meinst? weil alles was nicht durch eine ausgehende verbindung im router in der nat tabelle drin ist, kann faktisch nicht ins interne netz weitergeleitet werden. woher soll der router auch wissen an welche interne ip das paket geleitet werden soll? m.E. geht das bei NAT also nicht...
Zum Vergrößern anklicken....
Technisch ist mir das zu hoch, aber man kann NAT recht einfach vortäuschen, dass die Verbindung ne Antwort von innen war und mit dem TTL rumspielen.
Das aktuelle nmap kann zb teilweise durch NAT durchscannen
 
Ich bekomme gerade auch diese Meldung. Anscheinend aber von meinem eigenen Netzwerk, denn die meisten aufgelisteten IP-Nummern sind bis auf die letzte Zahl identisch zu meiner. Nur die letzte Zahl unterscheidet sich. Die Ports sind unterschiedlich.

Beispiel:

Firewall[83]: Stealth Mode connection attempt to TCP 1.2.178.20:14013 from 1.2.3.1:3737

1.2.3. sind dabei die ersten drei Zahlen meiner IP-Adresse.

Ist das jetzt ein Hackversuch von einem User, der beim gleichen Provider ist wie ich und deshalb eine fast identische IP-Adresse hat? Oder ist das irgendwas in meinem Netzwerk? Oder kommt das von irgendeinem Programm auf meinem Computer? Ich habe Snow Leopard und eine Time Capsule mit WPA2.

edit: Habe in einem anderen Forum diesen Hinweis gefunden:

These messages are perfectly normal, and are not at all indicative of a hack attempt.

What usually generates these is the action of navigating away from a site while that site is attempting to communicate with your browser. This can be anything from clicking on a link before the page is finished loading to navigating away while a banner ad or other animation is running.

If you do a reverse DNS lookup on some of your addresses you'll come up with sites like Google and doubleclick.net.

You also have a few having to do with DNS, probably for a similar reason (a DNS response coming in after you've already received a reply from an alternate server.)

In short, don't be concerned about them.
Zum Vergrößern anklicken....
Ich habe gerade ca. 1000 Tabs offen und surfe auf mehreren Seiten gleichzeitig, deswegen würde das passen. Wenn es keine Einsprüche gibt, bin ich erleichtert. ;)
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten