Sind das Einbruchsversuche?

[rechnerteam]

Moin zusammen,

Ping (ICMP8) und Verbindungsaufforderungen nach Port 445 sind ja normal.

Seit Samstag ist das Routerlog voll mit Verbindungsaufforderungen nach Port 22, 23, 25, 443, 1080, 3389, 5900, 9090 und noch ein paar Ports.
Die IPs sind aus China, Korea und Russland.

Sind das Einbruchsversuche? Sollte ich ggf. auf irgendetwas achten?

Die IP zu wechseln ist beim Kabelnetzbetreiber inzwischen reine Glückssache. Selbst als das Modem über Nacht vom Netz genommen wurde, blieb uns die alte IP erhalten.

Gruß
teamplayer

 

[AgentMax]

Das sind PortScans. Machen kannst du da nichts. Außer abschalten.

 

[monstar-x]

Solange auf den Ports keine Dienste viel 5900 (VNC) laufen ist es egal.
Selbst wenn die Dienste laufen und das Passwort ausreichend stark ist, brauchst du dir keine gedanken zu machen.
Wenn "Pro Cracker/Hacker" auf deinen Rechner wollen, werden die es so oder so schaffen.

 

[Udo2009]

Ping (ICMP8) und Verbindungsaufforderungen nach Port 445 sind ja normal.

Ja? Was ist das? Hatte ich noch nie...

 

[Mai_Ke]

Wenn "Pro Cracker/Hacker" auf deinen Rechner wollen, werden die es so oder so schaffen.

Und wie wollen sie das machen?

 

[rechnerteam]

Danke.
Ich bin bei Portscans davon ausgegangen, dass zusammenhängende Bereiche gescant werden. Hier werden ja überwiegend Ports gescant, die einen administrativen Zugriff ermöglichen. So gesehen hängen die Ports auch zusammen.

Edit: Hier laufen keine Dienste, die eine Portfreigabe bräuchten.

 

[cubd]

wie merkt man denn so etwas? Wo finde ich denn ein Routerlog - nur um einmal bei mir zu schauen???

Beste Grüße

B.

 

[BoeserDrache]

Wo finde ich denn ein Routerlog - nur um einmal bei mir zu schauen???

Ich würde sagen in deinem Router - wenn du einen hast. Handbuch aufmachen und nachsehen wie man den Log aktiviert.

 

[LosDosos]

Oder in der Konsole in den appfirewall.logs.

 

[Pingu]

Ich bin bei Portscans davon ausgegangen, dass zusammenhängende Bereiche gescant werden. Hier werden ja überwiegend Ports gescant, die einen administrativen Zugriff ermöglichen. So gesehen hängen die Ports auch zusammen.

Ja welche Ports soll man denn sonst scannen? Natürlich nur die interessant sind. Warum sollte man Ports scannen, die uninteressant sind wie Port 53?

 

[David X]

Warum sollte man Ports scannen, die uninteressant sind wie Port 53?

Der war gut.

 

[Mai_Ke]

Denn sie wissen nicht, was sie tun

 

[BoeserDrache]

Oder in der Konsole in den appfirewall.logs.

Was nur sinnvoll ist, wenn man nicht grad eh schon hinter einem Router samt Firewall sitzt. Da wird nämlich einfach nichts drinstehen, wenn die Firewall das schon vorher aussortiert.

 

[LosDosos]

Also zumindest ich bekam einige Zeit hinter einem Netgear-Router mit aktueller Firmware folgende Meldungen in der Konsole:

Ich habe mehrere appfirewall.logs, die dann mit der mit der Meldung, dass die Größe >100k ist beendet sind.
In diesen Logs sind zuhauf Einträge aus den letzten Tagen,
die ua folgendes besagen:

..
Jul 10 11:43:00 Macintosh Firewall[40]: Stealth Mode connection attempt to TCP 192.168.1.102:49315 from 81.95.3.152:80
Jul 10 11:43:00 Macintosh Firewall[40]: Stealth Mode connection attempt to TCP 192.168.1.102:49297 from 81.95.3.152:80
Jul 10 11:43:00 Macintosh Firewall[40]: Stealth Mode connection attempt to TCP 192.168.1.102:49298 from 81.95.3.152:80
Jul 10 11:43:24 Macintosh Firewall[40]: Stealth Mode connection attempt to TCP 192.168.1.102:49317 from 62.104.23.124:80
Jul 10 11:44:13 Macintosh Firewall[40]: Stealth Mode connection attempt to TCP 192.168.1.102:49317 from 62.104.23.124:80
..
Jul 13 12:34:32 Macintosh Firewall[41]: Stealth Mode connection attempt to TCP 192.168.0.2:49757 from 195.71.92.67:80
Jul 13 12:43:40 Macintosh Firewall[41]: Stealth Mode connection attempt to UDP 192.168.0.2:64460 from 213.191.74.18:53

Ich sitze hinter einem Router, der die 192.168.0.1 besitzt.
Die Firewall unter Leo 10.5.7 habe ich auf Tarnmodus gesetzt.
Die Firewall-Protokollierung ist von den letzten Tagen so ellenlang,
dass ich langsam den Eindruck bekommen, dass meine Ports täglich gescannt werden, und zwar querbeetein von etwa 30.000 bis 60.000.

Wenn ich im Netzwerkdienstprogramm zb die letzte Meldung mit 213.191.74.18 unter whois einsetze, bekomme ich
OrgName: RIPE Network Coordination Centre
OrgID: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL

ReferralServer: whois://whois.ripe.net:43

Die Traceroute gibt mir:

traceroute to 213.191.74.18 (213.191.74.18), 64 hops max, 40 byte packets
1 192.168.0.1 (192.168.0.1) 2.697 ms 0.331 ms 0.296 ms
2 lo1.br04.asham.de.hansenet.net (213.191.84.203) 31.032 ms 29.626 ms 29.995 ms
3 ae1-104.cr02.weham.de.hansenet.net (62.109.119.126) 29.808 ms 29.714 ms 29.910 ms
4 vl107.br01.wfham.de.hansenet.net (62.109.122.50) 29.934 ms 29.663 ms 30.003 ms
5 * * *

Keine der aufgelisteten Adressen ist meine aktuelle vom Provider zugeteilte.

Ohne Router:

Als heutiges Beispiel, ich hing nicht an einem Router, sondern direkt am Modem.
Die appfirewall.log sagte mir (siehe letzten Eintrag)
"Stealth Mode connection attempt to UDP "meine IP":32703 from 61.15.238.225:4336"
Die Traceroute von 61.15.238.225 geht über Frankfurt, Amsterdam, London, Mumbai, Singapore, Hongkong nach keine Ahnung.
(weitere Ips in der Konsole)

Ist allerdings schon 2 1/2 Jahre her.

 

[BoeserDrache]

Sehr suspekt. Bei mir geht maximal was raus, oder über die weitergeleiteten und geöffneten Ports rein.

 

[LosDosos]

Jupp, fand ich auch.
Das war noch unter 10.5 und die Netgear-FW zumindest nicht deaktiviert.
Mit meinem neuen Router und 10.6 ist das seitdem nie wieder vorgekommen.
Den Stealth Mode habe ich schon längst deaktiviert, die interne OS X-Firewall mittlerweile auch.

 

[nightcoding]

Jupp, fand ich auch.

Das ist ganz normal. Die Daten müssen ja auch irgendwie reinkommen. Wenn man eine Website anschaut müssen die Daten, die der Server liefert ja über die Leitung zu deinem Rechner. Wenn beim Router NAT ( = Network Adress Translation) aktiviert ist, werden die Antworten des Servers an deinen Rechner geschickt. Um das bewerkstelligen zu können nutzt der Router Ports im oberen Bereich um zu erkennen, an welchen Rechner im Netzwerk das Datenpaket ausgeliefert werden soll.

Mal ganz stark vereinfacht ausgedrückt

Auch eingehender Datenverkehr ist vollkommen normal, ansonsten könnte man weder surfen noch E-Mails schreiben, noch chatten, noch sonstwas mit dem Internet machen.

Und zwecks Portscanner: natürlich scannt man erstmal nur die bekannten Ports ab in der Hoffnung, dass sich dort ein Dienst meldet, den man über eine bekannte Schwachstelle aushebeln kann.

 

[LosDosos]

Das ist ganz normal.

Ok, an sich klingt das einleuchtend, aber es war wirklich nur über einen kurzen Zeitraum (2,3 Tage) mit tausenden solchen Meldungen und dann nie wieder.
Oder kann das dann einfach eine ganz bestimmte Seite gewesen sein?
(Nein, nicht die mit den blinkenden Pop-Ups.)

 

[nightcoding]

Oder kann das dann einfach eine ganz bestimmte Seite gewesen sein?

Kann auch eine bestimmte Seite gewesen sein. Kann auch ein Trojaner gewesen sein. Kann auch der Router gewesen sein, der nach Hause telefoniert. Möglichkeiten gibt es da sehr viele, die wahrscheinlichste ist aber die, dass irgendwo ein Tab offen war, der massiv Werbung eingeblendet hat.


Viele Grüße
Martin

 

[oneOeight]

das sind halt vorbereitungen für einbruchsversuche, da wird geguckt, ob ein verwundbarer dienst läuft.
und wenn ja, wird halt versucht diesen zu missbrauchen.