Hallo zusammen,
mir ist aufgefallen, dass bei Firefox beim Programmstart auf zwei beliebigen, beieinanderliegenden, eher unüblichen Ports auf einkommende TCP-Verbindungen gelauscht wird, also z.B. auf Port 2778 und 2780 oder auf 2890 und 2892.
AddOns und Updates sind deaktiviert, was könnte also der Grund sein, wenn man davon ausgeht, dass das kein Trojaner ist?
Beste Grüße,
WildRover
Heimnetzwerke - WIFI, LAN, Router und Co 16.538 Themen, 81.398 Beiträge
Bin an der Beantwortung dieser Frage auch interessiert.
°
Da wäre ich aber auch höchst alarmiert. Normal ist das ganz sicher nicht.
Denn das "Lauschen" bedeutet ja, dass FF sich quasi wie ein Server-Dienst benimmt, und sei es auch nur kurz beim Programmstart. Und dann müsste ja zumindest beim ersten Mal die Windows-Firewall anspringen und nachfragen, ob künftig erlauben oder blocken. Derartiges wäre mir mit Sicherheit aufgefallen. Ist bei mir aber noch auf keinem Rechner nie nicht vorgekommen. Oder sehe ich da was falsch? Wie hast Du denn von dem Lauschvorgang mitbekommen?
Gruß, Manfred
Wenn ich durch Netmeter mitbekomme, dass Verkehr über Internet läuft ohne dass ich eine neue Seite lade, und dann den ganzen Internetverkehr sperre meckert Firefox, dass er ins Internet will. Habe noch ZoneAlarm drauf. Wenn ich ZoneAlarm öffne dann befinden sich oben Rechts Programme (aktuell AviraUpdater, Hostprozess für WindowsDienste gleich 2x mit 3 Ports, AntivirWebguardService). Das heisst diese Programme lauschen??? Firefox versucht ständig Daten zu senden, obwohl ich keine neue Seite lade. Das geht eine Weile und hört wieder auf. Manchmal dauerts kurz, manchmal lang.
Das ist das, was ich bei mir festgestellt habe, und deshalb interessiert mich die Beantwortung der Frage. Muss ich mir jetzt sorgen machen???
hallo,
es gibt bei Firefox noch eine Black/Whitelist für gesperrte URLS, welche von Google heruntergeladen wird. (beim IE nennt es sich Phishing Filter)
Falls du genau wissen willst, was hinter den Ports lauscht, installier dir wireshark und sniffer den traffic mit.
mfg
Komme mit dem Programm nicht zurecht. Bekomme folgende Meldung:
Unable to load WinPcap (wpcap.dll); Wireshark will not be able to capture
packets.
In order to capture packets, WinPcap must be installed; see
http://www.winpcap.org/
or the mirror at
http://www.mirrors.wiretapped.net/security/packet-capture/winpcap/
or the mirror at
http://winpcap.cs.pu.edu.tw/
for a downloadable version of WinPcap and for instructions on how to install
WinPcap.
Habe winpcap installiert, bekomme trotzdem diese Meldung.
Irgendwie kriege ich das nicht zum laufen.
ich habe nicht den winpcap aus dem installations paket von wireshark genutzt.
lad dir winpcap runter, installieren und danach nochmal wireshark installieren.
so sollte es funktionieren.
Habe ich gemacht.
Muss nun erst mal mit dem Programm klar kommen. Die vielen Anzeigen... keine Ahnung, was die zu bedeuten haben. Alles kryptisch, ich blick da nicht durch. Werde mal die Anleitung und Auswertung lesen. Melde mich dann wieder.
Habe testweise TCP und UTP im Filter eingestellt und eine Seite geöffnen im Internet. Leider komme ich mit den kryptischen Anzeigen überhaupt nicht klar.
ZoneAlarm meldet Internetverkehr, die Animation wechselt von Z zu rot+grün Anzeige. Was genau da jetzt passiert.?
Wie werte ich die Aufzeichnungen von Wireshark aus?
Gibt ja nichts zum Mitschneiden, da ja nur gelauscht wird, aber kein Traffic entsteht.
Aufgefallen ist's mir durch die Verbindungsanzeige der Firewall (comodo), die Windows-Firewall ist sowieso inaktiv (wie sich's gehört).
Aktuell lauscht er auf 3884 und 3886. Achso, und der FF-interne Phishing-Filter ist auch aus. Natürlich könnte ich eine reine Positivliste für FF an der Firewall vornehmen, aber interessieren würde mich das Ganze trotzdem.
Und nu?
@chisono:
Tja, grundsätzlich sorgt FF auch ohne Surfen für Traffic (AddOns, Anti-Phishing, Updater), also per se noch kein Grund zur Beunruhigung. Aber wenn diese Dienste deaktiviert sind, sollte der Traffic auch aufhören.
Bezüglich Sinn/Unsinn von Firewalls:
Ich will hier keine Grundsatzdiskussionen starten, aber ZoneAlarm würde ich nicht unbedingt empfehlen, da hier auf jeden Fall unbemerkt nach Hause telefoniert wurde, siehe
http://www.heise.de/newsticker/ZoneAlarm-im-Kreuzfeuer--/meldung/68725
Kann ich natürlich nicht bei anderen ausschließen, aber hier weiß ich es. Ich benutze die kostenlose comodo-Firewall, die zwar aufwändiger zu handhaben ist, aber auch durch den Defense-Modus Kontrolle über interne Vorgänge mit sich bringt. Aber wie gesagt, das muss jeder selbst für sich entscheiden.
Bin halt bei ZoneAlarm irgendwie hängen geblieben.
Werde dann mal eine andere probieren.
Ansonsten ist mein NB noch hinter einem Router.
Ich bedanke mich und wünsche noch einen schönen Abend.
Router hin oder her, das Problem sind ja nicht nur Programme von außen, sondern eben auch der ganze Kram, der von deinem PC rausgeht. Wie z.B. nachhausetelefonierende Programme. Da kann der Router auch nicht mehr viel machen.
Viel Spaß beim Ausprobieren, falls du eine andere Firewall nimmst. Ist schon ganz interessant, sich mal tiefer mit der Materie zu befassen. Ebenso schönen Abend!
Okay, Problem scheint gelöst: Es scheint sich um Rekursionen zu handeln, da die Zieladresse "localhost" ist.
Was heisst Rekursionen?
Umleitung auf localhost?
Wikipedia sagt zum Thema "localhost":
"localhost steht in der Netzwerktechnik für das momentan genutzte System oder dessen IP-Adresse.
Üblicherweise ist das eigene System (der local host) unter der IP-Adresse 127.0.0.1 für TCP/IP-Applikationen auf dieselbe Weise erreichbar, wie ein fernes System (ein remote host) unter einer gewöhnlichen Adresse. Das ermöglicht es unter anderem, Serverapplikationen mit einem Client auf demselben Rechner zu betreiben. Ein solches Vorgehen findet beispielsweise beim Testen von Servern oder zum Betreiben von Spiele-Servern häufige Anwendung. Um die Erreichbarkeit des eigenen Rechners über TCP/IP zu ermöglichen, wird eine Schnittstelle, ein sogenanntes Loopback-Device eingesetzt. Dies verhält sich wie eine virtuelle Netzwerkkarte, die alle ausgehenden Datenpakete an ihren eigenen Eingang weiterleitet. Diese virtuelle Netzwerkkarte hat jedoch keinerlei Verbindung zu eventuell vorhandenen Netzwerkschnittstellen; an 127.0.0.1 geschickte Pakete können daher im Normalfall nicht auf einem physikalisch vorhandenen Link zu einem anderen System erscheinen. Außerdem ist in der Regel alternativ jede der Adressen von 127.0.0.2 bis 127.255.255.254 verwendbar."
Heißt: Du schickst dir das Zeug selbst zu. Wofür FF das macht, das ist mir zwar nach wie vor unklar, aber es wird wohl irgend einen Sinn machen. Ich werd's die Tage einfach mal blocken und schauen, ob es etwas ausmacht.
Bis denne!