Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Rätselhafte Portscans, von einem Telekom-Server ausgehend

Carlos78 / 17 Antworten / Baumansicht Nickles

Hallo allerseits,

bei mir im Büro hängen 3 Clients (Win NT) an einem Server (SuSE 7.1 Pro), der für alle eine Verbindung zum www bereitstellt.

Seit einigen Tagen finden laut dem Logfile von iptables seltsame Portscans statt, die von einem Telekom/T-Online-Server ausgehen. Ich meine jetzt NICHT die temporäre IP eines T-Online-ScriptKiddies, sondern WIRKLICH einen T-Online-eigenen Server (dns03.btx.dtag.de bzw. IP 194.25.2.129).

TCP-Portscans (geblockt), UDP-Portscans (geblockt), DNS-Spoof (erfolgreich...!).

Letzteres, DNS-Spoof, bedeutet meines Wissens, dass Traffic auf eine dritte, vom Angreifer definierte IP weitergeleitet wird.

Wer hat eine Erklärung dafür? Wie kann das kommen?

DANKE und viele Grüße,
Carlos

bei Antwort benachrichtigen
Anonym Carlos78 „Rätselhafte Portscans, von einem Telekom-Server ausgehend“
Optionen

Das müßten die DNS Geschichten auf Port 53 sein!
194.25.2.129 ist halt ein DNS Server von T-Online, über deine Clients wird gesurft und die Verbindung wird bestimmt über T-Online abgewickelt, stimmt's?
Schau mal in deine Rules ob Port 53 generell gesperrt ist für in/out!

bei Antwort benachrichtigen
Carlos78 Anonym „Das müßten die DNS Geschichten auf Port 53 sein! 194.25.2.129 ist halt ein DNS...“
Optionen

Hallo Frank,

ja, hast Recht.... hab noch eine der alten T-Online Flatrates und gehe über diese via DFÜ-Netzwerk online.

Werde mal nachsehen in den Rules bezgl. Port 53.

Warum aber machen die das? Was bezwecken die T-Onliner damit???

DANKE und Gruß,
Carlos

bei Antwort benachrichtigen
Anonym Carlos78 „Hallo Frank, ja, hast Recht.... hab noch eine der alten T-Online Flatrates und...“
Optionen

Jetzt mal ganz ruhig werden, auch der Anonyme 12.10.193.178 da oben:-)
T-Online will nichts von Euch, außer die Gebühren für die Flat!
Ihr wollt etwas vom DNS Server und er möchte es euch sagen und kann es nicht!

Das ist wie gesagt der DNS Server eures Providers, der für die Auflösung der symbolischen Namen die ihr in eure Browser einträgt sorgt z.B. www.nickles.de wird in 193.0.0.129 aufgelöst!

lest euch auch mal das hier durch:
http://www.bintec-support.de/nat/nat-descr.htm

Frank

bei Antwort benachrichtigen
(Anonym) Carlos78 „Rätselhafte Portscans, von einem Telekom-Server ausgehend“
Optionen

Bist nicht der Einzige.
Und ist auch nicht der einzige Server.
Hab ich bei mir auch schon festgestellt.
Tja wer groß ist will noch mehr.

bei Antwort benachrichtigen
Hinkenbotten (Anonym: 217.88.66.243) Carlos78 „Rätselhafte Portscans, von einem Telekom-Server ausgehend“
Optionen

Ruf mal in Frankfurt (oder von wo aus gescannt wurde) bei der Telekom an und lass dir den Administrator geben. Unter Androhung von Anzeige mit Protokollen der Angriffe und allem was dazugehört war bei uns innerhalb von Minuten der Spuk vorbei. Wir hatten allerdings genau herausgefunden, daß es aus seinem Schuppen kam. Wer es dadrin war, ob der Admin oder irgendein Hiwi-Student mit seinem Logon wussten wir zwar nicht, aber das hatte gesessen! Progrämmchen und Hilfen zum Zurückverfolgen gibt`s auf einschlägigen Seiten jedenfalls genug, incl. Landkarte mit Örtlichkeit.

bei Antwort benachrichtigen
(Anonym) Hinkenbotten (Anonym: 217.88.66.243) „Ruf mal in Frankfurt oder von wo aus gescannt wurde bei der Telekom an und lass...“
Optionen

Jetzt kommt wieder so Einer mit gefährlichen Halbwissen daher, der mit zurückverfolgenden Mittelchen wie NeoTrace und Konsorten etwas ausmachen will!

Das Problem des Urfrager hier, ist _nichts_ weiter als eine durch ihn selber oder seinem Admin falsch konfigurierte Filter-Rule auf seinem Linux-Router! Es ist in seinem Fall _kein_ Angriff!

Das sein Log DNS-Spoofing meldet, liegt daran das es sein Paketfilter es nicht besser weiß und es rein technisch gesehen auch ein Spoofing ist.

Was er aber nur vergessen hat, ist das er den DNS-Server seines Vertrauens, wenn seine Clients surfen wollen, in diesem Fall der von T-Online (194.25.2.129) nur die entsprechenden Rechte in seiner Fitertabelle geben muß!!!
Und zwar in der Art:

Incomming:
194.25.2.129 Port 53/TCP -> seine Clients alle Ports
194.25.2.129 Port 53/UDP -> seine Clients alle Ports
Outgoing:
seine Clients alle Ports -> 194.25.2.129 Port 53/TCP
seine Clients alle Ports -> 194.25.2.129 Port 53/UDP



bei Antwort benachrichtigen
Mr. M Carlos78 „Rätselhafte Portscans, von einem Telekom-Server ausgehend“
Optionen

Jetzt macht euch keine gedanken, wegen so ein paar Port scan's von T-Online! Das gehört einfach zum Internet dazu, außerdem ist es ja eine vertrauens würdige Quelle.

Irgendwie müssen ja deren Server wissen wohin sie was schicken oder?

bei Antwort benachrichtigen
(Anonym) Mr. M „Jetzt macht euch keine gedanken, wegen so ein paar Port scan s von T-Online! Das...“
Optionen

>Das gehört einfach zum Internet dazu,

eben, ist wie das Grundrauschen im Radio!

>außerdem ist es ja eine vertrauens würdige Quelle.

T-Online? Vertrauen?
In diesem Fall mehr eine notwendige Quelle!

>Irgendwie müssen ja deren Server wissen wohin sie was schicken oder?

stimmt, lustig ist auch immer wenn Leute glauben sie werden gescannt und dabei ist es nur einer dieser z.B HalfLife-Onlinegameserver, der laufend seine Gegenstelle (Spieler) anpingt, dieser Ping aber bei dir auf dem Rechner landet, nur weil der eigentliche Spieler einfach seine Verbindung ausgemacht hat weil er keine Lust mehr hatte und du nun seine damalige IP von deinem Provider jetzt bekommen hast!

bei Antwort benachrichtigen
(Anonym) Mr. M „Jetzt macht euch keine gedanken, wegen so ein paar Port scan s von T-Online! Das...“
Optionen

Selbst wenn der Port 53 ausgemerzt ist funktionieren die Verbindungen tadellos.
Also warum dieses Protokoll.
Bei mir jedenfalls ist das so.

bei Antwort benachrichtigen
(Anonym) Nachtrag zu: „Selbst wenn der Port 53 ausgemerzt ist funktionieren die Verbindungen tadellos....“
Optionen

Welches Protokoll?

Über Port 53 oder welchem auch immer, kann ich mit TCP, IP, UDP, ICPM, PPTP, oder was es sonst noch alles an Protokollen in der IT-Welt gibt senden!

bei Antwort benachrichtigen
(Anonym) Nachtrag zu: „Selbst wenn der Port 53 ausgemerzt ist funktionieren die Verbindungen tadellos....“
Optionen

Wie hast du denn den Port 53 ausgemerzt?

[ ]ich habe incomming gesperrt
[ ]ich habe outgoing gesperrt
[ ]ich habe incomming und outgoing gesperrt
[ ]ich habe nur ein Protokoll auf Port 53 gesperrt
[ ]ich habe mehrere Protokolle auf Port 53 gesperrt
[ ]ich habe alle Protokolle auf Port 53 gesperrt
[ ]ich habe Port 53 als Ziel nicht erlaubt
[ ]ich habe Port 53 als Quelle nicht erlaubt

[ ]ich habe mir einfach eine PersonalFirewall installiert
[ ]grc.com sagt mir das meine Ports 'stealth' sind
[ ]ich weiß gar nicht genau was ich gemacht habe und wofür das ist

viel Spaß beim Ausfüllen!





bei Antwort benachrichtigen
(Anonym) Carlos78 „Rätselhafte Portscans, von einem Telekom-Server ausgehend“
Optionen

Ist doch immmer wieder die gleiche Panik: Wen stören schon die paar Pings und Scans, bei einem vernünftig konfigurierten System ist das alles harmlos. Aber die Paranoia scheint momentan absolut in zu sein. Der Normalsurfer, ohne einen einzigen Dienst oder Freigabe auf seinem Rechner, fällt mitlerweile fast in Ohnmacht, wenn sein Norten Internet Security Tool oder Zonealarm irgendeine ominöse Meldung ausspuckt. Kommt mal wieder auf den Teppich! Wirklich Sorgen um ihre Daten müssen sich nur die professionellen Systemadministratoren machen und die sollten auch etwas von der Materie verstehen.
Wer trotzdem noch unbekannte Dateien aus eMail-Anhängen oder "Warez"-Seiten öffnet und sich danach über Trojaner wundert, dem kann nur Beileid bekunden...

bei Antwort benachrichtigen
Anonym (Anonym) „Ist doch immmer wieder die gleiche Panik: Wen stören schon die paar Pings und...“
Optionen

Na nun komm, von irgend etwas müssen doch die Hersteller wie Symantec, ZoneLabs und wie sie alle heißen doch auch leben, wenn auch nur von der aktuellen Paranoia und sei es nur, das sie durch diese in aller Munde sind!

Sogar schon, ansich gute IT-Zeitschriften sind auf den Zug aufgesprungen und testen was das Zeug hält, lustiger Weise mit einer ganzen Seite Werbung für das Produkt gleich nach dem Testbericht!!!

bei Antwort benachrichtigen
(Anonym) Nachtrag zu: „Ist doch immmer wieder die gleiche Panik: Wen stören schon die paar Pings und...“
Optionen

Die Pings und Scans sind auch bei einem nicht vernünftig konfigurierten System harmlos, solange man wie du richtig schreibst sich keine Dienste installiert!

Aber die Leute wollen an solche Firewalltools für den Privatmann glauben, weil ja eine rel. große Firma die herstellt muß es ja gut sein und etwas bringen, die Hersteller sind ja auch nur an unserem Wohl interessiert und machen solche Teile zum teil auch noch kostenlos - man da kann doch nichts faules dran sein!

Frei nach dem Motto:
"Millionen Chinesen können sich nicht irren - eßt mehr Reis!"

bei Antwort benachrichtigen
Bisch Carlos78 „Rätselhafte Portscans, von einem Telekom-Server ausgehend“
Optionen

mal was anderes - wie finde ich denn nun raus ob bei den zig Scans und Verbindungsversuchen irgendwas unerwünschtes dabei is?

bei Antwort benachrichtigen
(Anonym) Bisch „mal was anderes - wie finde ich denn nun raus ob bei den zig Scans und...“
Optionen

Gar nicht!

1. ist ein Scan in der Konzeption von Protokollen und Ports vorgesehen
2. da dieses so ist, ist ein Scan auch eine legitime Angelegenheit den Zustand eines Ports zu überprüfen, was soll schon unerwünschtes dabei sein?

Ein Scan ist der Versuch mittels einer Anfrage an einen Port festzustellen ob er offen ist oder nicht, dabei oder dadurch kann nichts gesendet werden, was unerwünscht ist! Genauso ist es bei den Verbindugsversuchen, wobei ich jetzt mal denke, das dir der Unterschied zu einem Scan nicht ganz klar ist!

Hast du einen oder mehrere Ports offen, weil du da irgend welche Dienste wie z.B. FTP-/Web-/File-Server, Finger, Telnet etc. pp. anbietest, dann war das auch dein Wunsch!
Jetzt erst mußt du dir Gedanken machen ob bei einer erfolgreichen Verbindung(kein Verbindungsversuch!) etwas unerwünschtes dabei ist,
aber dabei hilft dir nur ein gut ausgearbeitetes Firewallkonzept mit ständiger Administration!

bei Antwort benachrichtigen
(Anonym) Carlos78 „Rätselhafte Portscans, von einem Telekom-Server ausgehend“
Optionen

Also genaugenommen ist dieser ganze Spuck um die PFWs ja ganz okay...
Allerdings werden die Teile nicht mit dem eigentlichen Zweck in dem sie vernünftig eingesetzt werden können beworben,
sonder stattdessen auf der "Ach diese bösen Hacker" -Welle die mehr und mehr grasiert und in TV-Sendungen wie Akte98-2001 jährlich
neue Auswüchse erlebt.
Mit "vernünftigen Zweck" meine ich übrigends "Heimweh"-Prävention ;)

mfg Ralf

bei Antwort benachrichtigen