Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

Verfolgung starten Optionen

Rätselhafte Portscans, von einem Telekom-Server ausgehend

Carlos78 / 17 Antworten / Flachansicht Nickles

Hallo allerseits,

bei mir im Büro hängen 3 Clients (Win NT) an einem Server (SuSE 7.1 Pro), der für alle eine Verbindung zum www bereitstellt.

Seit einigen Tagen finden laut dem Logfile von iptables seltsame Portscans statt, die von einem Telekom/T-Online-Server ausgehen. Ich meine jetzt NICHT die temporäre IP eines T-Online-ScriptKiddies, sondern WIRKLICH einen T-Online-eigenen Server (dns03.btx.dtag.de bzw. IP 194.25.2.129).

TCP-Portscans (geblockt), UDP-Portscans (geblockt), DNS-Spoof (erfolgreich...!).

Letzteres, DNS-Spoof, bedeutet meines Wissens, dass Traffic auf eine dritte, vom Angreifer definierte IP weitergeleitet wird.

Wer hat eine Erklärung dafür? Wie kann das kommen?

DANKE und viele Grüße,
Carlos

bei Antwort benachrichtigen
Das müßten die DNS Geschichten auf Port 53 sein! 194.25.2.129 ist halt ein ... Anonym
Hallo Frank, ja, hast Recht.... hab noch eine der alten T-Online Flatrates ... Carlos78
Jetzt mal ganz ruhig werden, auch der Anonyme 12.10.193.178 da oben:- ... Anonym
Bist nicht der Einzige. Und ist auch nicht der einzige Server. Hab ich bei ... (Anonym)
Ruf mal in Frankfurt oder von wo aus gescannt wurde bei der Telekom an und ... Hinkenbotten (Anonym: 217.88.66.243)
(Anonym) Hinkenbotten (Anonym: 217.88.66.243) „Ruf mal in Frankfurt oder von wo aus gescannt wurde bei der Telekom an und lass...“
Optionen

Jetzt kommt wieder so Einer mit gefährlichen Halbwissen daher, der mit zurückverfolgenden Mittelchen wie NeoTrace und Konsorten etwas ausmachen will!

Das Problem des Urfrager hier, ist _nichts_ weiter als eine durch ihn selber oder seinem Admin falsch konfigurierte Filter-Rule auf seinem Linux-Router! Es ist in seinem Fall _kein_ Angriff!

Das sein Log DNS-Spoofing meldet, liegt daran das es sein Paketfilter es nicht besser weiß und es rein technisch gesehen auch ein Spoofing ist.

Was er aber nur vergessen hat, ist das er den DNS-Server seines Vertrauens, wenn seine Clients surfen wollen, in diesem Fall der von T-Online (194.25.2.129) nur die entsprechenden Rechte in seiner Fitertabelle geben muß!!!
Und zwar in der Art:

Incomming:
194.25.2.129 Port 53/TCP -> seine Clients alle Ports
194.25.2.129 Port 53/UDP -> seine Clients alle Ports
Outgoing:
seine Clients alle Ports -> 194.25.2.129 Port 53/TCP
seine Clients alle Ports -> 194.25.2.129 Port 53/UDP



bei Antwort benachrichtigen
Jetzt macht euch keine gedanken, wegen so ein paar Port scan s von T-Online! ... Mr. M
Das gehört einfach zum Internet dazu, eben, ist wie das Grundrauschen im ... (Anonym)
Selbst wenn der Port 53 ausgemerzt ist funktionieren die Verbindungen ... (Anonym)
Welches Protokoll? Über Port 53 oder welchem auch immer, kann ich mit TCP, ... (Anonym)
Wie hast du denn den Port 53 ausgemerzt? ich habe incomming gesperrt ich ... (Anonym)
Ist doch immmer wieder die gleiche Panik: Wen stören schon die paar Pings ... (Anonym)
Na nun komm, von irgend etwas müssen doch die Hersteller wie Symantec, ... Anonym
Die Pings und Scans sind auch bei einem nicht vernünftig konfigurierten ... (Anonym)
mal was anderes - wie finde ich denn nun raus ob bei den zig Scans und ... Bisch
Gar nicht! 1. ist ein Scan in der Konzeption von Protokollen und Ports ... (Anonym)
Also genaugenommen ist dieser ganze Spuck um die PFWs ja ganz okay... ... (Anonym)