Nickles › Forum › Internet › Viren, Spyware, Datenschutz

Viren, Spyware, Datenschutz 11.213 Themen, 94.186 Beiträge

ich bin verunsichert: zugriffe auf 145 und 445 werden protok

midget am 15.09.2003, 00:00 / 16 Antworten / Flachansicht

hab im logfile meines routers folgende eintraege, welche mich etwas verunsichern. kann mir wer sagen, was da genau passiert?

09/15/2003 20:09:34 192.168.123.141 login successful
09/15/2003 20:09:51 Unrecognized access from 154.5.24.190:4258 to TCP port 445
09/15/2003 20:09:54 Unrecognized access from 154.5.24.190:4258 to TCP port 445
09/15/2003 20:09:57 Unrecognized access from 24.85.122.140:1071 to TCP port 445
09/15/2003 20:09:59 Unrecognized access from 24.85.122.140:1071 to TCP port 445
09/15/2003 20:10:31 Unrecognized access from 217.162.58.209:4543 to TCP port 135
09/15/2003 20:10:34 Unrecognized access from 217.162.58.209:4543 to TCP port 135
09/15/2003 20:10:44 Unrecognized access from 217.157.107.166:4514 to TCP port 135
09/15/2003 20:10:47 Unrecognized access from 217.157.107.166:4514 to TCP port 135
09/15/2003 20:11:07 Unrecognized access from 217.162.21.196:3749 to TCP port 135
09/15/2003 20:11:20 DHCP:renew
09/15/2003 20:11:20 DHCP:ack(DOL=5400,T1=2700,T2=4725)
09/15/2003 20:11:54 Unrecognized access from 217.162.145.152:3642 to TCP port 445
09/15/2003 20:11:57 Unrecognized access from 217.162.145.152:3642 to TCP port 445
09/15/2003 20:12:03 Unrecognized access from 217.162.86.252:2311 to TCP port 135
09/15/2003 20:12:22 Unrecognized access from 217.162.42.245:4589 to TCP port 135
09/15/2003 20:12:24 Unrecognized access from 217.162.42.245:4589 to TCP port 135
09/15/2003 20:14:35 Unrecognized access from 217.162.33.138:2755 to TCP port 135
09/15/2003 20:14:38 Unrecognized access from 217.162.33.138:2755 to TCP port 135
09/15/2003 20:14:46 Unrecognized access from 217.162.31.38:1583 to TCP port 135
09/15/2003 20:14:49 Unrecognized access from 217.162.31.38:1583 to TCP port 135
09/15/2003 20:15:09 Unrecognized access from 217.162.22.167:4157 to TCP port 135
09/15/2003 20:15:12 Unrecognized access from 217.162.22.167:4157 to TCP port 135
09/15/2003 20:15:22 Unrecognized access from 217.162.151.163:1177 to TCP port 135
09/15/2003 20:15:25 Unrecognized access from 217.162.151.163:1177 to TCP port 135
09/15/2003 20:16:10 Unrecognized access from 217.162.14.239:3379 to TCP port 135
09/15/2003 20:16:12 Unrecognized access from 217.162.14.239:3379 to TCP port 135
09/15/2003 20:17:05 Unrecognized access from 217.162.79.13:1109 to TCP port 135
09/15/2003 20:17:07 Unrecognized access from 217.162.68.116:3154 to TCP port 135
09/15/2003 20:17:08 Unrecognized access from 217.162.79.13:1109 to TCP port 135
09/15/2003 20:17:42 Unrecognized access from 217.162.116.17:4994 to TCP port 445
09/15/2003 20:17:45 Unrecognized access from 217.162.116.17:4994 to TCP port 445
09/15/2003 20:18:55 Unrecognized access from 217.162.84.108:1140 to TCP port 135
09/15/2003 20:20:18 Unrecognized access from 217.162.91.81:3498 to TCP port 135
09/15/2003 20:20:18 Unrecognized access from 217.162.91.81:3518 to TCP port 135
09/15/2003 20:20:46 Unrecognized access from 217.162.38.150:2391 to TCP port 135
09/15/2003 20:20:49 Unrecognized access from 217.162.38.150:2391 to TCP port 135
09/15/2003 20:20:55 Unrecognized access from 217.162.38.150:2391 to TCP port 135
09/15/2003 20:21:42 Unrecognized access from 217.162.52.254:4706 to TCP port 135
09/15/2003 20:21:45 Unrecognized access from 217.162.52.254:4706 to TCP port 135

************************************

irgendwo stand noch was von netstat -an, das sieht bei mir wie folgt aus:

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:1025 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:1027 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:2297 0.0.0.0:0 ABHÖREN
TCP 192.168.123.141:2297 64.12.30.180:5190 HERGESTELLT
TCP 192.168.123.141:2817 213.165.64.20:110 WARTEND
TCP 192.168.123.141:2818 62.2.95.13:110 WARTEND
TCP 192.168.123.141:2819 213.165.64.20:110 WARTEND
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1026 *:*
UDP 127.0.0.1:1060 *:*
UDP 127.0.0.1:2726 *:*
UDP 127.0.0.1:2729 *:*
UDP 192.168.123.141:500 *:*

kann mir sagen ob das gut oder schlecht ist?

      217.162.22.167:4157 to TCP port 135 ...blaster wurm, ungefährlich, ... GarfTermy 15.09.2003, 00:00
    
      muss ich was tun? mich stoeren vor allem die eintraege auf 135 und 445. ... midget 15.09.2003, 00:00
    
      Die Zugriffe auf Port 135 sind wahrscheinlich Pakete von Blaster-infizierten ... Tyrfing 15.09.2003, 00:00
    
      was fuer nen filter? irgendwie kann das mein router nicht glaub ich. ist ... midget 15.09.2003, 00:00
    
      Hallo midget, es besteht überhaupt keine Gefahr, wenn Du einen Router ... Teletom 16.09.2003, 00:00
    
      dann hab ich noch ne frage wegen netstat -an, was folgendes anzeigt: was ... midget 16.09.2003, 00:00
    
      Hi, TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN ... Teletom 16.09.2003, 00:00
    
      Rechner-Netz Identifizierung: mit der IP: 217.162.73.48 Verwendetes System: ... midget 17.09.2003, 00:00
    
      Na midget, da siehst Du es. Die Ports werden internetseitig bei Deinem ... Teletom 18.09.2003, 00:00
    
      PS: @Tyre: eine Menge Kram, dessen Author offenbar mein Posting nicht im ... Tyrfing 17.09.2003, 00:00
    
      Gefiltert würde heißen, hier ist ein Dienst der von einer Firewall ... Tyrfing 16.09.2003, 00:00
    
      TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN TCP ... XPectIT 16.09.2003, 00:00
    
      er wartet bis was reinkommt ueber 135 und 445? wenn ich das richtig ... midget 16.09.2003, 00:00
    
      Der Rechner wartet praktisch hinter einer Verschlossenen Türe, das jemand ... XPectIT 16.09.2003, 00:00
    
      merci viel mals werde wieder ruhiger schlafen : midget 16.09.2003, 00:00
    
        xafford midget „ich bin verunsichert: zugriffe auf 145 und 445 werden protok“
      
        16.09.2003, 00:00 Optionen
      
          hier einmal zu deiner beruhigung ein paar theoretische fakten über heimrouter.

          im normalfall besitzt du keine feste IP aus dem öffentlichen adressraum, du bekommst eine dynamische von deinem provider zugewiesen (es gibt zwar ausnahmen, aber in D eher selten). wenn du mit einem router online gehst, so bezieht nicht dein rechner diese dynamische internet-ip, sondern der router. dein rechner bekommt eine ip aus den privaten bereichen, meist eine 192.168.xxx.xxx. da pakete von diesen ips im internet nicht weitergeleitet werden und nicht adressierbar sind muß dein router NAT können, und er tut es auch, denn sonst kämst du nicht ins internet.

          wie kommen jetzt pakete von und zu deinem rechner?

          NAT übersetzt deine ursprungsip in den ausgesandten paketen in die ip, welche er vom provider zugewiesen bekommen hat. diesen vorgang (den socket) speichert er in einer internen tabelle, um zu wissen, welche verbindung er da für welchen rechner übersetzt hat, denn es könnten statt einer ja auch 254 rechner mit privaten adressen hinter ihm versteckt sein.

          kommen nun die antwortpakete von dem von dir angesprochenen server wieder zurück an den router (der server sah ja als absender den router und nicht deinen rechner mit privater ip) so übersetzt der router mittels seiner nat-tabelle die adressen wieder zurück. so weit, so gut.

          was passiert nun bei an dem router ankommenden paketen, die nicht von einem rechner hinter dem router angefordert wurden? wenn man an die nat-tabelle denkt, so ist klar, daß für diese pakete keine einträge in der nat-tabelle zu finden sind, der router weiß nicht, wohin mit diesen paketen, auf ihm selbst sind ja im normalfall keine dienste, welche diese pakete verarbeiten könnten, ergo verwirft er sie stillschweigend und nimmt einen eintrag im log vor. wie du siehst, kommen diese pakete überhaupt nicht bis an deinen rechner.

          folge: blaster kann blasten, wie er will, so lange der router selbst keine DCOM-schnittstelle besitzt, welche für die lücke empfänglich wäre (und die hat er nicht).

          jetzt gibt es noch einen sonderfall, der sich portforwarding oder vServer nennt. dabei wird dem router mitgeteilt, daß wenn nicht angeforderte pakete an einen bestimmten port ankommen, nehmen wir mal aus plausibilitätsgründen port80, so soll er sie an einen bestimmten rechner im lan weiterleiten, der als server fungiert, denn sonst könnte man hinter einem NAT-router keinen server betreiben, da z.b. der rechner, welcher vielleicht die ip 192.168.1.80 hat nciht von außen angesprochen werden kann. der router muß also stellvertretend die pakete annehmen und stillschweigend weiterreichen, wobei er natürlich immer noch die adressen übersetzen muß.

          so..viel geschrieben, aber ich hoffe, daß erleichtert dein verständnis ein wenig was die logeinträge angeht.

          ps: die einträge bei netstat sagen dir nicht, welche ports wirklich von außerhalb des lans zu erreichen sind.
        
         Pauschalurteile sind immer falsch!!!
      
             bei Antwort benachrichtigen