Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

Verfolgung starten Optionen

ich bin verunsichert: zugriffe auf 145 und 445 werden protok

midget / 16 Antworten / Flachansicht Nickles

hab im logfile meines routers folgende eintraege, welche mich etwas verunsichern. kann mir wer sagen, was da genau passiert?

09/15/2003 20:09:34 192.168.123.141 login successful
09/15/2003 20:09:51 Unrecognized access from 154.5.24.190:4258 to TCP port 445
09/15/2003 20:09:54 Unrecognized access from 154.5.24.190:4258 to TCP port 445
09/15/2003 20:09:57 Unrecognized access from 24.85.122.140:1071 to TCP port 445
09/15/2003 20:09:59 Unrecognized access from 24.85.122.140:1071 to TCP port 445
09/15/2003 20:10:31 Unrecognized access from 217.162.58.209:4543 to TCP port 135
09/15/2003 20:10:34 Unrecognized access from 217.162.58.209:4543 to TCP port 135
09/15/2003 20:10:44 Unrecognized access from 217.157.107.166:4514 to TCP port 135
09/15/2003 20:10:47 Unrecognized access from 217.157.107.166:4514 to TCP port 135
09/15/2003 20:11:07 Unrecognized access from 217.162.21.196:3749 to TCP port 135
09/15/2003 20:11:20 DHCP:renew
09/15/2003 20:11:20 DHCP:ack(DOL=5400,T1=2700,T2=4725)
09/15/2003 20:11:54 Unrecognized access from 217.162.145.152:3642 to TCP port 445
09/15/2003 20:11:57 Unrecognized access from 217.162.145.152:3642 to TCP port 445
09/15/2003 20:12:03 Unrecognized access from 217.162.86.252:2311 to TCP port 135
09/15/2003 20:12:22 Unrecognized access from 217.162.42.245:4589 to TCP port 135
09/15/2003 20:12:24 Unrecognized access from 217.162.42.245:4589 to TCP port 135
09/15/2003 20:14:35 Unrecognized access from 217.162.33.138:2755 to TCP port 135
09/15/2003 20:14:38 Unrecognized access from 217.162.33.138:2755 to TCP port 135
09/15/2003 20:14:46 Unrecognized access from 217.162.31.38:1583 to TCP port 135
09/15/2003 20:14:49 Unrecognized access from 217.162.31.38:1583 to TCP port 135
09/15/2003 20:15:09 Unrecognized access from 217.162.22.167:4157 to TCP port 135
09/15/2003 20:15:12 Unrecognized access from 217.162.22.167:4157 to TCP port 135
09/15/2003 20:15:22 Unrecognized access from 217.162.151.163:1177 to TCP port 135
09/15/2003 20:15:25 Unrecognized access from 217.162.151.163:1177 to TCP port 135
09/15/2003 20:16:10 Unrecognized access from 217.162.14.239:3379 to TCP port 135
09/15/2003 20:16:12 Unrecognized access from 217.162.14.239:3379 to TCP port 135
09/15/2003 20:17:05 Unrecognized access from 217.162.79.13:1109 to TCP port 135
09/15/2003 20:17:07 Unrecognized access from 217.162.68.116:3154 to TCP port 135
09/15/2003 20:17:08 Unrecognized access from 217.162.79.13:1109 to TCP port 135
09/15/2003 20:17:42 Unrecognized access from 217.162.116.17:4994 to TCP port 445
09/15/2003 20:17:45 Unrecognized access from 217.162.116.17:4994 to TCP port 445
09/15/2003 20:18:55 Unrecognized access from 217.162.84.108:1140 to TCP port 135
09/15/2003 20:20:18 Unrecognized access from 217.162.91.81:3498 to TCP port 135
09/15/2003 20:20:18 Unrecognized access from 217.162.91.81:3518 to TCP port 135
09/15/2003 20:20:46 Unrecognized access from 217.162.38.150:2391 to TCP port 135
09/15/2003 20:20:49 Unrecognized access from 217.162.38.150:2391 to TCP port 135
09/15/2003 20:20:55 Unrecognized access from 217.162.38.150:2391 to TCP port 135
09/15/2003 20:21:42 Unrecognized access from 217.162.52.254:4706 to TCP port 135
09/15/2003 20:21:45 Unrecognized access from 217.162.52.254:4706 to TCP port 135

************************************

irgendwo stand noch was von netstat -an, das sieht bei mir wie folgt aus:

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:1025 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:1027 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:2297 0.0.0.0:0 ABHÖREN
TCP 192.168.123.141:2297 64.12.30.180:5190 HERGESTELLT
TCP 192.168.123.141:2817 213.165.64.20:110 WARTEND
TCP 192.168.123.141:2818 62.2.95.13:110 WARTEND
TCP 192.168.123.141:2819 213.165.64.20:110 WARTEND
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1026 *:*
UDP 127.0.0.1:1060 *:*
UDP 127.0.0.1:2726 *:*
UDP 127.0.0.1:2729 *:*
UDP 192.168.123.141:500 *:*


kann mir sagen ob das gut oder schlecht ist?

bei Antwort benachrichtigen
217.162.22.167:4157 to TCP port 135 ...blaster wurm, ungefährlich, ... GarfTermy
muss ich was tun? mich stoeren vor allem die eintraege auf 135 und 445. ... midget
Die Zugriffe auf Port 135 sind wahrscheinlich Pakete von Blaster-infizierten ... Tyrfing
was fuer nen filter? irgendwie kann das mein router nicht glaub ich. ist ... midget
Hallo midget, es besteht überhaupt keine Gefahr, wenn Du einen Router ... Teletom
dann hab ich noch ne frage wegen netstat -an, was folgendes anzeigt: was ... midget
Teletom midget „dann hab ich noch ne frage wegen netstat -an, was folgendes anzeigt: was genau...“
Optionen

Hi,

TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:1025 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:1027 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:2297 0.0.0.0:0 ABHÖREN
bedeutet, dass die entsprechenden Ports bei Dir offen sind und auf "abhören" (Listen) eingestellt sind. Wenn ein eingehendes Internetpaket mit dem Zielport 135 Deinen Computer über Router erreichen will, muss der Port über das oben beschriebene Forwarding auf Deine IP-Nummer freigeschaltet sein, sonst weiß ja der Router nicht, an welche Ziel-IP-Nummer das Paket weitergegeben werden soll. Da kein Forwarding eingestellt ist, kann also auch keine Gefahr bestehen.

"destination unreachable" würde erst dann als Antwort erscheinen, wenn in der obigen Konstellation
1. Port-Forwarding auf Deinen PC eingestellt ist.
2. Dein PC offline ist
und
3. keine Portblockierung vorliegt.

Ist jedoch wie bei Dir
1. Port-Forwarding auf Deinen PC nicht eingestellt.
2. Dein PC online
und liegt
3. keine Portblockierung vor,
erfolgt immer "timeout" (ergibt als Ergebnis "kein Dienst" feststellbar). Das bedeutet aber auch, dass keine Port-Blockierungen mit Hilfe einer Firewall auf dem Router eingerichtet sein sollten.

Zur Kontrolle solltest Du die Adresse:
http://www.port-scan.de
aufsuchen.
Schnelltest und
Start-Scan anklicken.
Der Test dauert einige Minuten.

Als Ergebnis sollte z.B. bei Port 135 "kein Dienst" (bestes Resultat) angezeigt werden.

Darüber hinaus ist auf Deinem Router mit Sicherheit ein DHCP-Server aktiviert. Der DHCP hat Deinem Rechner die IP-Nummer 192.168.123.141 zu geteilt. Das ist vorläufig auch OK so. Später kannst Du dann als Verbesserung feste IP-Nummern einstellen und den DHCP deaktivieren.

Wäre gut, wenn Du das Port-Scan-Ergebnis mal hier postest.

Gruß
Teletom
PS: @Tyre: Ein Router arbeitet auf der Netzwerk-Schicht und da gibt es keine Ports. Ein Router könnte nur die Antwort einer sich online befindlichen IP weiterleiten oder feststellen, dass eine IP nicht online ist. Portscans auf eine online-befindliche IP kann der Router nur weiterleiten, wenn er weiß an welche IP er die Anfragen weiterleiten soll. Wie soll er das machen, wenn kein Forwarding eingestellt ist? Das Ergebnis "gefiltert" kann nur von einem Gerät kommen, das beispielsweise in der Application-Schicht arbeitet z.B. eine Firewall, Proxy usw.
Warum postest Du nicht einfach Deine unbegründeten und falschen Besserwissereien woanders?

bei Antwort benachrichtigen
Rechner-Netz Identifizierung: mit der IP: 217.162.73.48 Verwendetes System: ... midget
Na midget, da siehst Du es. Die Ports werden internetseitig bei Deinem ... Teletom
PS: @Tyre: eine Menge Kram, dessen Author offenbar mein Posting nicht im ... Tyrfing
Gefiltert würde heißen, hier ist ein Dienst der von einer Firewall ... Tyrfing
TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN TCP ... XPectIT
er wartet bis was reinkommt ueber 135 und 445? wenn ich das richtig ... midget
Der Rechner wartet praktisch hinter einer Verschlossenen Türe, das jemand ... XPectIT
merci viel mals werde wieder ruhiger schlafen : midget
hier einmal zu deiner beruhigung ein paar theoretische fakten über ... xafford