Sie sind nicht angemeldet.

  • Anmelden

Unklare Verbindungen auf Router

kOa_Borgg

Erleuchteter

  • »kOa_Borgg« ist der Autor dieses Themas

Beiträge: 6 204

Beruf: GER

  • Nachricht senden

1

15.01.2007, 21:10

Unklare Verbindungen auf Router

Hiho,

ich hab heute nachmitte eine ganze Menge unklarer verbindungen auf meinem Router gesehen.

die .13 ist meine subip.

Es gingen zu der 217.81.181.206 eine Menge verbindungen. Immer über pseudo-port 135. Was ist das bitte für ein Port? Da steht was von NetBios in den Beschreibungen? Dann waren plötzlich später ne Menge Verbindungen auf den Telnet und ssh ports (port 22 und 23) angezeigt. Also ich mach auf diesen Ports bewußt ansich nix. Die 445 ist eine ip SMB-freigabe soweit ich das nachvollziehen kann. Nur hab ich nix frei gegeben :/


kleiner auszug:

Quellcode

 
1
2
3
4
5
6

Private IP : Port #Pseudo Port         Peer IP : Port  Info  Status 
192.168.1.13   445          445   83.243.40.152 29708     3  0     
192.168.1.13   135          135  217.81.181.206  2473     3  0  (ca 10x das selbe)
192.168.1.13   135          135     217.81.83.7  5000     3  0
192.168.1.13   22          22     217.81.83.7  5000     3  0
192.168.1.13   23          23     xxx.xxx.xxx.xxx  /irgendwasPort/     3  0




mein normales virenproggy find nix (antivir). hijack-this hat auch nüscht gefunden. was kann man noch so drüber jagen?

Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von »kOa_Borgg« (15.01.2007, 21:12)

OoK_Isch

Erleuchteter

Beiträge: 4 115

Wohnort: Hildesheim

Beruf: GER

  • Nachricht senden

2

15.01.2007, 22:29

Mir ist grad etwas unklar: Gehen die Verbindungen von dir aus oder sind es eingehende Verbindungen?

kOa_Borgg

Erleuchteter

  • »kOa_Borgg« ist der Autor dieses Themas

Beiträge: 6 204

Beruf: GER

  • Nachricht senden

3

15.01.2007, 22:36

Das kann ich dir nicht sagen, weil ich es nicht weiß. Ich seh nur, dass sie existieren.

Ich hab mal zum spaß eine ftp verbindung von mir aus aufgebaut. Das sieht dann so aus

Quellcode

 
1
2
3
4

-------------------------------------------------------------------------------
     Private IP :Port #Pseudo Port         Peer IP :Port  Info  Status   
-------------------------------------------------------------------------------
    192.168.1.13  4389         4389    64.12.31.176   21(!)     3  0

als die "normale" portnummer kommt dann hinten. das andere ist wohl irgendwas vom router.

die komischen telnet/ssh verbindungen sahen vorhin so aus

Quellcode

 
1
2
3
4

-------------------------------------------------------------------------------
     Private IP :Port #Pseudo Port         Peer IP :Port  Info  Status   
-------------------------------------------------------------------------------
    192.168.1.13  23(!)       23(!)    64.12.31.176   ***     3  0


*** weiß ich nicht mehr. kann sein dass das auch 23 war, maybe aber auch was andres... :( mist hätte mir das kopieren sollen grml.

edit: eigentlich können die nur von "innen" kommen. wenn ich aus dem internet einen portscan laufen lasse ist alles dicht/tot

Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von »kOa_Borgg« (15.01.2007, 22:38)

OoK_Isch

Erleuchteter

Beiträge: 4 115

Wohnort: Hildesheim

Beruf: GER

  • Nachricht senden

4

15.01.2007, 22:41

Ja, dann sind das wohl irgendwelche Verbindungen von außen.
Warum leitet dein Router die weiter? Ein normaler Router sollte nichts weiterleiten, was du nicht explizit eingestellt hast (z.B. Ports für AoE).
Die Verbindungen gehören wahrscheinlich zum ganz normalen "Hintergrundrauschen" im Internet. (Verbindungen von verseuchten Zombierechnern, die nach anderen infizierten suchen, File-Sharing-Programme die nach demjenigen suchen, der als letztes deine IP hatte und ein entsprechendes Programm am laufen hatte, usw...)

kOa_Borgg

Erleuchteter

  • »kOa_Borgg« ist der Autor dieses Themas

Beiträge: 6 204

Beruf: GER

  • Nachricht senden

5

15.01.2007, 23:23

Wie ich schon schrieb, von außen ist eigentlich dicht. Und mein router leitet da auch nix weiter ansich. Die NAT leitet nur AoK Ports weiter. Nix weiter. Die Firewall im router blockt ansich auch alles was von außen kommt außer vordefinierte Ports. Und 22,23,24,135 sind da nirgends in der whitelist. Daher geh ich schon davon aus, dass das von hier nach draußen ging. Nur warum macht mein (Zombi?-)PC sowas...

edit. ich hab Upnp aktiviert. Der port 5000 soll wohl irgendwas damit zu schaffen haben... :/ whatever.

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »kOa_Borgg« (15.01.2007, 23:24)

Zecher_Websonic

Meister

Beiträge: 1 915

Wohnort: Dorfzentrum

Beruf: GER

  • Nachricht senden

7

16.01.2007, 01:02

also ich würd jetzt einfach mal auf ICQ/MSN/Yahoo/AIM-Kontakte tippen. war bei mir auch mal so.

kOa_Borgg

Erleuchteter

  • »kOa_Borgg« ist der Autor dieses Themas

Beiträge: 6 204

Beruf: GER

  • Nachricht senden

8

16.01.2007, 09:41

@devil : interessante liste. Port 135 scheit ja was sehr mysteriöses zu sein. Hatte da bisher nur etwas zu netbios gefunden. Wenn man aber nach "DCE endpoint resolution" sucht find man lauter verzweifelte Posts, die sich fragen was dieser Port eigentlich so treibt.

Die remote ssh/telnet Verbindungen auf port 22 & 23 machen mir da noch Sorgenfalten. Kann mich auch noch an eine Verbindung erinnern deren Port definitiv die für Remote Desktop Protocol war, als ich danach suchte.

@sonic : du meinst mein icq-client macht ssh/telnet und rdp Verbindungen auf? nutze trillian mit installiertem icq und MS-messanger

Erotix_Devil__

Profi

Beiträge: 1 031

  • Nachricht senden

9

16.01.2007, 18:52

ich weiss von icq nur, dass es in der lage ist, sich offene ports selbst zu suchen , wenn der standardport zu/ nicht zur verfügung steht.

OoK_Isch

Erleuchteter

Beiträge: 4 115

Wohnort: Hildesheim

Beruf: GER

  • Nachricht senden

10

16.01.2007, 18:59

Naja, hast du auf deinem Rechner denn irgendwelche Dienste die an den Ports 22, 23, 135 und 445 lauschen? (Gut sichtbar mit z.B. Active Ports (State "Listen"))
Falls nicht kanns dir ja wurscht sein...

kOa_Borgg

Erleuchteter

  • »kOa_Borgg« ist der Autor dieses Themas

Beiträge: 6 204

Beruf: GER

  • Nachricht senden

11

16.01.2007, 22:17

Naja wurscht... will nich, dass mein pc ne virenschleuder ist...

kOa_Borgg

Erleuchteter

  • »kOa_Borgg« ist der Autor dieses Themas

Beiträge: 6 204

Beruf: GER

  • Nachricht senden

12

16.01.2007, 22:31

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98

Private IP :Port #Pseudo Port         Peer IP :Port  Info  Status   
-------------------------------------------------------------------------------
   192.168.1.12  3210        33865   217.12.10.100   110     3  0     
    192.168.1.3  3128         3128 125.232.232.202  2238     3  0     
   192.168.1.10  2685        33908     223.1.1.128   135     3  0     
    192.168.1.3  5900         5900  217.91.120.248  2677     3  0     
    192.168.1.3  2967         2967 217.165.105.110  2109     3  0     
   192.168.1.10  3458        33697     223.1.1.128   135     3  0     
   192.168.1.10  2179        33956     223.1.1.128   135     3  0     
   192.168.1.10  2436        33931     223.1.1.128   135     3  0     
    192.168.1.3  2967         2967  217.219.47.116  3211     3  0     
   192.168.1.10  3207        33764     223.1.1.128   135     3  0     
   192.168.1.10  2952        33873     223.1.1.128   135     3  0     
    192.168.1.3  5900         5900    189.171.25.9 33174     3  0     
   192.168.1.10  2711        33906     223.1.1.128   135     3  0     
   192.168.1.10  3484        33696     223.1.1.128   135     3  0     
   192.168.1.10  2205        33955     223.1.1.128   135     3  0     
   192.168.1.10  2463        33927     223.1.1.128   135     3  0     
   192.168.1.10  3233        33756     223.1.1.128   135     3  0     
   192.168.1.10  2977        33862     223.1.1.128   135     3  0     
    192.168.1.3  2967         2967    88.17.50.146  4757     3  0     
    192.168.1.3  2967         2967  217.17.189.146  3887     3  0     
    192.168.1.3  2100         2100 210.118.254.246  4248     3  0     
   192.168.1.10  2734        33900     223.1.1.128   135     3  0     
    192.168.1.3  5900         5900  212.123.252.43 41495     3  0     
   192.168.1.10  2231        33953     223.1.1.128   135     3  0     
   192.168.1.10  3258        33753     223.1.1.128   135     3  0     
   192.168.1.10  2490        33925     223.1.1.128   135     3  0     
   192.168.1.10  3007        33858     223.1.1.128   135     3  0     
    192.168.1.3  5900         5900  217.116.145.66  3888     3  0     
   192.168.1.10  2760        33898     223.1.1.128   135     3  0     
    192.168.1.3  5900         5900     71.74.78.67  4769     3  0     
   192.168.1.10  2257        33952     223.1.1.128   135     3  0     
   192.168.1.10  2002        33970     223.1.1.128   135     3  0     
   192.168.1.10  3285        33740     223.1.1.128   135     3  0     
    192.168.1.3  5900         5900   217.76.193.82  4497     3  0     
   192.168.1.10  3033        33855     223.1.1.128   135     3  0     
   192.168.1.10  2526        33922     223.1.1.128   135     3  0     
   192.168.1.12  1359        33477    75.34.221.13  1494     3  0     
    192.168.1.3  4899         4899   82.145.201.69  3349     3  0     
   192.168.1.10  2786        33897     223.1.1.128   135     3  0     
   192.168.1.10  3302        33732     223.1.1.128   135     3  0     
   192.168.1.12  9370        33514  193.64.205.196   370     3  0     
   192.168.1.10  2283        33947     223.1.1.128   135     3  0     
   192.168.1.10  2028        33969     223.1.1.128   135     3  0     
   192.168.1.10  3059        33853     223.1.1.128   135     3  0     
    192.168.1.3  1048         1048  209.85.135.103    80     3  0     
   192.168.1.10  2811        33893     223.1.1.128   135     3  0     
   192.168.1.10  2555        33921     223.1.1.128   135     3  0     
    192.168.1.3  6588         6588 125.232.232.202  2239     3  0     
   192.168.1.10  3328        33711     223.1.1.128   135     3  0     
    192.168.1.3  5900         5900 222.187.235.123  3931     3  0     
    192.168.1.3  5900         5900 217.227.239.130  3614     3  0     
   192.168.1.10  2312        33943     223.1.1.128   135     3  0     
   192.168.1.10  2057        33967     223.1.1.128   135     3  0     
   192.168.1.12  2595        34319   217.12.10.100   110     3  0     
    192.168.1.3  5900         5900  217.218.66.135  3720     3  0     
   192.168.1.10  3085        33851     223.1.1.128   135     3  0     
    192.168.1.3 10000        10000   218.28.29.135 46257     3  0     
   192.168.1.10  2837        33892     223.1.1.128   135     3  0     
   192.168.1.10  3354        33710     223.1.1.128   135     3  0     
   192.168.1.10  2338        33942     223.1.1.128   135     3  0     
    192.168.1.3  5554         5554  220.108.93.247  3951     3  0     
    192.168.1.3  4899         4899  72.130.255.135  2938     3  0     
    192.168.1.3  1049         1049  209.85.135.147    80     3  0     
    192.168.1.3  1050         1050  209.85.135.147    80     3  0     
   192.168.1.10  3111        33812     223.1.1.128   135     3  0     
   192.168.1.10  2088        33966     223.1.1.128   135     3  0     
    192.168.1.3  5900         5900   217.97.30.163  4832     3  0     
   192.168.1.10  2857        33879     223.1.1.128   135     3  0     
    192.168.1.3  2967         2967   217.74.140.26  3978     3  0     
   192.168.1.10  2603        33913     223.1.1.128   135     3  0     
   192.168.1.12  3596        33577    75.15.37.159   443     3  0     
    192.168.1.3  2967         2967    88.119.29.30  3549     3  0     
  192.168.1.130  1784        33825    217.12.11.66    25     3  0     
   192.168.1.10  3380        33708     223.1.1.128   135     3  0     
    192.168.1.3  3128         3128  210.82.103.132 62519     3  0     
   192.168.1.10  2877        33877     223.1.1.128   135     3  0     
   192.168.1.10  2368        33939     223.1.1.128   135     3  0     
   192.168.1.10  3137        33771     223.1.1.128   135     3  0     
    192.168.1.3  2967         2967  217.165.130.50  3330     3  0     
    192.168.1.3  2967         2967   213.190.42.54 62737     3  0     
   192.168.1.10  2632        33911     223.1.1.128   135     3  0     
   192.168.1.10  3406        33707     223.1.1.128   135     3  0     
   192.168.1.12  3434        33663   217.12.10.100   110     3  0     
   192.168.1.10  2903        33876     223.1.1.128   135     3  0     
   192.168.1.10  3164        33769     223.1.1.128   135     3  0     
   192.168.1.12  3191        33883   217.12.10.100   110     3  0     
   192.168.1.10  2404        33937     223.1.1.128   135     3  0     
   192.168.1.10  2149        33959     223.1.1.128   135     3  0     
   192.168.1.10  2662        33910     223.1.1.128   135     3  0     
    192.168.1.3  2967         2967    217.15.43.86  4993     3  0     
   192.168.1.10  3432        33705     223.1.1.128   135     3  0     
    192.168.1.3  5900         5900   217.81.51.231  3854     3  0     
   192.168.1.10  3181        33766     223.1.1.128   135     3  0     
   192.168.1.10  2926        33874     223.1.1.128   135     3  0     
   192.168.1.12  3209        33864   217.12.10.100   110     3  0     
    192.168.1.3  5900         5900  68.236.173.234 33227     3  0



dieser eintrag:
192.168.1.10 2926 33874 223.1.1.128 135 3 0

hab mal geguckt, was sich hinter der ip verbirgt... also die domains kenn ich net. :/

http://whois.webhosting.info/223.1.1.128

1 ABARRON.COM.
2 ABTSOFT.COM.
3 AUTOMATIONSTRATEGIES.COM.
4 CITIFIED.NET.
5 CPUROOM.COM.
6 CYBERWOLF.BIZ.
7 EXAMINAIR.COM.
8 GAGNEFUNERALHOME.COM.
9 JOHNCHEUNG.NET.