Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

ich bin verunsichert: zugriffe auf 145 und 445 werden protok

midget / 16 Antworten / Baumansicht Nickles

hab im logfile meines routers folgende eintraege, welche mich etwas verunsichern. kann mir wer sagen, was da genau passiert?

09/15/2003 20:09:34 192.168.123.141 login successful
09/15/2003 20:09:51 Unrecognized access from 154.5.24.190:4258 to TCP port 445
09/15/2003 20:09:54 Unrecognized access from 154.5.24.190:4258 to TCP port 445
09/15/2003 20:09:57 Unrecognized access from 24.85.122.140:1071 to TCP port 445
09/15/2003 20:09:59 Unrecognized access from 24.85.122.140:1071 to TCP port 445
09/15/2003 20:10:31 Unrecognized access from 217.162.58.209:4543 to TCP port 135
09/15/2003 20:10:34 Unrecognized access from 217.162.58.209:4543 to TCP port 135
09/15/2003 20:10:44 Unrecognized access from 217.157.107.166:4514 to TCP port 135
09/15/2003 20:10:47 Unrecognized access from 217.157.107.166:4514 to TCP port 135
09/15/2003 20:11:07 Unrecognized access from 217.162.21.196:3749 to TCP port 135
09/15/2003 20:11:20 DHCP:renew
09/15/2003 20:11:20 DHCP:ack(DOL=5400,T1=2700,T2=4725)
09/15/2003 20:11:54 Unrecognized access from 217.162.145.152:3642 to TCP port 445
09/15/2003 20:11:57 Unrecognized access from 217.162.145.152:3642 to TCP port 445
09/15/2003 20:12:03 Unrecognized access from 217.162.86.252:2311 to TCP port 135
09/15/2003 20:12:22 Unrecognized access from 217.162.42.245:4589 to TCP port 135
09/15/2003 20:12:24 Unrecognized access from 217.162.42.245:4589 to TCP port 135
09/15/2003 20:14:35 Unrecognized access from 217.162.33.138:2755 to TCP port 135
09/15/2003 20:14:38 Unrecognized access from 217.162.33.138:2755 to TCP port 135
09/15/2003 20:14:46 Unrecognized access from 217.162.31.38:1583 to TCP port 135
09/15/2003 20:14:49 Unrecognized access from 217.162.31.38:1583 to TCP port 135
09/15/2003 20:15:09 Unrecognized access from 217.162.22.167:4157 to TCP port 135
09/15/2003 20:15:12 Unrecognized access from 217.162.22.167:4157 to TCP port 135
09/15/2003 20:15:22 Unrecognized access from 217.162.151.163:1177 to TCP port 135
09/15/2003 20:15:25 Unrecognized access from 217.162.151.163:1177 to TCP port 135
09/15/2003 20:16:10 Unrecognized access from 217.162.14.239:3379 to TCP port 135
09/15/2003 20:16:12 Unrecognized access from 217.162.14.239:3379 to TCP port 135
09/15/2003 20:17:05 Unrecognized access from 217.162.79.13:1109 to TCP port 135
09/15/2003 20:17:07 Unrecognized access from 217.162.68.116:3154 to TCP port 135
09/15/2003 20:17:08 Unrecognized access from 217.162.79.13:1109 to TCP port 135
09/15/2003 20:17:42 Unrecognized access from 217.162.116.17:4994 to TCP port 445
09/15/2003 20:17:45 Unrecognized access from 217.162.116.17:4994 to TCP port 445
09/15/2003 20:18:55 Unrecognized access from 217.162.84.108:1140 to TCP port 135
09/15/2003 20:20:18 Unrecognized access from 217.162.91.81:3498 to TCP port 135
09/15/2003 20:20:18 Unrecognized access from 217.162.91.81:3518 to TCP port 135
09/15/2003 20:20:46 Unrecognized access from 217.162.38.150:2391 to TCP port 135
09/15/2003 20:20:49 Unrecognized access from 217.162.38.150:2391 to TCP port 135
09/15/2003 20:20:55 Unrecognized access from 217.162.38.150:2391 to TCP port 135
09/15/2003 20:21:42 Unrecognized access from 217.162.52.254:4706 to TCP port 135
09/15/2003 20:21:45 Unrecognized access from 217.162.52.254:4706 to TCP port 135

************************************

irgendwo stand noch was von netstat -an, das sieht bei mir wie folgt aus:

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:1025 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:1027 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:2297 0.0.0.0:0 ABHÖREN
TCP 192.168.123.141:2297 64.12.30.180:5190 HERGESTELLT
TCP 192.168.123.141:2817 213.165.64.20:110 WARTEND
TCP 192.168.123.141:2818 62.2.95.13:110 WARTEND
TCP 192.168.123.141:2819 213.165.64.20:110 WARTEND
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1026 *:*
UDP 127.0.0.1:1060 *:*
UDP 127.0.0.1:2726 *:*
UDP 127.0.0.1:2729 *:*
UDP 192.168.123.141:500 *:*


kann mir sagen ob das gut oder schlecht ist?

bei Antwort benachrichtigen
GarfTermy midget „ich bin verunsichert: zugriffe auf 145 und 445 werden protok“
Optionen

217.162.22.167:4157 to TCP port 135 ...blaster wurm, ungefährlich, informativ

09/15/2003 20:11:20 DHCP:renew ...zuweisung einer ip im lan vom dhcp - ungefährlich

09/15/2003 20:11:20 DHCP:ack(DOL=5400,T1=2700,T2=4725) ...bestätigung der ip zuweisung vom dhcp, auch ungefährlich

09/15/2003 20:11:57 Unrecognized access from 217.162.145.152:3642 to TCP port 445 ...könnte ein portscan sein ...höchstwahrscheinlich ebenfalls ungefährlich.

port 445 ...microsoft-ds dienst

http://support.microsoft.com/default.aspx?scid=http://support.microsoft.com:80/support/kb/articles/Q204/2/79.ASP&NoWebContent=1

;-)




The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
midget GarfTermy „217.162.22.167:4157 to TCP port 135 ...blaster wurm, ungefährlich, informativ...“
Optionen

muss ich was tun?

mich stoeren vor allem die eintraege auf 135 und 445.
blasterwurmzeugs... ist das einfach von aussen her? hab ja fix drauf.

bei Antwort benachrichtigen
Tyrfing midget „ich bin verunsichert: zugriffe auf 145 und 445 werden protok“
Optionen

Die Zugriffe auf Port 135 sind wahrscheinlich Pakete von Blaster-infizierten PCs, völlig harmlos wenn du den Patch installiert hast oder DCOM gleich ganz abgeschaltet hast.
Port 445 ist quasi der "Ausweichport" der Datei- und Druckerfreigabe von Windows, wenn sie (zumindest an der Internetverbindung) deaktiviert wurde, sollte eigentlich auch keine Probleme machen, zumal du ja den Filter davor hast

bei Antwort benachrichtigen
midget Tyrfing „Die Zugriffe auf Port 135 sind wahrscheinlich Pakete von Blaster-infizierten...“
Optionen

was fuer nen filter?
irgendwie kann das mein router nicht glaub ich. ist glaub die billigvariante die ich erwischt habe :/

steht auch er koenne nat, aber einschalten kann ich nat nirgends und irgendwie muss ich auch nix forwarden und alles geht wie gehabt.

bei Antwort benachrichtigen
Teletom midget „was fuer nen filter? irgendwie kann das mein router nicht glaub ich. ist glaub...“
Optionen

Hallo midget,

es besteht überhaupt keine Gefahr, wenn Du einen Router verwendest.

Bei einem evtl. Portscan vom Internet würde man z.B. bei Port 135 und Port 445 als Antwort erhalten, dass kein Dienst feststellbar ist, da ja auf dem Router kein Dienst auch kein RPC/DCOM-Dienst laufen kann.

Wen Du so willst ist der Router diesbezüglich eine perfekte Firewall, denn "kein Dienst feststellbar" ist das beste Ergebnis besser als das Ergebnis "gefiltert".

"Gefiltert" würde heißen, hier ist ein Dienst der von einer Firewall blockiert ist und könnte zu weiteren Angriffen provozieren. Das zu letzt Genannte liegt ja bei Dir nicht vor.

Wenn Du Ports Deines PCs für das Internet verfügbar machen möchtest, musst Du bei einem Router diese Ports "forwarden".

Z.B. wenn Dein PC die IP 192.168.123.1 hat und Port 80 für einen Web-Server freigeschaltet werden soll:
TCP-MAP 0.0.0.0:80 192.168.123.1:80

Gruß
Teletom

bei Antwort benachrichtigen
midget Teletom „Hallo midget, es besteht überhaupt keine Gefahr, wenn Du einen Router...“
Optionen

dann hab ich noch ne frage wegen netstat -an, was folgendes anzeigt:

was genau heisst nun 'abhoeren'? das klingt irgendwie so nach spitzeln (ich weiss, ich bin paranoid) und auch 'wartend' klingt fuer mich, als laege mir wer auf der lauer.

ist nur so, dass ich in letzter zeit von trojanern, viren, backdoors ueberflutet wurde und ich noch andere hobbys habe als meinen pc neu aufzusetzen. deshalb hab ich mir auch den router gekauft.

das lustige am router war ja, dass ich 0 konfigurieren musste um ins inet zu kommen, was mich schon etwas seltsam duenkte

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:1025 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:1027 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:2297 0.0.0.0:0 ABHÖREN
TCP 192.168.123.141:2297 64.12.30.180:5190 HERGESTELLT
TCP 192.168.123.141:2817 213.165.64.20:110 WARTEND
TCP 192.168.123.141:2818 62.2.95.13:110 WARTEND
TCP 192.168.123.141:2819 213.165.64.20:110 WARTEND
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1026 *:*
UDP 127.0.0.1:1060 *:*
UDP 127.0.0.1:2726 *:*
UDP 127.0.0.1:2729 *:*
UDP 192.168.123.141:500 *:*

bei Antwort benachrichtigen
Teletom midget „dann hab ich noch ne frage wegen netstat -an, was folgendes anzeigt: was genau...“
Optionen

Hi,

TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:1025 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:1027 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:2297 0.0.0.0:0 ABHÖREN
bedeutet, dass die entsprechenden Ports bei Dir offen sind und auf "abhören" (Listen) eingestellt sind. Wenn ein eingehendes Internetpaket mit dem Zielport 135 Deinen Computer über Router erreichen will, muss der Port über das oben beschriebene Forwarding auf Deine IP-Nummer freigeschaltet sein, sonst weiß ja der Router nicht, an welche Ziel-IP-Nummer das Paket weitergegeben werden soll. Da kein Forwarding eingestellt ist, kann also auch keine Gefahr bestehen.

"destination unreachable" würde erst dann als Antwort erscheinen, wenn in der obigen Konstellation
1. Port-Forwarding auf Deinen PC eingestellt ist.
2. Dein PC offline ist
und
3. keine Portblockierung vorliegt.

Ist jedoch wie bei Dir
1. Port-Forwarding auf Deinen PC nicht eingestellt.
2. Dein PC online
und liegt
3. keine Portblockierung vor,
erfolgt immer "timeout" (ergibt als Ergebnis "kein Dienst" feststellbar). Das bedeutet aber auch, dass keine Port-Blockierungen mit Hilfe einer Firewall auf dem Router eingerichtet sein sollten.

Zur Kontrolle solltest Du die Adresse:
http://www.port-scan.de
aufsuchen.
Schnelltest und
Start-Scan anklicken.
Der Test dauert einige Minuten.

Als Ergebnis sollte z.B. bei Port 135 "kein Dienst" (bestes Resultat) angezeigt werden.

Darüber hinaus ist auf Deinem Router mit Sicherheit ein DHCP-Server aktiviert. Der DHCP hat Deinem Rechner die IP-Nummer 192.168.123.141 zu geteilt. Das ist vorläufig auch OK so. Später kannst Du dann als Verbesserung feste IP-Nummern einstellen und den DHCP deaktivieren.

Wäre gut, wenn Du das Port-Scan-Ergebnis mal hier postest.

Gruß
Teletom
PS: @Tyre: Ein Router arbeitet auf der Netzwerk-Schicht und da gibt es keine Ports. Ein Router könnte nur die Antwort einer sich online befindlichen IP weiterleiten oder feststellen, dass eine IP nicht online ist. Portscans auf eine online-befindliche IP kann der Router nur weiterleiten, wenn er weiß an welche IP er die Anfragen weiterleiten soll. Wie soll er das machen, wenn kein Forwarding eingestellt ist? Das Ergebnis "gefiltert" kann nur von einem Gerät kommen, das beispielsweise in der Application-Schicht arbeitet z.B. eine Firewall, Proxy usw.
Warum postest Du nicht einfach Deine unbegründeten und falschen Besserwissereien woanders?

bei Antwort benachrichtigen
midget Teletom „Hi, TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN TCP...“
Optionen

Rechner-Netz Identifizierung:
mit der IP: 217.162.73.48

Verwendetes System:
Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)



Port Protokoll Status Dienstname
21 tcp gefiltert ftp
22 tcp gefiltert ssh
23 tcp gefiltert telnet
25 tcp gefiltert smtp
79 tcp gefiltert finger
80 tcp gefiltert www
98 tcp gefiltert linuxconf
110 tcp gefiltert pop3
111 tcp gefiltert nfs
113 tcp kein Dienst ident
135 tcp gefiltert rpc
139 tcp gefiltert netbios (Win/SAMBA)
143 tcp gefiltert imap
443 tcp gefiltert https
901 tcp gefiltert swat (SAMBA)
1080 tcp gefiltert proxy
5000 tcp gefiltert windows XP (UPnP)
6000 tcp gefiltert Xwindow
8080 tcp gefiltert proxy
10000 tcp gefiltert webmin ?

bei Antwort benachrichtigen
Teletom midget „Rechner-Netz Identifizierung: mit der IP: 217.162.73.48 Verwendetes System:...“
Optionen

Na midget, da siehst Du es.

Die Ports werden internetseitig bei Deinem Router meistens gefiltert.
Gefiltert heisst, es liegen Port-Blockierungen vor, die Ports können jedoch festgestellt werden. Port-Blockierung bedeutet in Deinem Fall, dass auf dem Router sogar eine Firewall aktiv ist.

Du hast also keinen Grund verunsichert zu sein, es liegt das Gegenteil vor. Dein Computer ist vor Internetangriffen relativ sicher.

Bedenke jedoch, es gibt nie eine 100%ige Sicherheit.

Gruß
Teletom
PS: Natürlich würde Dein Computer, wie oben bereits dargestellt, auch ohne Firewall durch den Router geschützt werden, wenn kein Port-Forwarding eingestellt ist. Aber das ist eine andere Geschichte.

bei Antwort benachrichtigen
Tyrfing Teletom „Hi, TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN TCP...“
Optionen

>>PS: @Tyre: [eine Menge Kram, dessen Author offenbar mein Posting nicht im geringsten verstanden hat] Wie man vernünftige Antworten erstellt:
1.) Text vollständig lesen
2.) Text vollständig verstehen, bei Unklarheiten fragen
3.) Nachdenken, evtl. informieren
4.) Schreiben

Die Schritte 1-3 sind nicht freiwillig sondern nötig

bei Antwort benachrichtigen
Tyrfing Teletom „Hallo midget, es besteht überhaupt keine Gefahr, wenn Du einen Router...“
Optionen

>>"Gefiltert" würde heißen, hier ist ein Dienst der von einer Firewall blockiert ist und könnte zu weiteren Angriffen provozieren. Das zu letzt Genannte liegt ja bei Dir nicht vor. "Gefiltert" heißt nur, dass die Firewall die eingehenden Pakete filtert oder der Router sie gar nicht weiterleiten will
Der Router kann durchaus die ensprechenden Meldungen wie [RST,ACK] oder "destination unreachable" zurückschicken, die auch zurückkommen würden, wenn der Port auf "natürliche" Art, also durch das Beenden des Programms, dass den Port geöffnet hat, geschlossen wurde

bei Antwort benachrichtigen
XPectIT midget „ich bin verunsichert: zugriffe auf 145 und 445 werden protok“
Optionen

TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:1025 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:1027 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:2297 0.0.0.0:0 ABHÖREN
Es heisst nichts anderes, als das dein Rechner auf Verbindungen wartet die über die Ports hergestellt werden.

TCP 192.168.123.141:2297 64.12.30.180:5190 HERGESTELLT
Du hast ICQ offen.

TCP 192.168.123.141:2817 213.165.64.20:110 WARTEND
TCP 192.168.123.141:2818 62.2.95.13:110 WARTEND
TCP 192.168.123.141:2819 213.165.64.20:110 WARTEND
Dein Mailprogramm hat eine Verbindung zum Mailserver aufgebaut und der Router wartet darauf, das Daten verschickt/empfangen werden.

netstat zeigt an, wie das Netz gerade verwendet wird. offene Ports, bestehende Verbindungen, Status der Verbindungen, etc.
Gruss
XPectIT

bei Antwort benachrichtigen
midget XPectIT „TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN TCP...“
Optionen

er wartet bis was reinkommt ueber 135 und 445?
wenn ich das richtig zusammentrage, benutzt lovesan aka blaster die beiden ports.

hoffe mein router laesst nix rein. von daher muesste er auch nicht warten bis was kommt, wenns eh nur n 'kaefer' ist.

bei Antwort benachrichtigen
XPectIT midget „er wartet bis was reinkommt ueber 135 und 445? wenn ich das richtig...“
Optionen

Der Rechner wartet praktisch hinter einer Verschlossenen Türe, das jemand von aussen durch die Türe kommt. - Kein Grund zur besorgnis.

bei Antwort benachrichtigen
midget XPectIT „Der Rechner wartet praktisch hinter einer Verschlossenen Türe, das jemand von...“
Optionen

merci viel mals
werde wieder ruhiger schlafen :)

bei Antwort benachrichtigen
xafford midget „ich bin verunsichert: zugriffe auf 145 und 445 werden protok“
Optionen

hier einmal zu deiner beruhigung ein paar theoretische fakten über heimrouter.
im normalfall besitzt du keine feste IP aus dem öffentlichen adressraum, du bekommst eine dynamische von deinem provider zugewiesen (es gibt zwar ausnahmen, aber in D eher selten). wenn du mit einem router online gehst, so bezieht nicht dein rechner diese dynamische internet-ip, sondern der router. dein rechner bekommt eine ip aus den privaten bereichen, meist eine 192.168.xxx.xxx. da pakete von diesen ips im internet nicht weitergeleitet werden und nicht adressierbar sind muß dein router NAT können, und er tut es auch, denn sonst kämst du nicht ins internet.
wie kommen jetzt pakete von und zu deinem rechner?
NAT übersetzt deine ursprungsip in den ausgesandten paketen in die ip, welche er vom provider zugewiesen bekommen hat. diesen vorgang (den socket) speichert er in einer internen tabelle, um zu wissen, welche verbindung er da für welchen rechner übersetzt hat, denn es könnten statt einer ja auch 254 rechner mit privaten adressen hinter ihm versteckt sein.
kommen nun die antwortpakete von dem von dir angesprochenen server wieder zurück an den router (der server sah ja als absender den router und nicht deinen rechner mit privater ip) so übersetzt der router mittels seiner nat-tabelle die adressen wieder zurück. so weit, so gut.
was passiert nun bei an dem router ankommenden paketen, die nicht von einem rechner hinter dem router angefordert wurden? wenn man an die nat-tabelle denkt, so ist klar, daß für diese pakete keine einträge in der nat-tabelle zu finden sind, der router weiß nicht, wohin mit diesen paketen, auf ihm selbst sind ja im normalfall keine dienste, welche diese pakete verarbeiten könnten, ergo verwirft er sie stillschweigend und nimmt einen eintrag im log vor. wie du siehst, kommen diese pakete überhaupt nicht bis an deinen rechner.
folge: blaster kann blasten, wie er will, so lange der router selbst keine DCOM-schnittstelle besitzt, welche für die lücke empfänglich wäre (und die hat er nicht).
jetzt gibt es noch einen sonderfall, der sich portforwarding oder vServer nennt. dabei wird dem router mitgeteilt, daß wenn nicht angeforderte pakete an einen bestimmten port ankommen, nehmen wir mal aus plausibilitätsgründen port80, so soll er sie an einen bestimmten rechner im lan weiterleiten, der als server fungiert, denn sonst könnte man hinter einem NAT-router keinen server betreiben, da z.b. der rechner, welcher vielleicht die ip 192.168.1.80 hat nciht von außen angesprochen werden kann. der router muß also stellvertretend die pakete annehmen und stillschweigend weiterreichen, wobei er natürlich immer noch die adressen übersetzen muß.

so..viel geschrieben, aber ich hoffe, daß erleichtert dein verständnis ein wenig was die logeinträge angeht.

ps: die einträge bei netstat sagen dir nicht, welche ports wirklich von außerhalb des lans zu erreichen sind.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen