www.mikrocontroller.net

Forum: PC Hard- und Software Ständig Zugriffe auf Port 445 ?


Autor: Björn R. (sushi)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo. Als ich heute mal die Log-Datei meines Routers anschaute stellte 
ich folgendes fest:

Page 1/3
WAN Type: PPP over Ethernet (V3.04)
Display time: Sun Jan 30 17:55:14 2011

Sonntag, 30. Januar 2011 17:33:29 Unrecognized attempt blocked from 
87.123.3.54:3647 to TCP port 445
Sonntag, 30. Januar 2011 17:33:32 Unrecognized attempt blocked from 
87.123.3.54:3647 to TCP port 445
Sonntag, 30. Januar 2011 17:33:38 Unrecognized attempt blocked from 
87.123.3.54:3647 to TCP port 445
Sonntag, 30. Januar 2011 17:34:59 Unrecognized attempt blocked from 
208.43.145.78:12200 to TCP port 8008
Sonntag, 30. Januar 2011 17:35:00 Unrecognized attempt blocked from 
208.43.145.78:12200 to TCP port 8088
Sonntag, 30. Januar 2011 17:37:45 Unrecognized attempt blocked from 
87.121.66.37:1236 to TCP port 445
Sonntag, 30. Januar 2011 17:37:47 Unrecognized attempt blocked from 
87.121.66.37:1236 to TCP port 445
Sonntag, 30. Januar 2011 17:37:54 Unrecognized attempt blocked from 
178.19.182.72:4489 to TCP port 445
Sonntag, 30. Januar 2011 17:37:57 Unrecognized attempt blocked from 
178.19.182.72:4489 to TCP port 445
Sonntag, 30. Januar 2011 17:39:56 Unrecognized attempt blocked from 
87.123.51.59:10147 to TCP port 445

Woher kommt das? Habe ich einen Wurm/Trojaner auf dem Rechner? Sowohl 
Virenscanner als auch Firewall melden sich nicht. Ich habe beim googlen 
einen Beitrag gefunden, der sagte, das sei ganz normales 
"internet-Rauschen", Und dass irgendwelche Windows-Rechenr über den Port 
überprüfen, ob Netzwerkfreigaben da sind. Aber: dann müssten das ja alle 
haben. Ein KOllege hat jedoch nichts derartiges in seinem Router-Log 
stehen.

Was nun?

LG, Björn

: Verschoben durch Admin
Autor: Ingo W. (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Wenn es sich um einen Windows-Rechner (oder Linux mit Samba) handelt, 
sollte es OK sein, 445 ist Microsoft-DS.
mfG ingo

Autor: K. Laus (trollen) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nichts nun. Ich habe auch immer wieder solche Einträge im Router-Log. 
Das geht über alle Ports, besonders gerne 80, 25 und 443. Also die 
typischen Ports fürs WWW und E-Mail. Einerseits sind das wirklich 
Windows-PCs die Freigaben suchen, andererseits sind das auch verseuchte 
PCs die andere infizieren wollen. Solange aber der Router alle blockt, 
sollte es da keine Probleme geben.

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Da sind immer irgendwelche Geier unterwegs, die nach offenen Shares 
suchen, über die sie ins System eindringen können.

Port 445 ist SMB

Autor: Björn R. (sushi)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Vielen Dank für die raschen Antworten.
Ich habe jetzt alle Freigaben weggemacht, die "Angriffe" sind aber immer 
noch da. Das Router-Log ist 24 Seiten lang, ich glaub länger geht auch 
gar nicht. Und alle gehen auf Port 445.
Eigentlich hörte sich das ja gut an, was ihr da gesagt habt, aber 
komisch kommts mir schon vor. Wieso sollte ein Windows-Rechner im 
Internet nach freigaben suchen, und woher kennt der meine IP-Adresse, 
Zufall? wenn dem so wäre müsste ja auch mein Windows-Rechner ständig das 
ganze internet abgrasen, das kann ich mir nicht vorstellen.
Außerdem irritiert mich, dass der kollege die Dinger nicht hat, und 
dass, wenn man mal googlet, 90% der leute, die das gleiche Problem 
haben, einen D-Link Router haben, genau wie ich.

Also wenn einer noch eine Idee hat, imme rher damit...Ich weiß nicht, 
was ich noch machen soll...

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Björn R. schrieb:
> Ich habe jetzt alle Freigaben weggemacht, die "Angriffe" sind aber immer
> noch da.

War denn der Port 445 vorher offen?

> Das Router-Log ist 24 Seiten lang, ich glaub länger geht auch
> gar nicht. Und alle gehen auf Port 445.

In welcher Zeit kamen denn die 24 Seiten zusammen?

> Wieso sollte ein Windows-Rechner im
> Internet nach freigaben suchen, und woher kennt der meine IP-Adresse,
> Zufall?

Ich hatte das auch schon. Die picken sich einfach zufällig IP-Adressen 
raus und versuchen ihr Glück.

> wenn dem so wäre müsste ja auch mein Windows-Rechner ständig das
> ganze internet abgrasen, das kann ich mir nicht vorstellen.

Wieso? Normalerweise läßt man den 445 nur ins lokale Netz. Da muß schon 
jemand - höchstwahrscheinlich absichtlich - aus dem LAN raus langen.

Kommen die Versuche immer von derselben IP-Adresse, oder ändert die 
sich?

Du könntest ja mal über einen Whois-Dinst nachsehen, was das für 
Quelladressen sind, z.B. über http://cqcounter.com/whois/

Autor: Björn R. (sushi)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Der Port war nie offen, mir ist nur gestern erst aufgefallen, dass der 
sich im Log so häuft. Keine Ahnung, wie lang das schon ist.
Was auch auffällt, ist, dass es zu der Zeit, in der ich den Rechner aus 
hatte (heute Nacht), keine Einträge im Log gibt. Gerade habe ich den 
Rechner wieder eingeschaltet, das Log noch einmal gecleart und 5min 
später habe ich schon wieder 20 Einträge. Diesmal allerdings überwiegend 
auf UDP 15354, aber auch TCP 445 waren noch einige dabei. Jeweils von 
verschiedenen IP-Adressen, die noch nichtmal alle aus dem gleichen 
Adressraum kommen. Für mich sieht es wirklich so aus, als würde 
irgendein Wurm hier raustelefonieren und seinen Wurmgeschwistern meine 
IP flüstern, die dann versuchen hier reinzukommen. Allerdings hat wie 
gesagt weder der Virenscanner noch die Firewall was gefunden. Laut 
Firewall gibts nur Verbindungen vom Firefox, Miranda, svchost.exe und ab 
und an eine von "System". was das sein soll, weiß ich allerdings nicht. 
Da steht nur System und kein pfad oder datei. Das hatte ich allerdings 
ausgeschlossen, weil der Kollege mit der gleichen Firewall und dem 
lupenreinen Router-Log das auch hat.

LG, Björn

Autor: Björn R. (sushi)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Es zeichnet sich doch noch ein Teilmuster ab: Die Zugriffe auf Port 445 
scheinen alle von Versatel zu kommen (mein Provider). Die auf die ganzen 
andern Ports, die mittlerweile weit mehr geworden sind, kommen aus so 
schönen Ländern wie Russland, Ukraine, Polen, Slowakei...
Ich bin weiß gott kein Nationalist, aber irgendwie wird mir mulmig...

LG, Björn

Autor: nicht Gast (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
>Ich bin weiß gott kein Nationalist, aber irgendwie wird mir mulmig...

Dann solltest Du einer werden und ein gutes deutsches Betriebssystem 
verwenden.

doch Gast

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Deinem Logausschnitt aus dem Eingangsposting kann man entnehmen, daß die 
445er von außen kommen.

Du kannst ja mal wireshark auf deinem Rechner installieren und lauschen, 
ob auf deinem LAN smb-Verkehr nach einer externen IP-Adresse 
stattfindet.

Daß derlei Requests auch aus Ländern kommen, die hier nicht ohne Recht 
in gewisser Beziehung als zwielichtig gelten, ist zu erwarten und nicht 
beunruhigend, so lange die Kerle nicht eindringen können.

Wenn es sich bei den IP-Adressen um Adressen aus Provider-IP-Blocks 
handelt, dann sind das wohl irgend welche Zombies, die das Web nach 
verwundbaren Rechnern durchscannen, um die dann in das dahintersteckende 
Botnet einzureihen.

Ich betreue einen Server, auf dem auch dauernd Einbruchsversuche geloggt 
werden. Die suchen meistens auf Port 80 nach PHPmyadmin und geigen dafür 
alle möglichen, gängigen URLs dafür durch. Außerdem sehe ich dort häufig 
WebDAV-Zugriffsversuche. Das alles scheitert und das wars dann.

Autor: Björn R. (sushi)
Datum:
Angehängte Dateien:

Bewertung
0 lesenswert
nicht lesenswert
Wireshark kannte ich noch nicht. Leider bin auch absolut kein 
netzwerkspezialist... Das Programm scheint einiges zu können(mit dem ich 
als unwissender wenig anfangen kann). Alles was ich jetzt mal gemacht 
habe ist Miranda aus, firefox aus usw, und dann mal fröhlich auf meiner 
Netzwerkkarte gecaptured. Ergebnis im Anhang.
Meine laienhafte Analyse:
-raus geht nichts
-Ich sollte mich um unseren Drucker kümmern(192.168.0.7), was immer auch 
meinen Rechner(192.168.0.3) dazu veranlasst, ständig beim Router 
nachzufragen wer das ist
-Irgendeinen Alarm macht noch das Notebook meines Vaters??

Weder das Notebook noch der Drucker sind eingeschaltet...
Mit den ICMPv6-Dingern kann ich nichts anfangen, was macht der Router 
da?

Im router-Log überwiegen jetzt ganz klar UDP 43709 und UDP 15354. 
googlen anch diesen beiden bringt nichts(für mich) brauchbares zutage...


LG, Björn

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Da ist nichts unnormales zu sehen. Der Rechner fragt die Umgebung auf 
dem LAN ab - das macht er, damit er neue Shares finden kann.

Schlag einfach bei Wikipedia die verschiedenen Protokolle - z.B. ARP - 
nach, dann wirst du recht bald ein Bild davon haben, was auf der 
LAN-Strippe so alles los ist.

Experimentiere einfach mal mit wireshark. Der ist ein sehr mächtiges 
Analysewerkzeug, mit dem man herausfinden kann, was auf der Leitung 
zwischen dem eigenen Rechner und dem Switch oder dem Router los ist. Was 
auf anderen Segmenten passiert, sieht man nicht ohne einigermaßen 
aufwendige Tricks.

Autor: mumpitz (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> -Ich sollte mich um unseren Drucker kümmern(192.168.0.7), was immer auch
> meinen Rechner(192.168.0.3) dazu veranlasst, ständig beim Router
Druckertreiber wurden schon öfters als Backdoor-Programme gehalten, 
hauptsächlich die von HP :-)

Autor: hp-freund (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Wenn ich bei mir oder anderen die Sicherheit testen möchte benutze ich:

Shields UP

von der Seite:

grc.com

Autor: Björn R. (sushi)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nochmal danke für eure schnelle und fundierte Hilfe. Das scheint 
tatsächlich völlig normal zu sein. Ich habe jetzt mal von einer 
Ubuntu-Live-CD gebootet und auch dann kommen die Zugriffe. Der Router 
von dem kollegen loggt überhaupt nicht mit, wenn er was blockt.

LG, Björn

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.