Forum: PC Hard- und Software Ständig Zugriffe auf Port 445 ?

Nichts nun. Ich habe auch immer wieder solche Einträge im Router-Log. 
Das geht über alle Ports, besonders gerne 80, 25 und 443. Also die 
typischen Ports fürs WWW und E-Mail. Einerseits sind das wirklich 
Windows-PCs die Freigaben suchen, andererseits sind das auch verseuchte 
PCs die andere infizieren wollen. Solange aber der Router alle blockt, 
sollte es da keine Probleme geben.

Da sind immer irgendwelche Geier unterwegs, die nach offenen Shares 
suchen, über die sie ins System eindringen können.

Port 445 ist SMB

Vielen Dank für die raschen Antworten.
Ich habe jetzt alle Freigaben weggemacht, die "Angriffe" sind aber immer 
noch da. Das Router-Log ist 24 Seiten lang, ich glaub länger geht auch 
gar nicht. Und alle gehen auf Port 445.
Eigentlich hörte sich das ja gut an, was ihr da gesagt habt, aber 
komisch kommts mir schon vor. Wieso sollte ein Windows-Rechner im 
Internet nach freigaben suchen, und woher kennt der meine IP-Adresse, 
Zufall? wenn dem so wäre müsste ja auch mein Windows-Rechner ständig das 
ganze internet abgrasen, das kann ich mir nicht vorstellen.
Außerdem irritiert mich, dass der kollege die Dinger nicht hat, und 
dass, wenn man mal googlet, 90% der leute, die das gleiche Problem 
haben, einen D-Link Router haben, genau wie ich.

Also wenn einer noch eine Idee hat, imme rher damit...Ich weiß nicht, 
was ich noch machen soll...

Björn R. schrieb:
> Ich habe jetzt alle Freigaben weggemacht, die "Angriffe" sind aber immer
> noch da.

War denn der Port 445 vorher offen?

> Das Router-Log ist 24 Seiten lang, ich glaub länger geht auch
> gar nicht. Und alle gehen auf Port 445.

In welcher Zeit kamen denn die 24 Seiten zusammen?

> Wieso sollte ein Windows-Rechner im
> Internet nach freigaben suchen, und woher kennt der meine IP-Adresse,
> Zufall?

Ich hatte das auch schon. Die picken sich einfach zufällig IP-Adressen 
raus und versuchen ihr Glück.

> wenn dem so wäre müsste ja auch mein Windows-Rechner ständig das
> ganze internet abgrasen, das kann ich mir nicht vorstellen.

Wieso? Normalerweise läßt man den 445 nur ins lokale Netz. Da muß schon 
jemand - höchstwahrscheinlich absichtlich - aus dem LAN raus langen.

Kommen die Versuche immer von derselben IP-Adresse, oder ändert die 
sich?

Du könntest ja mal über einen Whois-Dinst nachsehen, was das für 
Quelladressen sind, z.B. über http://cqcounter.com/whois/

Der Port war nie offen, mir ist nur gestern erst aufgefallen, dass der 
sich im Log so häuft. Keine Ahnung, wie lang das schon ist.
Was auch auffällt, ist, dass es zu der Zeit, in der ich den Rechner aus 
hatte (heute Nacht), keine Einträge im Log gibt. Gerade habe ich den 
Rechner wieder eingeschaltet, das Log noch einmal gecleart und 5min 
später habe ich schon wieder 20 Einträge. Diesmal allerdings überwiegend 
auf UDP 15354, aber auch TCP 445 waren noch einige dabei. Jeweils von 
verschiedenen IP-Adressen, die noch nichtmal alle aus dem gleichen 
Adressraum kommen. Für mich sieht es wirklich so aus, als würde 
irgendein Wurm hier raustelefonieren und seinen Wurmgeschwistern meine 
IP flüstern, die dann versuchen hier reinzukommen. Allerdings hat wie 
gesagt weder der Virenscanner noch die Firewall was gefunden. Laut 
Firewall gibts nur Verbindungen vom Firefox, Miranda, svchost.exe und ab 
und an eine von "System". was das sein soll, weiß ich allerdings nicht. 
Da steht nur System und kein pfad oder datei. Das hatte ich allerdings 
ausgeschlossen, weil der Kollege mit der gleichen Firewall und dem 
lupenreinen Router-Log das auch hat.

LG, Björn

Es zeichnet sich doch noch ein Teilmuster ab: Die Zugriffe auf Port 445 
scheinen alle von Versatel zu kommen (mein Provider). Die auf die ganzen 
andern Ports, die mittlerweile weit mehr geworden sind, kommen aus so 
schönen Ländern wie Russland, Ukraine, Polen, Slowakei...
Ich bin weiß gott kein Nationalist, aber irgendwie wird mir mulmig...

LG, Björn

Deinem Logausschnitt aus dem Eingangsposting kann man entnehmen, daß die 
445er von außen kommen.

Du kannst ja mal wireshark auf deinem Rechner installieren und lauschen, 
ob auf deinem LAN smb-Verkehr nach einer externen IP-Adresse 
stattfindet.

Daß derlei Requests auch aus Ländern kommen, die hier nicht ohne Recht 
in gewisser Beziehung als zwielichtig gelten, ist zu erwarten und nicht 
beunruhigend, so lange die Kerle nicht eindringen können.

Wenn es sich bei den IP-Adressen um Adressen aus Provider-IP-Blocks 
handelt, dann sind das wohl irgend welche Zombies, die das Web nach 
verwundbaren Rechnern durchscannen, um die dann in das dahintersteckende 
Botnet einzureihen.

Ich betreue einen Server, auf dem auch dauernd Einbruchsversuche geloggt 
werden. Die suchen meistens auf Port 80 nach PHPmyadmin und geigen dafür 
alle möglichen, gängigen URLs dafür durch. Außerdem sehe ich dort häufig 
WebDAV-Zugriffsversuche. Das alles scheitert und das wars dann.

Wireshark kannte ich noch nicht. Leider bin auch absolut kein 
netzwerkspezialist... Das Programm scheint einiges zu können(mit dem ich 
als unwissender wenig anfangen kann). Alles was ich jetzt mal gemacht 
habe ist Miranda aus, firefox aus usw, und dann mal fröhlich auf meiner 
Netzwerkkarte gecaptured. Ergebnis im Anhang.
Meine laienhafte Analyse:
-raus geht nichts
-Ich sollte mich um unseren Drucker kümmern(192.168.0.7), was immer auch 
meinen Rechner(192.168.0.3) dazu veranlasst, ständig beim Router 
nachzufragen wer das ist
-Irgendeinen Alarm macht noch das Notebook meines Vaters??

Weder das Notebook noch der Drucker sind eingeschaltet...
Mit den ICMPv6-Dingern kann ich nichts anfangen, was macht der Router 
da?

Im router-Log überwiegen jetzt ganz klar UDP 43709 und UDP 15354. 
googlen anch diesen beiden bringt nichts(für mich) brauchbares zutage...


LG, Björn

Da ist nichts unnormales zu sehen. Der Rechner fragt die Umgebung auf 
dem LAN ab - das macht er, damit er neue Shares finden kann.

Schlag einfach bei Wikipedia die verschiedenen Protokolle - z.B. ARP - 
nach, dann wirst du recht bald ein Bild davon haben, was auf der 
LAN-Strippe so alles los ist.

Experimentiere einfach mal mit wireshark. Der ist ein sehr mächtiges 
Analysewerkzeug, mit dem man herausfinden kann, was auf der Leitung 
zwischen dem eigenen Rechner und dem Switch oder dem Router los ist. Was 
auf anderen Segmenten passiert, sieht man nicht ohne einigermaßen 
aufwendige Tricks.

Nochmal danke für eure schnelle und fundierte Hilfe. Das scheint 
tatsächlich völlig normal zu sein. Ich habe jetzt mal von einer 
Ubuntu-Live-CD gebootet und auch dann kommen die Zugriffe. Der Router 
von dem kollegen loggt überhaupt nicht mit, wenn er was blockt.

LG, Björn