Forum: PC Hard- und Software Zombifizierter Rechner?


Zombifizierter Rechner?
von Joachim .. (joachim_01)

Lesenswert? 

Moin, ich hab mir grad mal meinen Rechner angeschaut. Auf der Kiste 
läuft eigentlich nur ein Wetterdienst der zwei Temperaturen aus dem Netz 
holt. Die autom. Updates sind im Mom. praktisch alle abgeschaltet (muß 
in wenigen Tagen über nen teuren Prepaid-Sick ins Netz gehen), wenn ich 
nach dem hochfahren das Kabel ziehe sieht's so aus:


C:\Users\Joachim>netstat -a |more

Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    0.0.0.0:7              Fandango:0             LISTENING
  TCP    0.0.0.0:9              Fandango:0             LISTENING
  TCP    0.0.0.0:13             Fandango:0             LISTENING
  TCP    0.0.0.0:17             Fandango:0             LISTENING
  TCP    0.0.0.0:19             Fandango:0             LISTENING
  TCP    0.0.0.0:135            Fandango:0             LISTENING
  TCP    0.0.0.0:445            Fandango:0             LISTENING
  TCP    0.0.0.0:2343           Fandango:0             LISTENING
  TCP    0.0.0.0:3580           Fandango:0             LISTENING
  TCP    0.0.0.0:8080           Fandango:0             LISTENING
  TCP    0.0.0.0:49152          Fandango:0             LISTENING
  TCP    0.0.0.0:49153          Fandango:0             LISTENING
  TCP    0.0.0.0:49154          Fandango:0             LISTENING
  TCP    0.0.0.0:49156          Fandango:0             LISTENING
  TCP    0.0.0.0:49288          Fandango:0             LISTENING
  TCP    0.0.0.0:59110          Fandango:0             LISTENING
  TCP    0.0.0.0:59111          Fandango:0             LISTENING
  TCP    127.0.0.1:5352         Fandango:0             LISTENING
  TCP    127.0.0.1:9050         Fandango:0             LISTENING
  TCP    127.0.0.1:9050         Fandango:49348         TIME_WAIT
  TCP    127.0.0.1:9050         Fandango:49397         ESTABLISHED
  TCP    127.0.0.1:9050         Fandango:49398         ESTABLISHED
  TCP    127.0.0.1:42349        Fandango:0             LISTENING
  TCP    127.0.0.1:49157        Fandango:49158         ESTABLISHED
  TCP    127.0.0.1:49158        Fandango:49157         ESTABLISHED
  TCP    127.0.0.1:49159        Fandango:49160         ESTABLISHED
  TCP    127.0.0.1:49160        Fandango:49159         ESTABLISHED
  TCP    127.0.0.1:49161        Fandango:49162         ESTABLISHED
  TCP    127.0.0.1:49162        Fandango:49161         ESTABLISHED
  TCP    127.0.0.1:49169        Fandango:49170         ESTABLISHED
  TCP    127.0.0.1:49170        Fandango:49169         ESTABLISHED
  TCP    127.0.0.1:49211        Fandango:0             LISTENING
  TCP    127.0.0.1:49216        Fandango:0             LISTENING
  TCP    127.0.0.1:49216        Fandango:49267         ESTABLISHED
  TCP    127.0.0.1:49216        Fandango:49270         ESTABLISHED
  TCP    127.0.0.1:49216        Fandango:49272         ESTABLISHED
  TCP    127.0.0.1:49216        Fandango:49273         ESTABLISHED
  TCP    127.0.0.1:49216        Fandango:49280         ESTABLISHED
  TCP    127.0.0.1:49264        Fandango:0             LISTENING
-- More  --


  TCP    127.0.0.1:49267        Fandango:49216         ESTABLISHED
  TCP    127.0.0.1:49270        Fandango:49216         ESTABLISHED
  TCP    127.0.0.1:49272        Fandango:49216         ESTABLISHED
  TCP    127.0.0.1:49273        Fandango:49216         ESTABLISHED
  TCP    127.0.0.1:49274        Fandango:0             LISTENING
  TCP    127.0.0.1:49275        Fandango:61900         ESTABLISHED
  TCP    127.0.0.1:49280        Fandango:49216         ESTABLISHED
  TCP    127.0.0.1:49292        Fandango:49293         ESTABLISHED
  TCP    127.0.0.1:49293        Fandango:49292         ESTABLISHED
  TCP    127.0.0.1:49397        Fandango:9050          ESTABLISHED
  TCP    127.0.0.1:49398        Fandango:9050          ESTABLISHED
  TCP    127.0.0.1:61900        Fandango:0             LISTENING
  TCP    127.0.0.1:61900        Fandango:49275         ESTABLISHED
  TCP    [::]:7                 Fandango:0             LISTENING
  TCP    [::]:9                 Fandango:0             LISTENING
  TCP    [::]:13                Fandango:0             LISTENING
  TCP    [::]:17                Fandango:0             LISTENING
  TCP    [::]:19                Fandango:0             LISTENING
  TCP    [::]:135               Fandango:0             LISTENING
  TCP    [::]:445               Fandango:0             LISTENING
  TCP    [::]:49152             Fandango:0             LISTENING
  TCP    [::]:49153             Fandango:0             LISTENING
  TCP    [::]:49154             Fandango:0             LISTENING
  TCP    [::]:49156             Fandango:0             LISTENING
  TCP    [::]:49288             Fandango:0             LISTENING
  UDP    0.0.0.0:7              *:*
  UDP    0.0.0.0:9              *:*
  UDP    0.0.0.0:13             *:*
  UDP    0.0.0.0:17             *:*
  UDP    0.0.0.0:19             *:*
  UDP    0.0.0.0:2343           *:*
  UDP    0.0.0.0:5000           *:*
  UDP    0.0.0.0:5001           *:*
  UDP    0.0.0.0:5002           *:*
  UDP    0.0.0.0:5353           *:*
  UDP    0.0.0.0:6000           *:*
  UDP    0.0.0.0:6001           *:*
  UDP    0.0.0.0:6002           *:*
  UDP    0.0.0.0:49152          *:*
  UDP    0.0.0.0:49154          *:*
  UDP    127.0.0.1:5353         *:*
  UDP    127.0.0.1:9473         *:*
  UDP    127.0.0.1:9474         *:*
-- More  --


  UDP    127.0.0.1:49157        *:*
  UDP    [::]:7                 *:*
  UDP    [::]:9                 *:*
  UDP    [::]:13                *:*
  UDP    [::]:17                *:*
  UDP    [::]:19                *:*
  UDP    [::]:49153             *:*
  UDP    [::]:49155             *:*



Leider hab ich von Internet IT keine Blassen. Ich hatte von n paar 
Wochen mal mit nem Apache rumgespielt, der machte auch ne Menge 127er 
auf. Den hab ich aber wieder von der Plate runtergeschmissen.
Muß ich mir Gedanken machen daß die Kiste n Zombie ist?

: Verschoben durch User
Beitrag melden Bearbeiten Thread verschieben Thread sperren Anmeldepflicht aktivieren Anpinnen Thread löschen Thread mit anderem zusammenführen Markierten Text zitieren Antwort Antwort mit Zitat
Re: Zombifizierter Rechner?
von Markus M. (Firma: EleLa - www.elela.de) (mmvisual)

Lesenswert? 

Ja, ich finde es sind etwas zu viele Ports genutzt für eine 
Wetterstation. Sieht nach einem oder mehrere Trojaner/Viren aus.

Hast Du es schon mal mit einem Virenscanner probiert?

Oder heißt Dein Rechner "Fandango"?

Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
Re: Zombifizierter Rechner?
von Joachim .. (joachim_01)

Lesenswert? 

Yep, der heißt so.

Nee, Virescanner noch nicht, halt nur das Ding das immer im Hintergrund 
läuft. Aber ob der zuverlässig ist...

Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
Re: Zombifizierter Rechner?
von Matthias S. (Firma: matzetronics) (mschoeldgen)

Lesenswert? 

Vergleich doch mal die Port Nummern mit der IANA Liste und schau, ob du 
wirklich alle Dienste benötigst, die dir dein Grim Fandango aufmacht:
http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
Die Ports ab 49000 kommen mir recht merkwürdig vor. Steck dann mal das 
Kabel ein und vergleiche dein jetziges Listing dann mit dem neuen.

Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
Re: Zombifizierter Rechner?
von Joachim .. (joachim_01)

Lesenswert? 

>Vergleich doch mal die Port Nummern mit der IANA Liste und schau, ob du
>wirklich alle Dienste benötigst
Yo, ich probiers mal.

Nach dem Einstecken hatte ich u.a. drei oder vier https-Verbindungen. 
Ich frage mich ob ein Wetterdienst eine sichere Verbindung braucht oder 
was da sonst so los ist.


Was bedeutet eigentlich *:* ? Kann man Dies und Ähnliches irgendwo 
nachlesen?

Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
Re: Zombifizierter Rechner?
von (prx) A. K. (prx)

Lesenswert? 

Die 127.0.0.1 sind ausschliesslich rechnerinterne Verbindungen, die 
kannst du abziehen.

*:* heisst: Jeder darf mal. Aber darin ist eine eventuelle Firewall 
nicht eingerechnet.

Die niedrigen Portnummern wir TCP:7 und UDP:7 werden von den "Simple 
TCP/IP Services" bereitgestellt und per Default nicht installiert weil 
normalerweise nie benötigt, das muss also mal jemand gemacht haben. Ist 
aber unkritisch.

:8080 ist i.d.R. ein Proxy. Der installiert sich auch nicht von selbst.

Welches Programm steht hinter welchem Port: 
http://technet.microsoft.com/de-de/sysinternals/bb897437.aspx

Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
Re: Zombifizierter Rechner?
von (prx) A. K. (prx)

Lesenswert? 

Joachim ... schrieb:
> Nach dem Einstecken hatte ich u.a. drei oder vier https-Verbindungen.
> Ich frage mich ob ein Wetterdienst eine sichere Verbindung braucht oder
> was da sonst so los ist.

Könnten Update- oder Lizenz-Checker sein. Oft ist an der Gegenstelle 
erkennbar, was das ist (allerlei Adobe, Java, die Mozillas, ...).

Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
Re: Zombifizierter Rechner?
von Joachim .. (joachim_01)

Lesenswert? 

Danke zusammen. Ich werd in der Materie tiefer schürfen.

Vielleicht steig ich doch noch auf Ubuntu um...

Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
Thread beobachten | Seitenaufteilung abschalten
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.