xDSL.at

[wavenetuser]

Ich lese grad ein paar Logs des Speedtouch durch und mir fällt immer wieder folgendes ins Auge:

Code: Alles auswählen

FIREWALL exact tcp state check (1 of 1): Protocol: TCP Src ip: 85.126.78.10 Src port: 14144 Dst ip: EIGENE_IP Dst port: 135

unter http://85.126.78.10 findet sich ein Win2003 Server was aber nicht zu mir gehört.
Wie kommt der Server auf meinen Port 135 und was will er da ?

[jutta]

ohne weitere nachforschungen nehme ich an, dass das ein packet von einem wurmverseuchten rechner ist, das in deiner fw landet. davon koennte ich dir taeglich ein paar hundert anbieten, wenn ichs noch mitloggen wuerde.

[wavenetuser]

ja, das war mir fast klar.
Merkwürdig ist nur dass die o.g. IP auch zu Inode gehört.

[max_payne]

Tjo der liebe Port 135....
Meine alte Firewall ließ den mal durch, da musste ich ne extra-Regel erstellen.
Mit der jetzigen gibts pro Tag ca. 50-100 solcher Verbindungsversuche.

Evtl. Mail an: abuse (at) inode.at

[jutta]

>Merkwürdig ist nur dass die o.g. IP auch zu Inode gehört.

unter ueber 100k inode-kund/inn/en wirds schon ein paar mit verseuchten pcs geben.

[Air20]

das kann man wohl sagen...
wobei über nacht nicht so viele rechner aktiv sein dürften.
am abend schauts dann schon ärger aus

Code: Alles auswählen

Dev   Source   Destination   Proto   Port   Last   Rule
ppp1   83.52.185.47   ICH   TCP   135   22m 29s   BLOCKALL
ppp1   83.50.219.107   ICH   TCP   135   49m 38s   BLOCKALL
ppp1   83.50.219.107   ICH   TCP   135   49m 41s   BLOCKALL
ppp1   83.54.31.216   ICH   TCP   135   2h 0m 33s   BLOCKALL
ppp1   83.64.1.162   ICH   TCP   135   4h 45m 16s   BLOCKALL
ppp1   83.38.209.43   ICH   TCP   135   4h 55m 57s   BLOCKALL
ppp1   83.64.1.162   ICH   TCP   135   4h 58m 16s   BLOCKALL
ppp1   83.64.101.48   ICH   TCP   135   5h 5m 14s   BLOCKALL
ppp1   70.78.80.188   ICH   TCP   135   5h 14m 17s   BLOCKALL
ppp1   83.208.121.221   ICH   TCP   135   6h 10m 24s   BLOCKALL
ppp1   83.64.1.162   ICH   TCP   135   6h 34m 10s   BLOCKALL


und wenn ich mir die ip's so anschau sind fast alles inode ip's...


//139 ist doch blaster, 445 glaub ich sasser?!

[wavenetuser]

Ja ne - ich könnte tonnen von log-files raus holen aber ich war mir nicht sicher da es immer wieder die selbe IP und nochdazu eine Inode-IP ist.
Anscheinend scannt dieser Virus das eigene Subnetz.
Naja, was beim ST546 durch kommt, wird vom Router geschluckt. Als letzte Anker bleiben dann noch Zonealarm und Kaspersky

[-slcp- dark]

Hast ja eine ganz nette Sicherung,
Gut zu wissen, werde gleich mal schaun ob meine Firewall da was durchlässt.

[BlueSystem]

Als letzte Anker bleiben dann noch Zonealarm und Kaspersky

Ich würde hier den Kaspersky gegenüber ZoneAlarm vorziehen . Zwischen einen Tool und einen Spielzeug gibt es doch Unterschied. Eine Firewall hat auch nur dann Sinn, wenn der User es versteht damit umzugehen; weil viele glauben einfach FW installieren und damit wars das schon ...

[-slcp- dark]

Hast schon recht, ZoneAlarm hat gegenüber Kaspersky wenig features, aber da man die Standart-Version von ZoneAlarm auch gratis kriegt, is es kein schlechtes Produkt. . .