Hallo!

Ich habe seit einigen Tagen eine Sophos UTM Home Firewall (=>Hardware-FW) in Betrieb genommen.

Nun habe ich einen Firewall Log-Eintrag, den ich nicht recht deuten kann.

Mein HomeMedia-PC besitzt die statische ip 192.168.1.28

Der sich hundertfach wiederholende Eintrag (ca. alle 20 Sekunden) lautet:

/var/log/packetfilter/2014/09/packetfilter-2014-09-30.log.gz:2014:09:30-12:06:15
utm ulogd[11342]:
id="2001"
severity="info"
sys="SecureNet"
sub="packetfilter"
name="Packet dropped"
action="drop"
fwrule="60002"
initf="eth1"
outitf="eth0"
srcmac="0:20:4d:81:60:5e"
dstmac="68:5:ca:2a:12:ba"
srcip="192.168.1.28"
dstip="144.76.96.172"
proto="6"
length="52"
tos="0x00"
prec="0x00"
ttl="127"
srcport="49242"
dstport="5222"
tcpflags="SYN"

Wenn ich das richtig sehe, sendet mein PC .28 an die angegebene IP 144.76.96.172 (your-server.de) ein Paket, dass von der Firewall gedropped wird. Die FW ist recht restriktiv eingestellt.

Kann man aus dem Eintrag sehen, wass da passiert? Wie könnte ich vorgehen, um herauszufinden, welche Anwendung/welcher prozess dieses Paket sendet?

Bin über jeden Hinweis dankbar!

Beste Grüße,
Stefan

ich schieb dich mal in den passenden Bereich

Die Ports legen den IM Jabber nahe. Weder dieser und auch kein anderer IM client ist installiert.

Nach weiterer Recherche und verschiedenen Scans (FRST und GMER) konnte ich keine verantwortliche Anwendung oder Prozess finden. Ich bin jetzt trotzdem davon ausgegangen, dass der Host infiziert ist und setze ihn neu auf.
Beste Grüße

Mit wireshark hättest du auf dem betroffenen PC mit der in der Firewall angegeben Quell-IP ne Chance etwas zu sehen...hast schon plattgemacht?

Zitat:

Zitat von cosinus

...hast schon plattgemacht?

Hallo,

unter: "hxxp://security.stackexchange.com/questions/68731/firewall-log-entry-need-help-in-interpretation" gab er die Antwort:
"I came to the same conclusion. No IM client is on the host installed. None of the 2 installed applications could be responsible for the traffic. I decieded to put a fresh image on the host. Thanks for your advice, anyway! – caliph 12 hours ago"

Neben Wireshark würde auch der Microsoft Network Monitor 3 evtl. Hinweise liefern können.

Lg JF

Aha ein Crossposting also mal wieder....

ja, sorry dafür. Aber ich habe den Thread ja auch selber beantwortet und damit geclosed; als erster.

Hintergrund war, dass ich zuerst im Log-File Auswertungs-Board gepostet hatte, aber dann ein Moderator den Beitrag hier ins Board zwischen "Laufwerk spinnt" und "klebrige Flüssigkeit" verschoben hat. Ich hatte dann nicht mehr erwartet, dass jemand hier mit einem Firewall-Logfile und dessen Interpretaion helfen könnte.

Ich vermeide Cross-postings natürlich gerne ab sofort.

Danke auch an die Tipps mit wireshark und netmon. Das nächste Mal versuche ich es mit wireshark Licht ins Dunkel zu bringen.