Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Netzwerk und Hardware (https://www.trojaner-board.de/netzwerk-hardware/)
-   -   Hardware Firewall Logfile: Auswertung eines wiederkehrenden Eintrags (https://www.trojaner-board.de/159261-hardware-firewall-logfile-auswertung-wiederkehrenden-eintrags.html)

caliph007 01.10.2014 12:57
Hardware Firewall Logfile: Auswertung eines wiederkehrenden Eintrags
 
Hallo!

Ich habe seit einigen Tagen eine Sophos UTM Home Firewall (=>Hardware-FW) in Betrieb genommen.

Nun habe ich einen Firewall Log-Eintrag, den ich nicht recht deuten kann.

Mein HomeMedia-PC besitzt die statische ip 192.168.1.28

Der sich hundertfach wiederholende Eintrag (ca. alle 20 Sekunden) lautet:

/var/log/packetfilter/2014/09/packetfilter-2014-09-30.log.gz:2014:09:30-12:06:15
utm ulogd[11342]:
id="2001"
severity="info"
sys="SecureNet"
sub="packetfilter"
name="Packet dropped"
action="drop"
fwrule="60002"
initf="eth1"
outitf="eth0"
srcmac="0:20:4d:81:60:5e"
dstmac="68:5:ca:2a:12:ba"
srcip="192.168.1.28"
dstip="144.76.96.172"
proto="6"
length="52"
tos="0x00"
prec="0x00"
ttl="127"
srcport="49242"
dstport="5222"
tcpflags="SYN"

Wenn ich das richtig sehe, sendet mein PC .28 an die angegebene IP 144.76.96.172 (your-server.de) ein Paket, dass von der Firewall gedropped wird. Die FW ist recht restriktiv eingestellt.

Kann man aus dem Eintrag sehen, wass da passiert? Wie könnte ich vorgehen, um herauszufinden, welche Anwendung/welcher prozess dieses Paket sendet?

Bin über jeden Hinweis dankbar!

Beste Grüße,
Stefan

schrauber 01.10.2014 13:23
ich schieb dich mal in den passenden Bereich :)

caliph007 01.10.2014 18:52
Die Ports legen den IM Jabber nahe. Weder dieser und auch kein anderer IM client ist installiert.

Nach weiterer Recherche und verschiedenen Scans (FRST und GMER) konnte ich keine verantwortliche Anwendung oder Prozess finden. Ich bin jetzt trotzdem davon ausgegangen, dass der Host infiziert ist und setze ihn neu auf.
Beste Grüße

cosinus 01.10.2014 19:15
Mit wireshark hättest du auf dem betroffenen PC mit der in der Firewall angegeben Quell-IP ne Chance etwas zu sehen...hast schon plattgemacht?

JFrosch 02.10.2014 07:36
Zitat:
Zitat von cosinus (Beitrag 1366691)
...hast schon plattgemacht?
Hallo,

unter: "hxxp://security.stackexchange.com/questions/68731/firewall-log-entry-need-help-in-interpretation" gab er die Antwort:
"I came to the same conclusion. No IM client is on the host installed. None of the 2 installed applications could be responsible for the traffic. I decieded to put a fresh image on the host. Thanks for your advice, anyway! – caliph 12 hours ago"

Neben Wireshark würde auch der Microsoft Network Monitor 3 evtl. Hinweise liefern können.

Lg JF

cosinus 02.10.2014 08:42
Aha ein Crossposting also mal wieder.... :nono:

caliph007 02.10.2014 12:55
ja, sorry dafür. Aber ich habe den Thread ja auch selber beantwortet und damit geclosed; als erster.

Hintergrund war, dass ich zuerst im Log-File Auswertungs-Board gepostet hatte, aber dann ein Moderator den Beitrag hier ins Board zwischen "Laufwerk spinnt" und "klebrige Flüssigkeit" verschoben hat. Ich hatte dann nicht mehr erwartet, dass jemand hier mit einem Firewall-Logfile und dessen Interpretaion helfen könnte.

Ich vermeide Cross-postings natürlich gerne ab sofort.

Danke auch an die Tipps mit wireshark und netmon. Das nächste Mal versuche ich es mit wireshark Licht ins Dunkel zu bringen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:44 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19