Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Router-Logs (https://www.trojaner-board.de/70719-router-logs.html)

Mazeck 06.03.2009 06:01

Router-Logs
 
Hallo,

Bekomme in letzter Zeit von meinem Router immer LOGs zugeschickt, die Einträge wie die gleich folgenden enthalten:

Thu, 2009-03-05 15:31:50 - TCP Packet - Source:192.168.22.2,49355 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:31:53 - TCP Packet - Source:192.168.22.2,49341 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:31:53 - TCP Packet - Source:192.168.22.2,49370 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:31:54 - TCP Packet - Source:192.168.22.2,49388 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:31:59 - TCP Packet - Source:192.168.22.2,49339 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:31:59 - TCP Packet - Source:192.168.22.2,49396 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:32:02 - TCP Packet - Source:192.168.22.2,49402 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:32:05 - TCP Packet - Source:192.168.22.2,49399 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:32:05 - TCP Packet - Source:192.168.22.2,49420 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:32:06 - TCP Packet - Source:192.168.22.2,49373 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:32:06 - TCP Packet - Source:192.168.22.2,49429 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:32:10 - TCP Packet - Source:192.168.22.2,49414 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:32:17 - TCP Packet - Source:192.168.22.2,49376 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:32:17 - TCP Packet - Source:192.168.22.2,49450 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:32:20 - TCP Packet - Source:192.168.22.2,49447 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]
Thu, 2009-03-05 15:32:21 - TCP Packet - Source:192.168.22.2,49453 Destination:xXxXx.dip.t-dialin.net,80 - [BLOCK]

xXxXx wurde ersetzt.
Mir geht es nicht darum, das der Router mir die Meldungen schickt, das ist ok und ja so eingerichtet. Ich möchte gern wissen, was das bedeutet, ob es bedenklich ist und wie es zustande kommen kann. Scheint ja hauptsächlich mit dem 192.168.22.2-Rechner zusammen zu hängen.
Andere angeschlossene Rechner haben nur selten Reports, wenn, dann in der Art:

TCP Packet - Source:192.168.22.5,49504 Destination:mu-in-f113.google.com,80 - [BLOCK]

AntiVir und HiJack zeigen keine Auffälligkeiten.
Danke für Hilfe

Mazeck

Redwulf 06.03.2009 08:41

Mazek

Dient dieser PC mit dieser IP 192.168.22.2 als Server für die anderen? Sprich gehen alle anderen PC´s die du angeschlossen hast über diesen PC ins Internet?

Mich interessiert welchen Router du benutzt und welches Betriebssystem du fährst.

a5cl3p1o5 06.03.2009 08:52

Hallo Mazeck,

handelt es sich bei Destination um Deine Adresse (xXxXx.dip.t-dialin.net)? Wenn ja, ist klar, dass der Router damit nichts anfangen kann und das Paket verwirft.
Ist der Computer Teil eines Netzwerkes mit eigenem DNS-Server? Dann wäre der Fehler wohl in der Konfigurationsdatei zu suchen und vergleiche die Netzwerkeinstellungen des "meckernden" Computer mit einem anderen, vor allem den Eintrag Gateway und DNS-Server.

Gibt es dort Unterschiede?

Grüße
a5c3p1o5

MightyMarc 06.03.2009 09:00

Ohne zu wissen was auf den benannten Ports kommuniziert*, wird es schwierig eine Aussage zu treffen. Das Log ohne weitere Infos besagt nur, dass die TCP-Verbindung eines Rechners aus dem lokalen Netzwerk zu einem Rechner aus dem Pool der Deutschen Telekom auf Port 80 (häufig aber nicht zwingend der Port eines Webservers) geblockt wurde.

Marc

* netstat -abn kann auf Windows NT Systemen etwas nähere Informationen liefern. TCPView wäre auch eine Option.


Edit: Sind ja schon zwei andere Jungs am Werk. Dann halt ich mich raus.

Edit 2:
Zitat:

handelt es sich bei Destination um Deine Adresse (xXxXx.dip.t-dialin.net)?
Das würde bedeuten, dass eine private IP geroutet wurde. Oder verstehe ich die Frage falsch?

Mazeck 06.03.2009 11:08

Zitat:

Zitat von Redwulf (Beitrag 418795)
Dient dieser PC mit dieser IP 192.168.22.2 als Server für die anderen?

Nein, alle Rechner hängen am Router

Zitat:

Zitat von Redwulf (Beitrag 418795)
Mich interessiert welchen Router du benutzt und welches Betriebssystem du fährst.

Netgear DG834GB
alle Rechner Vista32

Zitat:

Zitat von a5cl3p1o5 (Beitrag 418798)
handelt es sich bei Destination um Deine Adresse

in dem Fall ja, eben schau ich im Log, da steht aber beispielsweise zig mal
TCP Packet - Source:192.168.22.2,49496 Destination:susi.pt-server.de,80 - [BLOCK]
drin. Also die Ziele scheinen zu wechseln. Hatte auch schon
TCP Packet - Source:192.168.22.2,49434 Destination:www.bahn-spass.de,80 - [BLOCK]
oder
TCP Packet - Source:192.168.22.2,49386 Destination:srv02.sperrgebiet.org,80 - [BLOCK]

Zitat:

Zitat von a5cl3p1o5 (Beitrag 418798)
Ist der Computer Teil eines Netzwerkes mit eigenem DNS-Server?

Nein, DNS von T-Online (nicht fest) im Router und bei den Rechnern als Gateway und DNS die IP des Routers. Rechner haben feste IP vergeben.

Gruß Mazeck

a5cl3p1o5 06.03.2009 11:16

Hast Du schon auf dem Rechner den Befehl von %ComSpec% ausgeführt?

Start -> Auführen -> "cmd" eingeben (ohne "") -> "netstat -abn > c:\netstatlog.txt" eingeben
Anschließend kannst Du eine Textdtei unter c:\ finden und hier posten.

Grüße
a5clep1o5

Mazeck 06.03.2009 11:26

Zitat:

Zitat von a5cl3p1o5 (Beitrag 418819)
Start -> Auführen -> "cmd" eingeben (ohne "") -> "netstat -abn > c:\netstatlog.txt" eingeben
Anschließend kannst Du eine Textdtei unter c:\ finden und hier posten.

Auf C:\ direkt gehts gar net, da wird der Zugriff verwehrt, die Datei zu erstellen nehm ich an.
Als Pfad dann einen unter 'Eigene Dateien' eingegeben, da erstellt er die Datei,
steht dann nur drin "Der Vorgang erfordert erhöhte Rechte".
Bin als Admin angemeldet.

Gruß Mazeck

a5cl3p1o5 06.03.2009 11:30

ok, seltsam ...

Vielleicht hilft Dir dieser Artikel weiter.

Grüße
a5cl3p1o5

MightyMarc 06.03.2009 11:50

Keine Ahnung ob's bei Vista hilft:
Start > Eingabeaufforderung > als Administrator ausführen

Marc

Mazeck 14.03.2009 00:34

Also nach langem probieren hab ich jetzt TCPView genommen und das zeigt mir das Ganze so an:

[System Process]:0 TCP 192.168.22.2:49250 alpha.kurs-media.de:http TIME_WAIT
[System Process]:0 TCP 192.168.22.2:49253 alpha.kurs-media.de:http TIME_WAIT
[System Process]:0 TCP 192.168.22.2:49256 alpha.kurs-media.de:http TIME_WAIT
[System Process]:0 TCP 192.168.22.2:49259 alpha.kurs-media.de:http TIME_WAIT
[System Process]:0 TCP 192.168.22.2:49262 alpha.kurs-media.de:http TIME_WAIT
[System Process]:0 TCP 192.168.22.2:49265 alpha.kurs-media.de:http TIME_WAIT
[System Process]:0 TCP 192.168.22.2:49268 alpha.kurs-media.de:http TIME_WAIT
[System Process]:0 TCP 192.168.22.2:49271 alpha.kurs-media.de:http TIME_WAIT
[System Process]:0 TCP 192.168.22.2:49277 alpha.kurs-media.de:http TIME_WAIT
[System Process]:0 TCP 192.168.22.2:49280 74.125.39.164:80 TIME_WAIT

Das nächste mal ist es aber wieder eine ganz andere Zieladresse.

Hier nur noch ein Beispiel:

[System Process]:0 TCP 192.168.22.2:49505 demegaadvip1.doubleclick.net:http TIME_WAIT
[System Process]:0 TCP 192.168.22.2:49508 demegaadvip1.doubleclick.net:http TIME_WAIT
[System Process]:0 TCP 192.168.22.2:49514 demegaadvip1.doubleclick.net:http TIME_WAIT
[System Process]:0 TCP 192.168.22.2:49520 bw-in-f127.google.com:http TIME_WAIT


Etwas später kommt dann (auszugsweise):

[System Process]:0 TCP 192.168.22.2:nfsd-status localhost:49428 TIME_WAIT
[System Process]:0 TCP 192.168.22.2:nfsd-status localhost:49425 TIME_WAIT
[System Process]:0 TCP 192.168.22.2:nfsd-status localhost:49422 TIME_WAIT
[System Process]:0 TCP 192.168.22.2:nfsd-status localhost:49417 TIME_WAIT
[System Process]:0 TCP 192.168.22.2:nfsd-status localhost:49416 TIME_WAIT
[System Process]:0 TCP 192.168.22.2:nfsd-status localhost:49413 TIME_WAIT
[System Process]:0 TCP 192.168.22.2:nfsd-status localhost:49408 TIME_WAIT



Was ist der [System process]:0 ? Wie kann ich den genauer bestimmen. Andere Vista-Rechner zeigen doch auch net das Problem?
hosts-Datei ist in Ordnung.

Hoffe auf Hilfe


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:20 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131