Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Überwachung, Datenschutz und Spam (https://www.trojaner-board.de/uberwachung-datenschutz-spam/)
-   -   Unbekannte IP-Adressen tauchen im Protokoll auf (https://www.trojaner-board.de/95749-unbekannte-ip-adressen-tauchen-protokoll.html)

Henry84 16.02.2011 17:26

Unbekannte IP-Adressen tauchen im Protokoll auf
 
Hallo,

ich habe bei meinem Router mal heute das Protokoll aktiviert, anschließend den PC und den Router neu gestartet.
Ohne dass ich irgend eine Internetseite öffnete, stehen im Protokoll bei Ziel-URL/IP Adresse 5 IP-Adressen drinnen:

81.52.205.XXX
65.55.18X.XX
65.55.18X.XX
69.195.141.XXX
188.121.36.XXX

habe mal die letzten Ziffern unkenntlich gemacht, nicht dass ich dadurch irgend welche Probleme bekomme.

Habe diese mal bei google eingegeben. Das sind IP-Adressen von United Kingdom, USA und Holland.

Was hat das zu bedeuten?

Shadow 16.02.2011 19:20

Zitat:

Zitat von Henry84 (Beitrag 621033)
habe mal die letzten Ziffern unkenntlich gemacht, nicht dass ich dadurch irgend welche Probleme bekomme.

Also ich mache mir jetzt nicht die Mühe herauszubekommen wo die unvollständigen IP-Adresse hingehören. Paranoia :crazy: ohne Sachverstand macht es nicht immer leicht. :pfeiff:
Na gut
81.52.205. gehört zu AKAMAI, also irgendein i.d.R. Software-Update, Microsoft u.v.a., da AKAMAI kommerziell (teuer) ist, wohl irgend ein großer Softwarehersteller (Update)
65.55.18x. Microsoft

69.195.141. Joe's Datacenter, LLC, sagt mir jetzt erst mal wenig/ich kann es gerade nicht einordnen
188.121.36. GO DADDY, ist mir IIRC bisher nur mit unserösen Sachen (Schneeballsystemen) zusammen aufgefallen, heißt aber nichts.

Henry84 16.02.2011 19:24

Ich kann auch noch die restlichen Ziffern dazu schreiben.
Nur kenn ich mich auch net so gut aus. Nachher kann man durch die IP-Adressen irgendwelche persönlichen Sachen über mich rausfinden.

Aber warum stellt mein PC wenn ich ihn einschalte über diese Ips eine Verbindung her?

Manche waren auch laut Protokoll https-Seiten.

Shadow 21.02.2011 13:41

Zitat:

Zitat von Henry84 (Beitrag 621105)
Ich kann auch noch die restlichen Ziffern dazu schreiben.

Tu dies, vorallem zu denen, die NICHT AKAMAI oder Microsoft sind.
Zitat:

Zitat von Henry84 (Beitrag 621105)
Nur kenn ich mich auch net so gut aus. Nachher kann man durch die IP-Adressen irgendwelche persönlichen Sachen über mich rausfinden.

Möglich, aber nicht sehr viel. Außerdem kennt man ja dich nicht.
Du gehst zum Arzt und sagt dass du Schmerzen hast aber nicht veraten willst wo?
Zitat:

Zitat von Henry84 (Beitrag 621105)
Aber warum stellt mein PC wenn ich ihn einschalte über diese Ips eine Verbindung her?

Auto-Starteinträge, Updates (Windows, Adobe, Java ...), im "Worst-Case" Backdoors

Henry84 21.02.2011 22:36

Also die IPs sind:

81.52.205.182
65.55.185.26
65.55.185.26
69.195.141.179
188.121.36.239

Henry84 24.02.2011 02:44

Also das letzt hat wohl was mit Nosript zu tun.

Aber was mir mehr zu denken gibt, dass ich heute noch mal in das Router-Protokoll sah und dort standen zwei Adressen bei Eingehenden-Verbindungen. Normal stand dort nie zuvor etwas drinnen.

Die Adressen sind:

173.193.18.186
92.240.68.152

Was bedeutet das?

Shadow 25.02.2011 14:40

Zitat:

Zitat von Henry84 (Beitrag 623913)
Also das letzt hat wohl was mit Nosript zu tun.

Ja, die beiden letzten. Nr. 2 (und 3) ist Windows-Update, Nr. 1 AKAMAI, und dies ist u.a. ein "käuflicher" Distributor für (legale) Software und Updates. Wird geren von den großen der Branche "benutzt".

Zitat:

Zitat von Henry84 (Beitrag 623913)
Die Adressen sind:

173.193.18.186
92.240.68.152

Was bedeutet das?

Vermutlich nichts. War es kurz nach dem (vermutlichen) zuweisen der neuen IP-Adresse (nach der Zwangstrennung)?

Henry84 25.02.2011 17:23

Eig. nicht. Zwangstrennung hatte ich immer um 17 uhr. Erst um ca. 21 uhr hab ich den Pc überhaupt angemacht. Ich hab nur eine email abgerufen (war spam) danach Browser geöffnet und im Router geschaut. Dann bin ich aus dem Routermenü wieder raus, nach 10 min wieder rein und das Protokoll für eingehende Verbindungen war wieder leer. Ich weiß auch leider nicht wann genau das alles war. Dort stehen keine Uhrzeiten dran. Ich hab dann nach den ip-Adressen gegoogelt und eine davon kommt aus Lettland. Kommt mir schon komisch vor.

Shadow 25.02.2011 17:49

Zwangstrennung um 17 Uhr? Ungewöhnlich. Ein Protokoll welches nicht die Uhrzeit vermerkt und wirklich protokolliert ist wertlos.
Kurzzeitig "eingehende Verbindungen" auf deinen Router sind nichts unnormales. Sie haben zwar das Potential was zu bedeuten, aber sie müssen nichts bedeuten und bedeuten in der Regel auch nichts. Es reicht von "normalen Rauschen" des Internets über ungezielte Zugriffsversuche bis zu gezielten Versuchen. Letztere dürften aber ganz überwiegend eine Ausnahme sein. Eine halbwegs anständige Router-"Firewall" / genaugenommen einfaches NAT/PAT mit geschlossenen Ports sollte ausreichen.

Henry84 25.02.2011 18:01

Ich mache meinen Router manchmal Nachts aus. Und habe hin eben irgendwann mal wieder um 17 uhr angeschalten. Und daher alle 24 h um 17 uhr die Trennung. Also der Router ist ein Linksys. Und in dem Protokoll stehen eben nur Adresse und die Art der Verbindung. Bei den zwei oben genannten war das "www". Manchmal steht da auch "https" (bei den ausgehenden Verbindungen zumindest). Upnp ist im Router deaktiviert. Ich habe nur für die Xbox 360 ein paar Ports offen. Die aber eig. extra nur die die xbox und deren manuell zugeordneten ip gelten dürften..

Henry84 25.02.2011 18:06

Hab mich ein bisse vertan. Da steht nicht Art der Verbindung, sondern "ziel portnummer" und dort eben "www".

Shadow 26.02.2011 10:33

Zitat:

Zitat von Henry84 (Beitrag 624490)
Ich mache meinen Router manchmal Nachts aus. Und habe hin eben irgendwann mal wieder um 17 uhr angeschalten. Und daher alle 24 h um 17 uhr die Trennung.

Okay + logisch
Zitat:

Zitat von Henry84 (Beitrag 624490)
Und in dem Protokoll stehen eben nur Adresse und die Art der Verbindung.

Möglicherweise verwenden wir beide auch nur eine unterschiedliche Definition von "Protokoll". Ich sähe da in diesem Fall so etwas wie z.B. ein Protokoll (~ Aufzeichnung der Eckdaten) einer Sitzung. Du siehst da u.U. nur die Anzeige der momentanen Ereignisse.
Solange kein unerwünschter Zugriff "durch" den Router erfolgt, dürfte es noch normal sein.
Zitat:

Zitat von Henry84 (Beitrag 624490)
Ich habe nur für die Xbox 360 ein paar Ports offen. Die aber eig. extra nur die die xbox und deren manuell zugeordneten ip gelten dürften..

Davon habe ich keine Ahnung, ich wusste auchnicht, dass man für die Xbox irgendwas machen müsste.Ich bin mir nicht sicher so ein Teil überhaupt mal gesehen zu haben :blabla:
(Tendenziell weiß ich aber trotzdem was es ist - glaube ich ;) )

Henry84 27.02.2011 04:25

Also was soll ich nun davon halten? Alles "normal"?
Zumindest die Firewalleinstellungen im Router sind aktiviert für:

"Anonyme Internet-Anfragen blockieren"
"Multicast filtern"
"Filter-IDENT"

Nur bei "Internet NAT-Umleitung filtern" ist kein Haken gesetzt. Aber habe dazu ein bibsschen gegoogelt und das sollte ich eig. auch nicht aktivieren.

Ansonsten kann ich wohl auch nicht mehr machen...

Henry84 02.03.2011 23:09

Also wie ist das jetzt mit dem Protokoll für eingehende Verbindungen? Ist das alles harmlos? Heute fand ich wieder 3 ips aus China und den USA.
Ist das nur ein Rauschen? Oder ist das schon durch den Router durchgedrungen wenn die in dem Protokoll stehen?
Die Firewalleinstellung im Router, die ich einen Beitrag weiter oben schrieb, ist doch richtig?

Shadow 03.03.2011 08:17

Zitat:

Zitat von Henry84 (Beitrag 626320)
Also wie ist das jetzt mit dem Protokoll für eingehende Verbindungen?

Es ist wohl kein Protokoll, vermutlich nur eine Anzeige ;)
Zitat:

Zitat von Henry84 (Beitrag 626320)
Ist das alles harmlos?

Solange es der Router nicht durchlässt ja
Zitat:

Zitat von Henry84 (Beitrag 626320)
Oder ist das schon durch den Router durchgedrungen wenn die in dem Protokoll stehen?

Steht davon was in der Anzeige? Ein Zugriff auf ist noch kein Zugriff durch den Router.
Aber solange du nicht die Anzeige-Meldung komplett hier reinschreibst, ist es mehr als wilde Spekulation.
i.d.R. ist dies normales Rauschen, es ist aber nicht unbedingt harmlos (können Würmer sein o.ä.), es ist nur hinter einem normal funktionierenden Router mit geschlossenen Ports keine akute Gefährdung.
Zitat:

Zitat von Henry84 (Beitrag 626320)
Die Firewalleinstellung im Router, die ich einen Beitrag weiter oben schrieb, ist doch richtig?

Keine Ahnung, ich kenne den unbekannten Router nicht. Es gibt Router die mehr (viele) Optionen haben, die auch eine Lücke sein können.
I.d.R. sind die Werksoptionen ausreichend, Spielemodi sollten nicht aktiviert sein, Fernwartung ebensowenig, genausowenig irgendein Port-Forwarding, außer es wird explizit gebraucht. Aber auch wenn es gebraucht wird, ist es "natürlich" eine gezielte Lücke.


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131