[HaBo]

TheNoOne · 06.03.07, 16:58

Hallo zusamman,

ich will eigentlich keine Diskussion über den Sinn und Unsinn von Desktop-Firewalls aufschüren, aber ich hab hier immer wieder solche komischen Phänomene, die ich mir als Halblaie irgendwie nicht erklären kann und zu denen ich gern mal ne fachmännische Meinung hätte:

Ab und zu verwende ich noch eine ältere Windows XP Version auf meiner Kiste, auf der auch die Sygate Personal Firewall installiert ist. Hauptsächlich für File-Sharing und zum Zocken.
Jedoch ist mir da was merkwürdiges aufgefallen: Immer wenn ich Azureus länger laufen hab, meldet sich hin und wieder die Firewall mit Meldungen, dass verschiedene Programme ICMP-Pakete (ICMP-Typ 11 - Time Exceeded for Datagram) an irgendwelche anderen Rechner im Netz senden würden. Das VERWUNDERLICHE ist jedoch, dass die meisten dieser Programme von ihrer reinen Funktionalität her gar nicht aufs Internet zugreifen dürften (zB notepad.exe, make.exe, sh.exe aus der cygwin-Umgebung, oder irgendwelche Progs, die bei mir nur im TrayBereich für Touchpad / Bluetooth etc laufen).

Was ist da los? Könnte das ein Trojaner oder sowas sein? Virenscanner ist bei mir up-to-date und findet trotzdem nix...
Oder spinnt da vielleicht bloß die Firewall.

Für jeden Hinweis bin ich dankbar...

Gruß T.

ERit · 06.03.07, 18:59

naja also phänomene sind das nicht. ich hatte lange zeit sygate in verbindung mit xp ohne servicepack (oder sp1) egal, jedenfalls hatte ich das nicht. also meiner meinung nach sollte notepad nicht einfach so aufs netz zugreifen können, eignetlich hat notepad keinen code der raus telefonieren möchte. schau dir mal die ip´s an die in der meldung aufpopen. meiner meinung nach wäre das durchaus malware. starte mal notepad oder schau mal im taskmanager nach ob notepad läuft ohne dass du es gestartet hast.
lg

Anzeige

- Anzeige -

Chakky · 07.03.07, 12:21

kann das phänomen bestätigen mit meiner Sygate

meist auf IP 224.0.0.0 stümmts?

meist passiert das bei mir wenn ich hochfahre mein system und mich erst recht spät anmelde mit meinen benutzer dann popt halt die typsiche meldung auf

meist von steam oder auch von winrar naja ich klick auf nein und das wars ^^

TheNoOne · 07.03.07, 19:32

Also zu den Fragen:

Es sind IMMER Prozesse die aktiv laufen. D.h. die Anwendungen starten nicht von alleine, sondern es sind Prozesse, die halt nebenher laufen und dann irgendwann versuchen diese ICMP-Pakete rauszuschicken. Dabei ist es ganz unterschiedlich, welcher Prozess das versucht. Es gibt also kein Programm, dass das auffällig oft tun würde.

Was mir allerdings aufgefallen ist, ist dass das immer auftritt, wenn Azureus länger bei mir läuft. Also (möglicherweise) wenn jemand über die Tauschbörse meine IP rauskriegt und (vermutlich) einen Angriff startet?!?

Ich hab die IPs an die die Pakete gehen solln überprüft (whois / nmap) und es gibt dabei auch verschiedene:
Es sind immer IPs von registrierten Internetprovidern, häufig auch Dial-In IPs von der Deutschen Telekom.
Der Portscanner meldet manchmal das am andern Ende ein Windows-PC liegt und manchmal jedoch auch gar nix (was mich bei nmap -P0 wundert).

Beispiel für so ne IP: 217.238.19.207

quux · 07.03.07, 20:03

Irgendwie hört sich das an als ob dein Rechner mit Malware verseucht wäre.
Tritt das Problem nur auf wenn du Azureus laufen hast? Woher stammt deine Azureus-Installer-Datei, aus ner sauberen Quelle oder einer dubiosen Fake-Seite?

Nimm mal einen anderen Client (Bitcomet hat mir unter Win sehr gut gefallen) und schau mal ob dann diese "Phänomene" immernoch auftreten.

Anzeige

- Anzeige -

06.03.07, 16:58	#1 (permalink)
TheNoOne Registriert seit: 28.07.04 Likes: 0	Merkwürdige ICMP-Pakete Anzeige Hallo zusamman, ich will eigentlich keine Diskussion über den Sinn und Unsinn von Desktop-Firewalls aufschüren, aber ich hab hier immer wieder solche komischen Phänomene, die ich mir als Halblaie irgendwie nicht erklären kann und zu denen ich gern mal ne fachmännische Meinung hätte: Ab und zu verwende ich noch eine ältere Windows XP Version auf meiner Kiste, auf der auch die Sygate Personal Firewall installiert ist. Hauptsächlich für File-Sharing und zum Zocken. Jedoch ist mir da was merkwürdiges aufgefallen: Immer wenn ich Azureus länger laufen hab, meldet sich hin und wieder die Firewall mit Meldungen, dass verschiedene Programme ICMP-Pakete (ICMP-Typ 11 - Time Exceeded for Datagram) an irgendwelche anderen Rechner im Netz senden würden. Das VERWUNDERLICHE ist jedoch, dass die meisten dieser Programme von ihrer reinen Funktionalität her gar nicht aufs Internet zugreifen dürften (zB notepad.exe, make.exe, sh.exe aus der cygwin-Umgebung, oder irgendwelche Progs, die bei mir nur im TrayBereich für Touchpad / Bluetooth etc laufen). Was ist da los? Könnte das ein Trojaner oder sowas sein? Virenscanner ist bei mir up-to-date und findet trotzdem nix... Oder spinnt da vielleicht bloß die Firewall. Für jeden Hinweis bin ich dankbar... Gruß T.

07.03.07, 12:21	#3 (permalink)
Chakky Senior Member Registriert seit: 28.10.03 Likes: 110	kann das phänomen bestätigen mit meiner Sygate meist auf IP 224.0.0.0 stümmts? meist passiert das bei mir wenn ich hochfahre mein system und mich erst recht spät anmelde mit meinen benutzer dann popt halt die typsiche meldung auf meist von steam oder auch von winrar naja ich klick auf nein und das wars ^^ __________________ cu Chakky we are dreaming in digital we are living in realtime we are thinking in binary we are talking in IP welcome to our world

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
ICMP - böse?	schmidtl_dd	(In)security allgemein	14	27.12.06 20:02
merkwürdige seite	a?+b?=c?	Off topic-Zone	16	03.01.06 10:13
ICMP Attack	Gulliver	News & Ankündigungen	0	08.07.05 15:36
F-secure Die Fire Wall suche ICMP zum abschalten option	HighTower	Applikationen	0	13.05.04 23:29
merkwürdige mail	Indigo	(In)security allgemein	3	07.05.03 18:05

06.03.07, 18:59	#2 (permalink)
ERit Registriert seit: 31.03.05 Likes: 0	naja also phänomene sind das nicht. ich hatte lange zeit sygate in verbindung mit xp ohne servicepack (oder sp1) egal, jedenfalls hatte ich das nicht. also meiner meinung nach sollte notepad nicht einfach so aufs netz zugreifen können, eignetlich hat notepad keinen code der raus telefonieren möchte. schau dir mal die ip´s an die in der meldung aufpopen. meiner meinung nach wäre das durchaus malware. starte mal notepad oder schau mal im taskmanager nach ob notepad läuft ohne dass du es gestartet hast. lg

07.03.07, 19:32	#4 (permalink)
TheNoOne Themenstarter Registriert seit: 28.07.04 Likes: 0	Also zu den Fragen: Es sind IMMER Prozesse die aktiv laufen. D.h. die Anwendungen starten nicht von alleine, sondern es sind Prozesse, die halt nebenher laufen und dann irgendwann versuchen diese ICMP-Pakete rauszuschicken. Dabei ist es ganz unterschiedlich, welcher Prozess das versucht. Es gibt also kein Programm, dass das auffällig oft tun würde. Was mir allerdings aufgefallen ist, ist dass das immer auftritt, wenn Azureus länger bei mir läuft. Also (möglicherweise) wenn jemand über die Tauschbörse meine IP rauskriegt und (vermutlich) einen Angriff startet?!? Ich hab die IPs an die die Pakete gehen solln überprüft (whois / nmap) und es gibt dabei auch verschiedene: Es sind immer IPs von registrierten Internetprovidern, häufig auch Dial-In IPs von der Deutschen Telekom. Der Portscanner meldet manchmal das am andern Ende ein Windows-PC liegt und manchmal jedoch auch gar nix (was mich bei nmap -P0 wundert). Beispiel für so ne IP: 217.238.19.207

07.03.07, 20:03	#5 (permalink)
quux Registriert seit: 09.01.07 Likes: 0	Irgendwie hört sich das an als ob dein Rechner mit Malware verseucht wäre. Tritt das Problem nur auf wenn du Azureus laufen hast? Woher stammt deine Azureus-Installer-Datei, aus ner sauberen Quelle oder einer dubiosen Fake-Seite? Nimm mal einen anderen Client (Bitcomet hat mir unter Win sehr gut gefallen) und schau mal ob dann diese "Phänomene" immernoch auftreten.

[HaBo]

Merkwürdige ICMP-Pakete