[HaBo]

Chris · 06.01.03, 15:08

Die Firewall meines Routers (fli4l) loggt in letzter Zeit sehr oft Zugriffsversuche auf den Port 1023 oder auch mal 1027 o.ä. Jedenfalls immer im bereich 1020-1029.
Teilweise kommen diese Anfragen im Minutentakt oder schneller.
Die IP-Adressen der Absender wird mitgeloggt und ich kann keine Regelmäßigkeit in den IP-Adressen erkennen, also es sind nicht immer die gleichen.
Was für ein Dienst soll da angesprochen werden?
Ist das ein bekannter Trojanerport?

DelumaX · 06.01.03, 16:43

Die Ports 1020-1029 werden gerne von dem Trojaner Netspy benutzt. Generell heißt das jedoch nichts da man fast alle Trojaner anweisen kann einen belibiegen Port zu benutzen. Hast du irgendwelche Daemons auf dem Router laufen??

Anzeige

- Anzeige -

Chris · 06.01.03, 18:51

Nein. Zumindest nicht auf WAN-Seite. Zum LAN hin ist ein Port für die Remote-Administration (Imonc) offen, sonst nix.

DelumaX · 07.01.03, 09:28

Hast du deinen Rechner mal von ausserhalb scannen lassen??

Chris · 07.01.03, 23:47

Hm, so blöd es sich anhört, aber ich finde niemanden Vertrauenswürdigen, der nen Portscanner hat und bedienen kann.
Aber wenn ich mit meinem Schlepptop mal wieder ausser Haus komme, dann scan ich mich ma...

Und nochwas: Die Firewall gibt in den Aufzeichnungen von solchen Anfragen auch ein "REJECT" an. Das beduetet doch eigentlich, dass die Anfragen abgelehnt wurden, oder? Also, dass sie kein Ziel gefunden haben.

DelumaX · 08.01.03, 09:43

Zitat:

Hm, so blöd es sich anhört, aber ich finde niemanden Vertrauenswürdigen, der nen Portscanner hat und bedienen kann.

Ich weiss ja nicht wie weit dein Vetrauen zu mir reicht, aber ich kann das gerne übernehmen. Melde dich einfach per PM oder ICQ...

Zitat:

Und nochwas: Die Firewall gibt in den Aufzeichnungen von solchen Anfragen auch ein "REJECT" an. Das beduetet doch eigentlich, dass die Anfragen abgelehnt wurden, oder?

Ein Reject ist die Ablehnung einer Verbindungsfrage per ICMP-Paket. Sprich der Anfragende wird darüber informiert das die Verbindung nicht erwünscht ist. Die andere Möglichkeit wäre das Paket stillschweigend zu verwerfen.

Chris · 08.01.03, 12:03

Ich weiss, das kann man bei dieser Firewall auch auswählen. Also REJECT oder DENY. Hab es einfach bei der Standardeinstellung belassen damals. Ist denn DENY eher von Vorteil?

Tec · 08.01.03, 17:38

Zitat:

Ist denn DENY eher von Vorteil?

Deny ist Ressourcenschonender. Bei reject wird noch jeweils ein Päckchen zurückgeschickt, bei Deny nur "geschluckt".

DelumaX · 09.01.03, 12:38

Da ich ziemlich Schreibfaul bin hier ein Zitat aus der de.comp.security.firewall FAQ von Lutz Donnerhacke:

Zitat:

Ist REJECT oder DENY sinnvoller?

Als REJECT bezeichnet man die aktive Ablehnung einer Verbindungsanfrage mit einem ICMP Paket vom Inhalt "Der Admin hat's verboten" oder "Dienst nicht verfügbar".
Als DENY bezeichnet man das kommentarlose Wegwerfen der Verbindungsanfrage. Damit läuft der Anfragende in einen Timeout.

Admins, die sich über Script Kiddies ärgern, glauben oft, diese durch DENY aufhalten zu können. Dies ist jedoch falsch. Es ist problemlos möglich, viele tausend Scans gleichzeitig zu starten und so auf alle Timeout gleichzeitig zu warten. Ein Scanner wird so nicht gebremst. Andererseits bremst man mit DENY alle legitimen Nutzer und Server massiv aus. Das betrifft insbesondere die ident Anfragen.

Ident dient dazu, dem Admin eines ordentlich gepflegten Systems eine Hilfestellung bei der Identifizierung seiner, sich daneben benehmenden Nutzer zu geben. DENY für ident bewirkt nur, daß diese Hilfestellungen bei anderen Servern nicht mehr aufgezeichnet werden. Wenn Du als Schutzpatron für Spammer und Scriptkiddies auftreten willst, nimm DENY.

Sieh das Ganze doch so, wie in einer offenen Beziehung:
Es ist besser seinem Partner direkt zu sagen, daß man über ein bestimmtes Thema nicht sprechen möchte (REJECT): Der Partner weiß sofort, was Sache ist und und kann dann ohne Zeitverzögerung seine Entscheidung darüber treffen, ob er die Beziehung fortsetzen möchte oder nicht.

Geht man auf ein Thema allerdings gar nicht ein (DENY) und stellt die Ohren auf Durchzug, kostet das a) einem selber Zeit dem Geschwafel des Partners zuzuhören und b) dem Partner ebenfalls Zeit; er möchte nämlich ein für ihn wichtiges Thema/Problem loswerden, und hätte das dann ja wohl besser woanders getan.

Ein anderes Beispiel aus dem Leben:
Du gehst durch die Einkaufstraße deiner Stadt, und irgendein "Penner" quatscht dich an, und will 'nen Euro. Hier könnte man sagen "Ach ne, habe selbst kein Geld" (REJECT) oder einfach die fortgesetzte Bettelei ertragen.

Fazit: Reject ist auf jedenfall eleganter und kann in bestimmten Fällen sogar Ressourcenschonender sein...

Tec · 09.01.03, 13:30

Zitat:

Fazit: Reject ist auf jedenfall eleganter und kann in bestimmten Fällen sogar Ressourcenschonender sein...

Klar, aber nicht wenn dein Rechner unter einer DDos-Attacke leidet. Da wäre es fatal jede Verbindungsanfrage mit nem Paket zu beantworten.

Das Thema deny/reject ist sowieso ein sehr kontrovers diskutiertes Gebiet. In einigen Büchern wird deny bevorzugt, in anderen Texten reject. Es muss jeder selber herausfinden welche "Regel" zum eigenen Profil (Home-User,Server-Betreiber,E-commerce Platform...) passt.

DelumaX · 09.01.03, 16:18

Zitat:

Das Thema deny/reject ist sowieso ein sehr kontrovers diskutiertes Gebiet.

Mein Posting zu dem Thema sollte keine Musterlösung darstellen da ich mir der zweischneidigkeit der Thematik durchaus bewusst bin. Sry falls das anders rüber gekommen ist. Beide Verfahrensweisen haben selbstverständlich ihre Vor- und Nachteile. Wie du bereits sagtest muss das jeder für sich selbst entscheiden.

Chris · 09.01.03, 20:01

Danke für die Ausführliche Info...
Eigentlich ist mit die Reject/Deny-Frage nicht so wahnsinnig wichtig, weil sich hinter dem Router nur mein PC und ein Heimserver befindet, ich glaube nicht, dass jemand daran so wahnsinnig viel Interesse haben kann. Und selbst wenn da was ausfällt, würde es mich ja nix kosten (ausser ein paar Nerven).

Um mich sprachlich an Wolf Wowereit anzunähern: Ich hab REJECT und das ist gut so.

btt: Leider hab ich immernoch keinen Portscan meines Routers von aussen, bin aber an dem Thema dran und sag dann an dieser Stelle bescheid.

DelumaX · 10.01.03, 08:48

Zitat:

Leider hab ich immernoch keinen Portscan meines Routers von aussen, bin aber an dem Thema dran und sag dann an dieser Stelle bescheid.

Das Angebot steht noch...!!!

Chris · 10.01.03, 13:36

Zitat:

Original von Damien
ypserv-Vulnerability

Ich hab mal danach gegoogelt. Da kamen diverse Berichte über das Problem, jedoch alle nur für verschiedene Linux-Distributionen (SuSE, Redhat u.a.) aber nicht für Windows.
Ist es Zufall dass ich nichts über Windows gefunden habe oder ist das ein Linux-Problem?

Edit:
Ich habe jetzt mal einen Portscan machen lassen. Offen sind nur die Ports, die von meinen Servern (HTTP, FTP, SMTP, etc...) absichtlich (von mir) geöffnet wurden und über Portforwarding an einen Server hinter dem Router weitergeleitet werden.

DelumaX · 10.01.03, 15:41

Zitat:

Ist es Zufall dass ich nichts über Windows gefunden habe oder ist das ein Linux-Problem?

Kein Zufall da es sich um ein Linux Problem handelt. Der Bug wurde ypserv package der Yelow Pages bzw. des heutigen NIS Information Service gefunden. Dieser Dienst dient z. B. zur zentralen Verwaltung von Useracounts. Daher wirst du für Windows nichts finden ;o)

Anzeige

- Anzeige -

06.01.03, 15:08	#1 (permalink)
Chris Senior Member Registriert seit: 27.01.02 Likes: 1	Firewall Loggt 1023 Anzeige Die Firewall meines Routers (fli4l) loggt in letzter Zeit sehr oft Zugriffsversuche auf den Port 1023 oder auch mal 1027 o.ä. Jedenfalls immer im bereich 1020-1029. Teilweise kommen diese Anfragen im Minutentakt oder schneller. Die IP-Adressen der Absender wird mitgeloggt und ich kann keine Regelmäßigkeit in den IP-Adressen erkennen, also es sind nicht immer die gleichen. Was für ein Dienst soll da angesprochen werden? Ist das ein bekannter Trojanerport?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
PC loggt sich nach Login gleich wieder aus?	Vanillekipferl	Windows	9	17.01.09 18:50
Firewall	fatjoe123	Windows	1	18.02.08 10:39
Firewall	Braindeath	(In)security allgemein	18	12.03.05 23:36
Firewall???	SuperSkater	(In)security allgemein	5	21.02.04 16:25
Firewall	Muschu	Virenschutz · Tools & Aggressive Software	15	05.06.03 13:25

06.01.03, 16:43	#2 (permalink)
DelumaX Senior Member Registriert seit: 02.10.01 Likes: 0	Die Ports 1020-1029 werden gerne von dem Trojaner Netspy benutzt. Generell heißt das jedoch nichts da man fast alle Trojaner anweisen kann einen belibiegen Port zu benutzen. Hast du irgendwelche Daemons auf dem Router laufen??

06.01.03, 18:51	#3 (permalink)
Chris Senior Member Themenstarter Registriert seit: 27.01.02 Likes: 1	Nein. Zumindest nicht auf WAN-Seite. Zum LAN hin ist ein Port für die Remote-Administration (Imonc) offen, sonst nix.

07.01.03, 09:28	#4 (permalink)
DelumaX Senior Member Registriert seit: 02.10.01 Likes: 0	Hast du deinen Rechner mal von ausserhalb scannen lassen??

07.01.03, 23:47	#5 (permalink)
Chris Senior Member Themenstarter Registriert seit: 27.01.02 Likes: 1	Hm, so blöd es sich anhört, aber ich finde niemanden Vertrauenswürdigen, der nen Portscanner hat und bedienen kann. Aber wenn ich mit meinem Schlepptop mal wieder ausser Haus komme, dann scan ich mich ma... Und nochwas: Die Firewall gibt in den Aufzeichnungen von solchen Anfragen auch ein "REJECT" an. Das beduetet doch eigentlich, dass die Anfragen abgelehnt wurden, oder? Also, dass sie kein Ziel gefunden haben.

08.01.03, 12:03	#7 (permalink)
Chris Senior Member Themenstarter Registriert seit: 27.01.02 Likes: 1	Ich weiss, das kann man bei dieser Firewall auch auswählen. Also REJECT oder DENY. Hab es einfach bei der Standardeinstellung belassen damals. Ist denn DENY eher von Vorteil?

09.01.03, 20:01	#12 (permalink)
Chris Senior Member Themenstarter Registriert seit: 27.01.02 Likes: 1	Danke für die Ausführliche Info... Eigentlich ist mit die Reject/Deny-Frage nicht so wahnsinnig wichtig, weil sich hinter dem Router nur mein PC und ein Heimserver befindet, ich glaube nicht, dass jemand daran so wahnsinnig viel Interesse haben kann. Und selbst wenn da was ausfällt, würde es mich ja nix kosten (ausser ein paar Nerven). Um mich sprachlich an Wolf Wowereit anzunähern: Ich hab REJECT und das ist gut so. btt: Leider hab ich immernoch keinen Portscan meines Routers von aussen, bin aber an dem Thema dran und sag dann an dieser Stelle bescheid.

[HaBo]

Firewall Loggt 1023