|
UDP Flood to Host aus meinem Netzwerk
(https://www.trojaner-board.de/141432-udp-flood-to-host-meinem-netzwerk.html)
UDP Flood to Host aus meinem Netzwerk Hallo Community! Ich weiß nicht, ob das der richtige Ort für das Thema ist. Jedoch kommen die Meldungen von der Firewall meines Routers(Easybox 803a), von daher.... Heute kamen die Meldungen : 09/12/2013 15:57:54 **UDP Flood to Host** 192.168.1.4, 18166->> 80.187.110.173, 24063 (from PPPoE1 Outbound) 09/12/2013 15:52:02 **UDP Flood to Host** 192.168.1.4, 18166->> 80.187.110.173, 30270 (from PPPoE1 Outbound) 09/12/2013 15:46:39 **UDP Flood to Host** 192.168.1.4, 18166->> 80.187.110.173, 15609 (from PPPoE1 Outbound) 09/12/2013 15:31:19 **UDP Flood to Host** 192.168.1.4, 18166->> 80.187.110.173, 14334 (from PPPoE1 Outbound) 09/12/2013 15:25:41 **UDP Flood to Host** 192.168.1.4, 18166->> 80.187.110.173, 13634 (from PPPoE1 Outbound) 09/12/2013 13:59:45 **UDP Flood to Host** 192.168.1.4, 18166->> 80.187.103.174, 11130 (from PPPoE1 Outbound) und vor 10 Tagen : 09/02/2013 23:28:44 **UDP Flood to Host** 192.168.1.4, 18166->> 84.58.59.126, 37272 (from PPPoE1 Outbound) 09/02/2013 23:16:25 **UDP Flood to Host** 192.168.1.4, 18166->> 84.58.59.126, 36885 (from PPPoE1 Outbound) Jeweils über den Port 18166 aus meinem Netzwerk. Mein Rechner ist relativ neu aufgesetzt. Ich habe keine Peer2Peer Programme oder sonstiges installiert. Muss ich mir Sorgen machen !? |
Hi, nutzt du vllt sowas wie Skype? Gerade VoIP wird unbedingt über UDP abgewickelt |
installiert, ja. War evtl zu diesem Zeitpunkt auch online, aber habe definitiv nicht gevoiced zu dem Zeitpunkt. |
Man sollte diese Meldungen nicht zu ernst nehmen, erst recht nicht wenn eine UDP-Meldung alle 5 Minuten mal kommt. Nicht jeder Firewall-Protokolleintrag bedeutet gleich den Weltuntergang ;) Gab denn sonst mal ungewähnliche Fälle, Meldungen vom Virenscanner o.ä.? |
nicht wirklich. Hatte bis vor kurzem ziemlich viele Meldungen tagtäglich, das lag aber daran, dass ich das pw und den login vom router nicht geändert hatte. :pfeiff::pfeiff: Habe, seit ich Win7 installiert habe (vorher XP) öfter mal TCP Fin auf Port 80 einiger IPs, aber das ist wohl harmlos, habe ich mir sagen lassen. Bin etwas paranoid, nachdem vor kurzem ein Email konto von mir geknackt wurde. Hatte die Sicherheitsfrage etwas zu einfach gestaltet, nehme ich an. |
Also mit den Easyboxes hab ich keine Erfahrung, grundsätzlich gilt bei Routern: Firmware aktuell halten, alle Dienste nach außen (inet) abschalten was nicht benötigt wird. Starke (lange) Passwörter verwenden. Stell also sicher, dass man die Kiste nicht von außen fernwarten kann. Zumindest nicht gewollt. Es gibt tw echt haarstäubende Fehler in der Firmware von Routern. |
Login und PW habe ich kürzlich erst geändert. Wie man dort Dienste nach aussen abschaltet weiß ich nicht. Ich kann nur Ports freigeben. Fernwartung ist ausgeschaltet. |
Zitat:
Zitat:
Zitat:
|
Ja die Firmware wird wohl immer über den Provider aktualisiert und ich habe keine aktuellere Online finden können. //edit : ist es sinnvoll eine Firewall zu installieren, um evtl herauszufinden was auf dem Port 18166 läuft bzw welches programm darauf zugreift usw? |
Dafür lohnt es sich nicht, eine Software Firewall zu installieren. Nimm lieber ein Tool wie TCP View (download). Und bitte nicht vom Namen täuschen lassen, es zeigt auch UDP. :) LG |
Danke, Syne. Und Vielen Dank an cosinus, denn er lag offensichtlich richtig. Ich habe eben Skype geöffnet und die Situation an dem die ersten Meldungen auftraten reproduziert. (Skype offen, der Kontakt schreibt, ich bin aber nicht am Rechner) Und Prompt kommen die Meldungen wieder. An eine ähnliche IP (beide D1) und der Kontakt nutzt D1 mit seinem Handy. Damit wäre das wohl geklärt :) Finde es nur "seltsam" dass dann eine Meldung kommt, dass von MIR an IHN was geht, aber gut :) eine kleine Frage hätte ich allerdings noch. Eben bekam ich folgende Meldung: Time: 09/13/2013, 13:55:52 Message: UDP Loop Source: 93.174.93.84, 42754 Destination:84.58.49.97, 19 (from PPPoE1 Inbound) Ich habe gelesen, dass dies vorkommen kann, weil Vodafone IP-bereiche gerne mal gescannt werden. Hat aber nichts weiter zu bedeuten, oder? Das kommt vielleicht 0-3x am Tag vor, und dann auch von verschienenen IPs. Vielen Dank nochmal an euch :) |
Zitat:
Anfällig wäre dein Netzwerk nur, wenn du (wie cosinus schon erwähnt hatte) alte Routerfirmware benutzt oder irgendwelche Dienste (HTTP-, FTP-, oder sonstige Streamingserver) öffentlich zugänglich hättest (im Router Ports geöffnet, für den jeweiligen Dienst). |
Eine letzte Frage: Ich habe Skype und TCPview auf meinem Laptop installiert und gestartet. auf dem Laptop ist auch der Port ein ganz anderer. Normal ??? /edit : habe in den Optionen von Skype, unter Erweitert, Verbindung gefunden : Verwende Port XXXXX für eingehende Verbindungen. Auf meinem PC war 18166 eingetragen ( der Port aus den Routerlogs) und ausgegraut. Am Laptop ist 25074 eingestellt, nicht ausgegraut. Sucht sich skype das selbst aus? oO Hatte zeitgleich im Arcor-User Forum das Problem geschildert und bekam als Antwort : "netten Trojaner, der sich fleißig bemüht jemanden zu Ärgern" Panikmache? oO |
Würde jetzt nicht vermuten, dass hinter den Logs ein Trojaner steckt. Eröffne aber sicherheitshalber mal einen neues Thema unter Log-Analyse-Auswertung unter Beachtung von: Anleitung für Hilfesuchende bei Trojaner- und Virenbefall. Dann arbeite einfach mal alles mit einen der Helfer durch. Verweiß ambesten noch dazu auf diese Posts von dir hier. LG |
Gerade erledigt. vielen Dank =) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:19 Uhr. |
Copyright ©2000-2024, Trojaner-Board