|
Dringend: Was passiert auf Port 137? Tutor will Rechner vom Netz nehmen!
(https://www.trojaner-board.de/82510-dringend-passiert-port-137-tutor-will-rechner-netz-nehmen.html)
Dringend: Was passiert auf Port 137? Tutor will Rechner vom Netz nehmen! EDIT: Ich bin mal ein paar IP's durchgegangen, auf die (laut Tutor) von meinem Port 137 zugegriffen wird. Ich konnte verifizieren, dass einige IP's als Ziel-Seiten sind, die ich als Bookmarks in meinem Firefox habe. Ich habe die Bookmarks im Firefox per "about:config" so konfgueriert, dass sie alle 3 Minuten neu laden. Kann es das sein? EDIT 2: Port 137 hat ja offensichtlich etwas mit NetBIOS zu tun, richtig? Ich habe immer den Dienst "TCP/IP NetBIOS" über "msconfig" dekativiert, weil mal jemand meinte, dass man den nicht braucht. Sollte ich es wieder aktivieren? Deweiteren habe ich gelesen, dass über Port 137 mein Rechner das Internet irgendwie scannt und das völlig normal sein. Eure Meinung dazu? Hi! Ich habe ein Problem mit Port 137. Unser Internet-Tutor meint, von einem unserer Rechner würden derzeit auf Port 137 andauernd Anfragen in die weite Welt geschickt werden und er will den Rechner sperren. Per "netstat -a" sehe ich: UDP-Protokoll: "MEINE-IP:137" Remote-Adresse: "*:*" http://www.imagebanana.com/img/va4ifnrs/quickpig.png Ich muss unbedingt wissen, was da passiert, denn mir erschließt sich das nicht. Der Rechner ist heute neu aufgesetzt worden (Systemfestplatte ist NEU), hat GData installiert gehabt und nun Sophos. Beide haben nichts gefunden. HiJackThis ist cleaner als clean: Code: Logfile of Trend Micro HijackThis v2.0.2EDIT 2: Port 137 hat ja offensichtlich etwas mit NetBIOS zu tun, richtig? Ich habe immer den Dienst "TCP/IP NetBIOS" über "msconfig" dekativiert, weil mal jemand meinte, dass man den nicht braucht. Sollte ich es wieder aktivieren? Deweiteren habe ich gelesen, dass über Port 137 mein Rechner das Internet irgendwie scannt und das völlig normal sein. Eure Meinung dazu? |
Hallo, Zitat:
Wie kommt also Dein Tutor auf die Idee, den Rechner vom Netz zunehmen? Ist das Dein Privatrechner oder ein Schulrechner? |
Es ist ein Rechner im Studentennetzwerk (Studentenwohnheim) und ist mein privater Rechner. Das war so krass eben. Ich habe gerade mit dem Typ telefoniert, weil er meinen Rechner wieder vom Netz genommen hat. Mehr an Arroganz habe ich selten erlebt, wenn es um Computer geht. Ich versuche es mal als Gedächtnisprotokoll zu wiederzugeben. Ich ruf' ihn also an. Er so: "Ja ich habe Dir ja gesagt, wenn Dein Rechner weiter Anfragen an irgendwelche Adressen schickt, die teilweise nicht einmal eine Namensauflösung haben oder sonstwo auf der Welt sind, dann nehme ich Deinen Rechner vom Netz. Ich verwalte mehrere tausend Rechner und Deiner ist der einzige bei dem das so ist. Das sind alles SMB-Anfragen und das ist eindeutig das Verhalten von Viren. Eigentlich sollte das Programm, welches die 137er-Anfragen schickt, aber merken, dass es nirgends ankommt, denn ich "droppe" die Anfragen hier. Komisch ist, dass die Anfragen von 137 kommen und nach 137 gehen und anders herum..." (oder so ähnlich) So, dann habe ich ihm hundert Male erklärt, dass ich alle Festplatten formatiert habe, das Netzwerkkabel gezogen habe, Windows 7 installiert habe, dann GData Total Care installiert habe und erst danach das Netzwerkkabel angeschlossen habe und GData upgedatet habe. Daraufhin faselte er wieder was von: "Ja, darüber diskutiere ich nicht, denn ich sehe, dass Dein Rechner der Einzige ist, der solche Anfragen stellt und das dies nicht normal ist. Deshalb kommt der vom Netz - außerdem könne man sich ja schon während der Windows-Installation einen Virus einfangen." Ich habe ihm dann zum zehnten Mal erklärt, dass keine Internet-Verbindung besteht, bevor GData nicht drauf ist. War ihm egal... Nun habe ich Port 137 TCP/UDP Ein-/Ausgänge per Firewall blockiert und damit sei er zufrieden - O-Ton vom ihm:"Dann müllt Dein Rechner wenigstens nicht mehr meine Protokolle zu..." Mal ehrlich - der hat doch nicht mehr alle Latten am Zaun, oder? Eure Meinung? |
Das kann ich nicht ganz nachvollziehen. Von PFWs halte ich eigentlich nicht viel, aber wenn Du Port 137 ausgehend jetzt filterst, kannst Du da sehen was gefiltert wird bzw. überhaupt ob?? Dein Tutor scheint ja so jetzt zufrieden zu sein :confused: Während der Windows-Installation einen Schädling einfangen ist auch gut :D das geht eigentlich nur wenn man schon ne infizierte Windows-CD sprich gecrackte Version benutzt, heißt aber nicht unbedingt, dass gecrackte Versionen infiziert sein müssen (was in den allermeisten Fällen bei gecrackter SW der Fall ist ;) ) |
Na ja, ich filter den Port ja nicht (oder doch?) - ich habe den Port komplett gesperrt. Hab's nun mal auf "Anwender fragen" umgestellt, aber weiß nicht, ob er das nun auch macht. Ist etwas unübersichtlich gehalten hier. Vllt. hast Du ja kurz Zeit, per TeamViewer zu gucken. Mich interessiert ja auch, ob da was faul ist. http://www.imagebanana.com/img/og7es5l/quickpig.png |
Du könntest evtl. mehr mit Wireshark sehen - musst Du aber Filtern, sonst wirst Du mit Einträgen bombardiert ;) |
Wireshark ist drauf. Was muss ich nun einstellen? http://www.imagebanana.com/img/jbv6x8vs/quickpig.png |
Klick mal uf den Button Capture Filter. Da müssten AFAIR vordefinierte Regeln sein die Du nur auf Port 137 anpassen musst. Pass auf, dass Du den richtigen Netzwerkadapter wählst. Fällt natürlich einfach aus, wenn Du nur einer ist ;) |
Also, bisher macht Port 137 UDP nur intern irgendwas... http://www.imagebanana.com/img/g3zlunmx/quickpig.png Die Einstellungen sind jetzt wie folgt: http://www.imagebanana.com/img/ua6c99ss/quickpig.png |
Schick das Bild mal an den Tutor, er könnte recht haben mit den Namensanfragen, da sind einige NAME QUERIES drin, ob das jetzt normal ist oder nicht kann ich aber nicht beurteilen :( 10.10.151.255 könnte die Broadcastadresse sein... |
Was genau ist "NAME QUERIES" und was ist 'ne Broadcastadresse? Wäre cool, wenn Du mir grob erklären könntest, was da evtl. los is' und was da ungewöhnlich is'. |
Ups, Doppelpost... habe nicht gemerkt, dass wir schon auf Seite 2 sind. ;) |
Name Queries dürften DNS-Abfragen sein. Beispiel: Du tippst im Browser trojaner-board.de ein, der Rechner kann so mit der Eingabe aber nichts anfange, er kann nur sich mit IP-Adressen verbinden, dann fragt er den (eingestellten) DNS-Server welche IP-Adresse trojaner-board.de hat. Broadcast Artike hier Broadcast ? Wikipedia |
Hmmm, okay. Und was ist nun an dem Wireshark-Kram so ungewöhnlich? Könnte ich tatsächlich irgendwas hier drauf haben oder ist es tatsächlich ungewöhnlich, was hier vor sich geht? |
So sieht es übrigens aus, wenn ich Port 137 komplett gesperrt habe und NetBIOS für das Internetprotokoll 4 in den Adaptereinstellungen meiner Netzwerkkarte unter WINS deaktiviert habe: http://www.imagebanana.com/img/s66znsyz/quickpig.png Ist dazu irgendwas zu sagen? Meine IP taucht da ja nun (logischerweise) nicht mehr auf. |
Kann dazu keiner mehr etwas sagen? :zzwhip: |
Hi, vielleicht hat er ja wirklich nicht mehr alle Latten am Zaun, aber der Job als Administrator in einem solchen Netz ist auch eine Einladung dazu, dort anzukommen. Deine arg gefilterten Wireshark-Ansichten sehen unauffällig aus, viel mehr würde mich aber interessieren, was der Admin außerhalb deines Rechners (also auf dem Router z.B.) sieht, was von deinem Rechner ausgeht. Im Zeitalter der Rootkits kann das ganz anders sein. Ich kann mir nicht vorstellen, dass der Admin Netbios ins Internet lässt, da muss was mehr sein. Da ihr das Netz ja anscheinend sowieso nur nutzt, um eine Internetleitung zu teilen, wird Netbios nicht gebraucht, also lass es am besten aus, Windowsrechner sind sowieso unglaublich geschwätzig. Damit machst Du deinen Administrator glücklich und das ist sehr viel wert. Wenn er dich bzw. deinen Rechner nicht mag (egal wie berechtigt oder eben nicht) wirst Du keinen Ping mehr ins Internet bekommen können. so ein Administrator steht Gott etwas näher als gewöhnliche User. Ich verwalte übrigens auch so ein Netz, das eine große Menge Menschen nutzen um ins Internet zu gehen, die nur an diesem Netz hängen, weil sie zufälligerweise dort wohnen. Darunter gibt es Menschen, die alles anklicken was ihnen unter den Mauszeiger kommt oder per Messenger geschickt wird, Menschen die Windowsupdates nur für einen fiesen Trick halten den Ping schlechter zu machen und Menschen die mit einer Schreibmaschine sowie einem Leseausweis für eine Leihbücherei besser bedient wären. Alleine aus statistischen Erwägungen heraus sind immer ein paar Rechner dabei, die DOS-Angriffe fahren, im Akkord Spam verschicken oder das Urheberrecht verletzen. Dazu klingelt morgens um vier das Telefon und wenn man endlich halb wach ist, wird man da vollgenöhlt, dass irgendein Emule nur eine LowID hat. 5 Minuten später hatte er nicht mal mehr die :D Und für all das steht man permanent mit einem viertel Fuß im Knast. Und da das ganze kein Firmennetz ist hat man auch keine Möglichkeit, die Nutzer dazu zu zwingen bestimmte Dinge zu tun oder zu lassen, außer sie eben auszufiltern. Nichts für ungut, aber ich habe Verständnis für deinen Admin, irgendwann nachdem die letzte Latte aus dem Zaun gebrochen ist, hat man keine Hemmungen mehr auch mal ein arroganter Arsch zu sein. Wem das nicht passt, der soll sich einen eigenen Anschluss anlachen. Geht über UMTS auch drahtlos. Gruß, Karl |
@____: Mich würde ja mal interessieren, was "Dein" Admin zum Wireshark-Screenshot sagt und wie dieses aussieht, wenn es ungefiltert ist. Ich glaube kaum, dass Dein Admin Dir aus reiner Böswilligkeit Dir das Leben schwer machen will, vllt interpretiert er manche "Anfragen" nur falsch, weil irgendwas falsch konfiguriert ist. Der falschen Konfig kann abur im Grunde nur der Admin auf die Spur kommen, weil er das Netz kennt und nicht das TB :D @Karl: :dankeschoen: für den informativen Beitrag! :daumenhoc |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board