Ankündigung

Einklappen
Keine Ankündigung bisher.

Firewall-Meldungen

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Firewall-Meldungen

    Hallo miteinander

    Wir haben im Geschäft seit ca. 1/2 Jahr einen Zyxel Prestige 653 HI ADSL-Router mit integrierter Firewall. Ich habe vor ca. 2-3 Monaten einmal die Alarmierung auf meine E-Mail-Adresse gemacht, sprich er sendet Attacken oder besondere Vorkommnisse als Meldung zu mir. Nun erhalte ich in unregelmässigen Abständen massenhaft Mails vom Router, welche eine Attacke melden. Die sehen so aus:
    <hr>
    No. Time Source IP Destination IP Note
    1|10/28/2004 06:46:47 |192.168.1.6:1338 |217.107.217.4:80 |ATTACK
    ports scan TCP

    End of Alert
    <hr>
    Meistens kommen, wie schon gesagt, bis zu 10-15 Meldungen. Der Source-Port ändert meist aufsteigend, z.B. 1338, 1339, 1340,... er überhüpft manchmal aber auch welche. Dieses Phänomen habe ich von 3PCs, alle mit Norton Antivirus geschützt und regelmässig mit Adaware gescannt, die finden aber nichts.
    Was könnte das sein

  • #2
    Re: Firewall-Meldungen

    Original geschrieben von swizz
    Hallo miteinander

    Wir haben im Geschäft seit ca. 1/2 Jahr einen Zyxel Prestige 653 HI ADSL-Router mit integrierter Firewall. Ich habe vor ca. 2-3 Monaten einmal die Alarmierung auf meine E-Mail-Adresse gemacht, sprich er sendet Attacken oder besondere Vorkommnisse als Meldung zu mir. Nun erhalte ich in unregelmässigen Abständen massenhaft Mails vom Router, welche eine Attacke melden. Die sehen so aus:
    <hr>
    No. Time Source IP Destination IP Note
    1|10/28/2004 06:46:47 |192.168.1.6:1338 |217.107.217.4:80 |ATTACK
    ports scan TCP

    End of Alert
    <hr>
    Meistens kommen, wie schon gesagt, bis zu 10-15 Meldungen. Der Source-Port ändert meist aufsteigend, z.B. 1338, 1339, 1340,... er überhüpft manchmal aber auch welche. Dieses Phänomen habe ich von 3PCs, alle mit Norton Antivirus geschützt und regelmässig mit Adaware gescannt, die finden aber nichts.
    Was könnte das sein
    Bin zwar kein Experte, aber vielleicht hilft dir mein Beitrag trotzdem.

    Die Meldung besagt, dass du vom Lan einen Webserver ausserhalb anzugreiffen versuchst....

    Also der Server mit dieser Nummer existiert und liefert auf 80 auch Daten zurück (eine russische Seite).
    Zudem ist Port 1338 "Millennium Worm
    TCP backdoor created by the Millennium Worm", wobei eine Backdoor wohl nicht von sich aus nach aussen geht (meistens). Aber die Portnummer war ja glaubs nur ein Beispiel von dir, richtig?


    Was hast du auf der Firewall Regeln eingestellt?

    Habe sonst keine weiteren Ideen...
    Zuletzt geändert von kermit; 28.10.2004, 08:20.

    Kommentar


    • #3
      Da sind auch andere Seiten dabei, einmal war auch Meteoswiss dabei, habe aber nicht alle IP-Adressen nachgeschaut. Aber es scheint schon so, dass die jeweiligen Personen auf dieser Seite surfen und dabei das geschieht.
      Da es immer ein Range von Ports ist, glaube ich auch nicht, dass es ein Wurm oder so ist.
      Die Firewall ist ausgehend nichts konfiguriert (alles darf raus). Eingehend sind ein paar Ports weitergeleitet, nichts aussergewöhnliches.

      Kommentar


      • #4
        Was definiert deine Firewall als "ATTACK"?
        Die wertet evtl. ein Reaload innerhalb sehr kurzer als Angriff, wer weiss?

        Kommentar


        • #5
          Ich habe mal eine Anfrage an Studerus gesendet, mal schauen was die meinen. Ich poste dann sobald ich mehr weiss.
          Danke schon mal für Deine Hilfe, Kermit!

          Kommentar


          • #6
            Original geschrieben von swizz
            Ich habe mal eine Anfrage an Studerus gesendet, mal schauen was die meinen. Ich poste dann sobald ich mehr weiss.
            Danke schon mal für Deine Hilfe, Kermit!
            Naja, weiss ja nicht, ob meine Vermutungen was geholfen haben...

            Und ja, lass uns nicht im Dunkeln sitzen!

            Kommentar


            • #7
              Ich denke schon es hat was mit dem zu tun was Du geschrieben hast. Evtl. dass der Browser mehrer Anfragen auf einmal startet und die Firewall das als Attacke wertet.

              Kommentar


              • #8
                Ich habe eine Antwort auf meine Anfrage bei Studerus bekommen. Die haut einem glatt aus den Socken:

                Guten Tag Herr Swizz

                Danke für Ihre Anfrage.

                Dies sind nun mal Meldungen die alltäglich sind. Dies gehört zu einer Firwall.

                Weitere Fragen und Antworten finden Sie unter www.studerus.ch/knowledgebase

                Für Rückfragen stehe ich Ihnen gerne zur Verfügung.

                Freundliche Grüsse
                Das nenn ich den User für Dumm verkaufen!

                Kommentar


                • #9
                  ...für sehr dumm verkauft!

                  Das Produkt ist immer sehr schnell verkauft, der after sales - service lässt jedoch meistens zu wünschen übrig! Schade, sehr schade!!!!

                  Hast Du wenigstens in der Knowledgebase was gefunden?

                  pro

                  Kommentar


                  • #10
                    Nein, leider nicht. Ich werde halt einfach auf das Mail mal antworten. Eine bessere Antwort erwarte ich aber eigentlich nicht...

                    Kommentar


                    • #11
                      Echt schade, hätte was anderes erwartet!
                      Die haben das wohl so verstanden, dass der Angreifer von aussen kommt.... (vielleicht Versehen)
                      Riecht mir zu sehr nach einer Standardantwort!
                      Mail ihnen den Link zu diesem Thread!

                      Kommentar


                      • #12
                        Hallo swizz

                        Da bin ich ja gespannt was da noch kommt.

                        Ich habe das selbe Problem mit meinem 652R-I nämlich auch.
                        Gruss siphi

                        Wenn einem das Wasser bis zum Hals steht, sollte man den Kopf nicht hängen lassen!

                        Kommentar


                        • #13
                          Hm, wenn ein "Support Engineer" nicht sieht, dass 192.168.1.140 keine private IP-Adresse ist und die Adresse andere public ist, und den Unterschied von Source und Destination nicht weiss.....

                          Mal schauen was retour kommt. Ich habe in solche Sachen eine grosse Ausdauer

                          Kommentar

                          Lädt...
                          X