Hallo miteinander

Wir haben im Geschäft seit ca. 1/2 Jahr einen Zyxel Prestige 653 HI ADSL-Router mit integrierter Firewall. Ich habe vor ca. 2-3 Monaten einmal die Alarmierung auf meine E-Mail-Adresse gemacht, sprich er sendet Attacken oder besondere Vorkommnisse als Meldung zu mir. Nun erhalte ich in unregelmässigen Abständen massenhaft Mails vom Router, welche eine Attacke melden. Die sehen so aus:
<hr>
No. Time Source IP Destination IP Note
1|10/28/2004 06:46:47 |192.168.1.6:1338 |217.107.217.4:80 |ATTACK
ports scan TCP

End of Alert
<hr>
Meistens kommen, wie schon gesagt, bis zu 10-15 Meldungen. Der Source-Port ändert meist aufsteigend, z.B. 1338, 1339, 1340,... er überhüpft manchmal aber auch welche. Dieses Phänomen habe ich von 3PCs, alle mit Norton Antivirus geschützt und regelmässig mit Adaware gescannt, die finden aber nichts.
Was könnte das sein

Bin zwar kein Experte, aber vielleicht hilft dir mein Beitrag trotzdem.

Die Meldung besagt, dass du vom Lan einen Webserver ausserhalb anzugreiffen versuchst....

Also der Server mit dieser Nummer existiert und liefert auf 80 auch Daten zurück (eine russische Seite).
Zudem ist Port 1338 "Millennium Worm
TCP backdoor created by the Millennium Worm", wobei eine Backdoor wohl nicht von sich aus nach aussen geht (meistens). Aber die Portnummer war ja glaubs nur ein Beispiel von dir, richtig?


Was hast du auf der Firewall Regeln eingestellt?

Habe sonst keine weiteren Ideen...

Da sind auch andere Seiten dabei, einmal war auch Meteoswiss dabei, habe aber nicht alle IP-Adressen nachgeschaut. Aber es scheint schon so, dass die jeweiligen Personen auf dieser Seite surfen und dabei das geschieht.
Da es immer ein Range von Ports ist, glaube ich auch nicht, dass es ein Wurm oder so ist.
Die Firewall ist ausgehend nichts konfiguriert (alles darf raus). Eingehend sind ein paar Ports weitergeleitet, nichts aussergewöhnliches.

Was definiert deine Firewall als "ATTACK"?
Die wertet evtl. ein Reaload innerhalb sehr kurzer als Angriff, wer weiss?

Ich habe mal eine Anfrage an Studerus gesendet, mal schauen was die meinen. Ich poste dann sobald ich mehr weiss.
Danke schon mal für Deine Hilfe, Kermit!

Naja, weiss ja nicht, ob meine Vermutungen was geholfen haben...

Und ja, lass uns nicht im Dunkeln sitzen!

Ich denke schon es hat was mit dem zu tun was Du geschrieben hast. Evtl. dass der Browser mehrer Anfragen auf einmal startet und die Firewall das als Attacke wertet.

Ich habe eine Antwort auf meine Anfrage bei Studerus bekommen. Die haut einem glatt aus den Socken:

Das nenn ich den User für Dumm verkaufen!

...für sehr dumm verkauft!

Das Produkt ist immer sehr schnell verkauft, der after sales - service lässt jedoch meistens zu wünschen übrig! Schade, sehr schade!!!!

Hast Du wenigstens in der Knowledgebase was gefunden?

pro

Nein, leider nicht. Ich werde halt einfach auf das Mail mal antworten. Eine bessere Antwort erwarte ich aber eigentlich nicht...

Echt schade, hätte was anderes erwartet!
Die haben das wohl so verstanden, dass der Angreifer von aussen kommt.... (vielleicht Versehen)
Riecht mir zu sehr nach einer Standardantwort!
Mail ihnen den Link zu diesem Thread!