Unerklärliche Portscan

[klama]

Hallo,
folgendes macht mich recht unsicher:
Ich verwende die Outpost Firewall Pro 7.0 von Agnitum, die häufig Portscan blockiert von Ports, wie z.B. 14340, 14348,16415, 18797, 38175, 44556.
Was sind dies für Ports? In der Portliste sind diese nicht zugeordnet.

klaus

 

[Hancock]

Lässt du Tools wie Bittorrent laufen?
Diese Ports sind möglicherweise von diesen Tools in Benutzung...

 

[NetCrack]

Wo kommt den Portscan her? Deine Firewall wird dir ja sicherlich ne Remote IP oder sowas anzeigen, check die mal z.B. bei www.utrace.de . Wenn die Anfrage aus China kommt dürfte die Lage klar sein =).

 

[bussi1805]

Portscans sind jetzt nicht so ungewöhnlich. Irgendwie müssen die Bösen Buben ja deine Schwachstellen finden. Solang deine FW das blockt gibts ja eigentlich keinen Grund zur Beunruhigung. Wer früher mit Win98 und ohne FW/Router im Netz war hat nach wenigen Minuten ein kompromitiertes System gehabt ohne auch nur einen Browser geöffnet zu haben.
Vielleicht kannst du anhand der IP was über den Ursprung rausfinden.

 

[klama]

Hallo,

danke für die schnellen Reaktionen und die kompetenten Antworten (ist nicht in vielen Foren so!).
Die Scans kommen in der Regel aus China, aber auch aus Ungarn.
Was mich besonders interressiert: was sind das für Ports. In meiner Liste sind sie alle nicht zugeordnet.
Da meine Firewall sie blockt, beruhigt schon. In den Einstellungen lasse ich auch das jeweilige Subnetz mindestens 5 Minute blockieren, vielleicht macht dies die Boy's so neugierig.
Denn es sind meist die gleichen IP's.

klaus

 

[NetCrack]

Ich würde mal zurück Scannen und gucken was passiert .
44556 is glaub eMule. Interessanterweise landet man wenn man den Rest googlet (z.B. "38175 Port") direkt auf dieser seite hier.
Zu den anderen find ich keine klaren Informationen, ich nehme aber an das es Ports von Remote Controlling Systemen sind (Trojaner, VNC-Lösungen, etc.) die eben ne effektive Kontrolle deines Computers erlauben würden.

 

[bussi1805]

Wozu genau diese Ports zugeordnet sind weiss ich auch nicht. Das variiert. Viellicht irgendwelche Filesharing oder IM Progs. Die scannen auch ganze IP und Portbereiche ab. Kannst also davon ausgehen dass das kein gezielter Angriff auf dich ist. Wenn deine FW auf pings nicht antwortet und die Portscans geblockt werden solltest du für die eigentlich unsichtbar sein solange du von dir aus zu diesen IPs keine Verbindung aufbaust.

 

[Boogeyman]

Zuerst mal wäre ein Screenshot von Outpost interessant.

Generell kann man sagen, das angebliche "Angriffe" von außen nichts bedeutet, das können einfach nur fehlgeleitete Pakete aus dem Netz sein, oder anders banales, worauf ich im Detail hier nicht eingehen werde.

Falls das so sein sollte, möchte sich hier Outpost nur wichtig machen, um zu beweisen wie toll sie doch schützt. Das alles macht auch die Windows Firewall, das aber ohne viel Brimborium. Sie schottet den Rechner von außen ab, Datenverkehr vom Rechner ins Netz können Software Firewall sowieso nicht zuverlässig überwachen, mehr muss eine Firewall nicht können.

Ich möchte hier im besonderen einen Artikel aus der Ct erwähnen, indem sie von Drittanbieter Firewall generell abraten.

Zu Firewalls allgemein:

Einen nennenswertes Plus an Sicherheit bieten die getesteten Personal Firewalls nicht. Mit der Windows Firewall, einem guten Virenscanner und einer guten Versionspflege der installierten Anwendungen ist man in allen Situationen hinreichend vor eingehenden Zugriffsversuchen geschützt.
Setzt man zu Hause einen Router ein, muss man sich um eingehende Verbindungen in aller Regel ohnehin nicht kümmern.
Anfragen aus dem Internet leitet der Router ohne manuell angelegte Ausnahmeregeln nicht weiter, sodass sie erst gar nicht die Personal Firewall erreichen.

Fazit eines Redakteurs in der Ct:

Finger weg!

Auf der anderen Seite entdeckten wir auf fast jedem System, bei dem wir eine Personal Firewall nachrüsteten, ein Sicherheitsloch, das echte Gefahr bedeutet.

Wer also etwas für seine Sicherheit tun will, achtet besser darauf, dass er seinen Virenschutz um einen guten Verhaltenswächter ergänzt, falls er keinen mitbringt. Anwender kostenloser AV Programme wie Antivir, MSE, können dazu etwas das kostenlose Threatfire installieren. ...........

Quelle: Ct Heft 23/2010

 

[Scheinweltname]

Ich gehe mal davon aus, dass du keinen Router benutzt, oder? Oder zumindest ist dessen Firewall nicht eingeschaltet. Denn ansonsten dürften Portscans gar nicht bei deinem Rechner ankommen. Ich vermute mal, dass irgendein Botnetz willkürlich IP-Adressen nach offenen Ports abscannt; und zufällig erwischen sie dann manchmal deine IP (so kam ich zu regelmäßigen Worm.helkern-Angriffen, als ich noch direkt mit DSL-Modem im Netz war).

Mach mal die Portscans auf Heise oder bei GRC (auf "proceed" klicken, Warnmeldung: "Fortsetzen", "common ports"). Überall sollte "stealth" (GRC) oder "gefiltert" (Heise) stehen, ansonsten stimmt etwas mit deiner Firewall nicht.

 

[quwieorp]

Was mich besonders interressiert: was sind das für Ports. In meiner Liste sind sie alle nicht zugeordnet.

Also ich hab in meiner Router-Firewall einen zufällig gewählten Port für den SSH-Server geöffnet, und vor ein paar Tagen gab es tatsächlich mehrere Versuche aus Brasilien und Holland, sich bei mir über eben diesen Port als root anzumelden.
Die Angreifer scheinen also beliebige Ports auf interessante Dienste zu testen.

 

[klama]

Hallo, Leute,

Danke jedem, der gepostet hat.
Im Grunde bin ich nun zufrieden.

Boogeyman,
der Hinweis auf den Artikel c't ist gut. Da ich aber eine Lifetime-Linzenz von agnitum habe, lasse ich die Firewall mal wirken. Emsisoft Anti-Malware macht den Rest sehr gut.

klaus