Router meldet alle paar sec. "unauthorized attempts"

[Erazor_XP]

Hallo,

mein Router meldet mir seit 2 tagen ständig sowas hier:

Dienstag, 29. Juni 2004 13:05:48 Unrecognized attempt blocked from 80.141.97.103:4657 to TCP port 135
Dienstag, 29. Juni 2004 13:06:02 Unrecognized attempt blocked from 80.141.97.103:4731 to TCP port 135
Dienstag, 29. Juni 2004 13:06:45 Unrecognized attempt blocked from 80.141.72.34:3482 to TCP port 445
Dienstag, 29. Juni 2004 13:06:48 Unrecognized attempt blocked from 80.141.72.34:3482 to TCP port 445
Dienstag, 29. Juni 2004 13:06:57 Unrecognized attempt blocked from 80.141.223.242:2498 to TCP port 135
Dienstag, 29. Juni 2004 13:07:00 Unrecognized attempt blocked from 80.141.223.242:2498 to TCP port 135
Dienstag, 29. Juni 2004 13:07:05 Unrecognized attempt blocked from 80.141.153.247:1769 to TCP port 135
Dienstag, 29. Juni 2004 13:07:08 Unrecognized attempt blocked from 80.141.153.247:1769 to TCP port 135
Dienstag, 29. Juni 2004 13:07:23 Unrecognized attempt blocked from 61.35.42.159:4795 to TCP port 445
Dienstag, 29. Juni 2004 13:07:26 Unrecognized attempt blocked from 61.35.42.159:4795 to TCP port 445
Dienstag, 29. Juni 2004 13:07:32 Unrecognized attempt blocked from 61.35.42.159:4795 to TCP port 445
Dienstag, 29. Juni 2004 13:07:44 Unrecognized attempt blocked from 217.208.100.98:4892 to TCP port 445
Dienstag, 29. Juni 2004 13:07:46 Unrecognized attempt blocked from 4.13.49.4:2948 to TCP port 445
Dienstag, 29. Juni 2004 13:07:50 Unrecognized attempt blocked from 217.208.100.98:4892 to TCP port 445
Dienstag, 29. Juni 2004 13:07:57 Unrecognized attempt blocked from 80.141.247.57:3384 to TCP port 135
Dienstag, 29. Juni 2004 13:07:58 Unrecognized attempt blocked from 80.141.212.92:4740 to TCP port 135
Dienstag, 29. Juni 2004 13:07:59 Unrecognized attempt blocked from 80.141.247.57:3384 to TCP port 135
Dienstag, 29. Juni 2004 13:08:01 Unrecognized attempt blocked from 80.141.212.92:4740 to TCP port 135
Dienstag, 29. Juni 2004 13:08:08 Unrecognized attempt blocked from 80.137.166.225:2895 to TCP port 445
Dienstag, 29. Juni 2004 13:08:09 Unrecognized attempt blocked from 80.141.23.235:4860 to TCP port 135
Dienstag, 29. Juni 2004 13:08:12 Unrecognized attempt blocked from 80.137.166.225:2895 to TCP port 445
Dienstag, 29. Juni 2004 13:08:15 Unrecognized attempt blocked from 80.139.225.23:45346 to TCP port 4662
Dienstag, 29. Juni 2004 13:08:18 Unrecognized attempt blocked from 80.139.225.23:45346 to TCP port 4662
Dienstag, 29. Juni 2004 13:08:18 Unrecognized attempt blocked from 61.10.196.35:1397 to TCP port 5554
Dienstag, 29. Juni 2004 13:08:19 Unrecognized attempt blocked from 61.10.196.35:1652 to TCP port 9898
Dienstag, 29. Juni 2004 13:08:22 Unrecognized attempt blocked from 80.141.32.200:3705 to TCP port 135
Dienstag, 29. Juni 2004 13:08:22 Unrecognized attempt blocked from 61.38.87.66:4728 to TCP port 445
Dienstag, 29. Juni 2004 13:08:24 Unrecognized attempt blocked from 80.139.225.23:45346 to TCP port 4662
Dienstag, 29. Juni 2004 13:08:25 Unrecognized attempt blocked from 80.141.32.200:3705 to TCP port 135
Dienstag, 29. Juni 2004 13:08:36 Unrecognized attempt blocked from 80.139.225.23:45346 to TCP port 4662
Dienstag, 29. Juni 2004 13:08:45 Unrecognized attempt blocked from 141.150.107.217:3245 to TCP port 445
Dienstag, 29. Juni 2004 13:08:55 Unrecognized attempt blocked from 141.150.107.217:3245 to TCP port 445


naja das geht manchmal soweit dass das surfen extrem langsam wird.
Habe schon reconnected und so aber das bringt alles nichts!
Mein Router ist ein SMC 7000 VBR2.

Was kann ich da machen?

 

[werkam]

Beim Barricade heisst das nur, das ein unbekannter zugriff von... erfolgte.
Aber der wird dann nicht an deinen PC weitergeleitet.
Stell die Firewall mal ein, dann kann auch nicht viel passieren, durchsuche aber trotzdem mal den Rechner mittels addaware, stinger usw.
Wie man sieht hast Du bestimmt auch Filesharings laufen, schalte diese mal aus, dann versuchen auch nicht so viele auf Deinen Rechner zuzugreifen.
Wenn dort wirklich heißt, das der Zugriff durchging, dann hast du mit dem, was auf den ports 135 und 445 passiert ist, ein massives Problem. Da würde ich mal auf Blasterpatch oder Sasser setzen, sieh mal im Forum nach :
https://www.computerbase.de/forum/threads/loesung-fuer-rpc-msblast-geschaedigte.42214/
da gibt es Anleitungen und Patches.
Port 4662 und und 5662 sind üblicherweise p2p-Ports.

 

[Dangermany]

Das ist ein externer, versuchter Zugriff von aussen auf Deinen Computer. Da aber Deine Firewall aktiviert zu sein scheint, werden diese Versuche direkt abgeblockt. Wenn Du zudem noch XP installiert haben solltest und die Firewall ebenso aktiviert hast, sollte es schwer sein, so auf Deinen Computer zugreifen zu können. Es handelt sich dabei um eine Request-sensitive Firewall, die nur Antworten herein lässt, zu denen Du eine Frage gestellt hast. Naja - blöd formuliert. Nur wenn Du eine Webadresse angefragt hast, wird die entsprechende REsponse auch duch gelassen.

Grüße
Dangermany

 

[Erazor_XP]

danke erstmal für eure antworten.

ich habe win xp service pack 2 RC2 drauf also mit firewall und allen möglichen sasser und etc. patches. Zu dem Zeitpunkt wo ich die logfile kopiert habe waren allerdings keine Filesharingprogs aktiv, aber trotzdem diese Zugriffe?? Manchmal hab ich auch port 6882, also bittorrent obwohl ich zu dem zeitpunkt kein bt.client laufen habe. wofür sind denn die ports 135 und 445 da? diese ständigen "Angriffe" lähmen stark mein i-net speed. leider geht das auch net mit reconnecten, also ner neuen WAN IP, weg.

 

[werkam]

Da Du diese Programme öfters benutzt, werden doch Deine Adressen bei anderen Usern vorhanden sein, damit sie auch bei Dir was laden können. Wenn nun solch einer versucht etwas von Deinem Rechner zu holen, scannt er den Port durch und stellt fest, das Du nicht online bist oder das Programm nicht gestartet ist.
Port 135 ist einer der wahrscheinlich in Suchmaschinen meist gesuchte und für Anwender von Firewalls regelrecht gehasste Port. Er ist bei Sicherheits-Scans geöffnet und macht allem Anschein nach rätselhafte Dinge. Gefährlich ist er nicht, denn er gehört zur Gruppe der NetBIOS Ports, die durchaus sinnvolle Funktionen zur Verfügung stellen, welche allerdings auch von Angriffern genutzt werden können.
Schliessen lässt sich der Port 135 recht einfach. Öffnen Sie die Eigenschaften der Netzwerkverbindungen. Wählen Sie das Netzwerkprotokoll TCP/IP, Erweiterte Eigenschaften aus. Im Register WINS müssen Sie nun NetBios über TCP/IP deaktivieren. Die Ports 135 bis 139 sollten bei einem erneuten Scan anschliessend geschlossen sein.

Port 445 wird meist z.B. vom Sasser benutzt.
Er stellt auf dem TCP-Port 445 eine Verbindung zu der generierten IP-Adresse her, um festzustellen, ob ein Remote-Computer online ist.
Wenn eine Verbindung zu einem Computer hergestellt werden konnte, sendet der Wurm Shellcode an diesen Computer, durch den der Wurm eine Remote-Shell auf dem TCP-Port 9996 öffnen kann.
Der Wurm verwendet die Shell auf dem Remote-Computer, um auf Port 5554 wieder eine Verbindung zum FTP-Server des infizierten Computers herzustellen und eine Kopie des Wurms abzurufen. Der Name dieser Kopie besteht aus vier oder fünf Ziffern und der angehängten Zeichenfolge _up.exe (z. B. 74354_up.exe).
Der Prozess Lsass.exe stürzt ab, nachdem der Wurm die LSASS-Schwachstelle von Windows ausgenutzt hat. Windows zeigt eine Warnmeldung an und schaltet das System dann innerhalb von einer Minute ab.
Er erstellt eine Datei unter C:\win.log, die die IP-Adresse des Computers enthält, den der Wurm als letztes zu infizieren versucht hat. Außerdem enthält die Datei die Anzahl der infizierten Computer.
Da solltest Du auf jeden Fall was unternehmen, wenn Du Dich noch nicht geschützt hast.

 

[Erazor_XP]

danke werkam für die vielen infos! naja wie gesagt ich hänge hinter nem router, der sperrt ja standardmäßig diese ports?! habe ja auch XP ServicePack2 RC2 drauf da sind die ganzen sasser-patches doch dabei.. windowsfirewall ist aktiv und antivir läuft auch noch, also da kann eigentlich nichts draufkommen. Das eigentliche problem ist nur, dass ich manchmal nur noch ca 10kbytes download habe (DSL) das nervt schon ein bisschen. kann man da garnichts gegen tuen gegeb diese ganzen anfragen von 135 und 445 etc. ???

 

[The Prophet]

Unauthorisierte Anfragen am Router werden automatisch verworfen. Solange es sich dabei nicht um eine gezielten DoS Angriff handelt solltest du davon nix merken. Bei meinem alten SMC kam das auch laufend und es ging alles top. Im Grunde genommen ist es das wodurch hier immer die neuen Threads enstehen ala "Hilfe ich werde gescannt, ahh Portscans und werde ich gehackt "

Check dein Rechner mal durch, was bei dir ankommt is normale Interntraffic.

 

[neurologe]

hab exakt das gleiche problem. (d-link di-604)

es ist auch definitiv so, dass die internetverbindung "langsamer" ist
(des öfteren "seite kann nicht angezeigt werden", manche bilder werden nicht angezeigt, ...),
seit diese einträge auftauchen.

normalerweise steht in diesem log nur wann der router rausgewählt hat,
oder wenn mal die telekom nicht erreichbar ist,

aber,
verbindungsversuche von emule usw. clients bzw. auch zu hochzeiten
des sasser, blaster, ... standen hier keine einträge drin.

es muss sich also hier um etwas anderes handeln
und nicht nur um normalen internettraffic.

 

[The Prophet]

hab exakt das gleiche problem. (d-link di-604)

es ist auch definitiv so, dass die internetverbindung "langsamer" ist
(des öfteren "seite kann nicht angezeigt werden", manche bilder werden nicht angezeigt, ...),
seit diese einträge auftauchen.

normalerweise steht in diesem log nur wann der router rausgewählt hat,
oder wenn mal die telekom nicht erreichbar ist,

aber,
verbindungsversuche von emule usw. clients bzw. auch zu hochzeiten
des sasser, blaster, ... standen hier keine einträge drin.

es muss sich also hier um etwas anderes handeln
und nicht nur um normalen internettraffic.

Wenn dein Rechner sauber ist dann ist es definitiv normaler Traffic. Geh doch einfach mal die Ports durch und mach dir nen Reim drauf. Wenn dein Internet dadurch langsamer wird dann ist der arme D-Link wohl überlastet.