viele offene Ports in den Netzwerkverbindungen

[Reinhard77]

hier möchte ich ein Problem schildern, was ich momentan mit Windows 10 habe. Dieses ist noch relativ unbenutzt und ich habe nicht viele Einstellungen bezüglich der Netzwerkverbindungen usw. vorgenommen (z.B. Port 135, 1900). Wenn ich die Netzwerkverbindungen mir über die cmd anschaue, dann sehe ich dort viele offene Ports die auf Malware hinweisen. Diese werden mir auch angezeigt, wenn ich alle (bis auf die Verbindung mit computerbase) im Browser geschlossen habe. Ich habe mit dem Online Scanner von Eset letztens einen Scan dieses PC gemacht und dort wurden einige Dateien von alten Installer Dateien von diversen gespeicherten Programmen gefunden aber eine Malware die auf einen Systembefall schließen lässt wurde nicht gefunden.

Hier mal eine .txt Datei der Ausgabe der Netzwerkverbindungen (habe den Computernamen und die IP Adressen herausgenommen, da ich nicht weiß ob, ich die hier veröffentlichen kann):

Aktive Verbindungen

  Proto  Lokale Adresse         Remoteadresse          Status
  TCP    0.0.0.0:135            name:0          ABHÖREN
  TCP    0.0.0.0:5040           name:0          ABHÖREN
  TCP    0.0.0.0:7680           name:0          ABHÖREN
  TCP    0.0.0.0:49664          name:0          ABHÖREN
  TCP    0.0.0.0:49665          name:0          ABHÖREN
  TCP    0.0.0.0:49666          name:0          ABHÖREN
  TCP    0.0.0.0:49667          name:0          ABHÖREN
  TCP    0.0.0.0:49669          name:0          ABHÖREN
  TCP    0.0.0.0:49670          name:0          ABHÖREN
  TCP    127.0.0.1:9150         name:55043      WARTEND
  TCP    127.0.0.1:9151         name:53036      WARTEND
  TCP    127.0.0.1:28385        name:0          ABHÖREN
  TCP    127.0.0.1:49350        name:0          ABHÖREN
  TCP    127.0.0.1:49351        name:0          ABHÖREN
  TCP    127.0.0.1:53020        name:9151       WARTEND
  TCP    127.0.0.1:53022        name:53021      WARTEND
  TCP    127.0.0.1:53023        name:9151       WARTEND
  TCP    127.0.0.1:55038        name:9150       WARTEND
  TCP    127.0.0.1:55039        name:9150       WARTEND
  TCP    127.0.0.1:55040        name:9150       WARTEND
  TCP    127.0.0.1:55041        name:9150       WARTEND
  TCP    127.0.0.1:55042        name:9150       WARTEND
  TCP    127.0.0.1:55044        name:9150       WARTEND
  TCP    127.0.0.1:59219        name:59220      HERGESTELLT
  TCP    127.0.0.1:59220        name:59219      HERGESTELLT
  TCP    127.0.0.1:61958        name:61959      HERGESTELLT
  TCP    127.0.0.1:61959        name:61958      HERGESTELLT
  TCP    127.0.0.1:61964        name:61965      HERGESTELLT
  TCP    127.0.0.1:61965        name:61964      HERGESTELLT
  TCP    127.0.0.1:63389        name:63390      HERGESTELLT
  TCP    127.0.0.1:63390        name:63389      HERGESTELLT
  TCP    192.168.178.20:54738   adr:https   HERGESTELLT
  TCP    192.168.178.20:54755   adr:https      HERGESTELLT
  TCP    192.168.178.20:54930   adr:https  HERGESTELLT
  TCP    192.168.178.20:54982   adr:https  WARTEND
  TCP    192.168.178.20:54988   adr:https  WARTEND
  TCP    192.168.178.20:54989   adr:https  WARTEND
  TCP    192.168.178.20:54990   adr:https  WARTEND
  TCP    192.168.178.20:54999   adr:https  HERGESTELLT
  TCP    192.168.178.20:55003   adr:https  HERGESTELLT
  TCP    192.168.178.20:55007   adr:https  HERGESTELLT
  TCP    192.168.178.20:55008   adr:https   HERGESTELLT
  TCP    192.168.178.20:55010   adr:http   HERGESTELLT
  TCP    192.168.178.20:55011   adr:http   WARTEND
  TCP    192.168.178.20:55016   script3:https          WARTEND
  TCP    192.168.178.20:55018   script3:https          WARTEND
  TCP    192.168.178.20:55020   a-0001:https           WARTEND
  TCP    192.168.178.20:55021   a-0001:https           WARTEND
  TCP    192.168.178.20:55024   adr:https   WARTEND
  TCP    192.168.178.20:55026   adr:https   HERGESTELLT
  TCP    192.168.178.20:55027   adr:http      WARTEND
  TCP    192.168.178.20:55029   adr:https  HERGESTELLT
  TCP    192.168.178.20:55031   adr:https  WARTEND
  TCP    192.168.178.20:55032   adr:https    HERGESTELLT
  TCP    192.168.178.20:55034   adr:https  HERGESTELLT
  TCP    192.168.178.20:55035   adr:https    HERGESTELLT
  TCP    192.168.178.20:55036   adr:https  HERGESTELLT
  TCP    192.168.178.20:55037   adr:http    HERGESTELLT
  TCP    192.168.178.20:55046   www:https              HERGESTELLT
  TCP    192.168.178.20:55049   a-0001:https           HERGESTELLT
  TCP    192.168.178.20:55050   adr:https     HERGESTELLT
  TCP    192.168.178.20:55051   adr:https     HERGESTELLT
  TCP    192.168.178.20:55052   adr:https    HERGESTELLT
  TCP    192.168.178.20:55053   adr:http     HERGESTELLT
  TCP    192.168.178.20:55054   adr:https   HERGESTELLT
  TCP    192.168.178.20:55055   adr:https  HERGESTELLT
  TCP    [::]:135               name:0          ABHÖREN
  TCP    [::]:7680              name:0          ABHÖREN
  TCP    [::]:49664             name:0          ABHÖREN
  TCP    [::]:49665             name:0          ABHÖREN
  TCP    [::]:49666             name:0          ABHÖREN
  TCP    [::]:49667             name:0          ABHÖREN
  TCP    [::]:49669             name:0          ABHÖREN
  TCP    [::]:49670             name:0          ABHÖREN
  UDP    0.0.0.0:1900           *:*
  UDP    0.0.0.0:5050           *:*
  UDP    0.0.0.0:5353           *:*
  UDP    0.0.0.0:5355           *:*
  UDP    127.0.0.1:1900         *:*
  UDP    127.0.0.1:61860        *:*
  UDP    127.0.0.1:62866        *:*
  UDP    privateip:1900    *:*
  UDP    privateip:61859   *:*
  UDP    [::]:5353              *:*
  UDP    [::]:5355              *:*
  UDP    [::1]:1900             *:*
  UDP    [::1]:61858            *:*
  UDP    adr:1900  *:*
  UDP    adr:61857  *:*

Wer kann mir helfen diese Ports zu schließen?

 

[Masamune2]

Nein, warum auch?
Wenn du einen Schädlingsbefall vermutest scanne dein System mit einer Boot CD/Stick wie z.B. desinfec't aus der c't. Offene Ports sind kein Indiz für einen Befall.

Die sitzt ja hinter einem Router und solange du dort keine Ports aus dem Internet auf deinen Rechner weiter leitest sind diese Dienste erst mal nur im lokalen LAN erreichbar. Wenn dir das immer noch zu viel ist kannst du die Windows Firewall auf öffentlich stellen.
Ohne Hintergrundwissen rumfummeln um Ports zu schließen bringt dir mehr Ärger als Sicherheit.

 

[forceafn]

Wo ist das Problem? Sehe nichts ungewöhnliches.

 

[Helge01]

Da auf Malware zu schließen ist völlig unmöglich. Das sind Verbindungen von Systemprozessen, die teilweise localhost als Netzwerkverbindung nutzen, um miteinander kommunizieren zu können.

 

[Reinhard77]

Nein, warum auch?
Wenn du einen Schädlingsbefall vermutest scanne dein System mit einer Boot CD/Stick wie z.B. desinfec't aus der c't. Offene Ports sind kein Indiz für einen Befall.

Die sitzt ja hinter einem Router und solange du dort keine Ports aus dem Internet auf deinen Rechner weiter leitest sind diese Dienste erst mal nur im lokalen LAN erreichbar. Wenn dir das immer noch zu viel ist kannst du die Windows Firewall auf öffentlich stellen.
Ohne Hintergrundwissen rumfummeln um Ports zu schließen bringt dir mehr Ärger als Sicherheit.

Du willst mir jetzt hier wirklich erzählen diese offnen Ports in den Bereichen 40000 - 60000 seinen keine Ports von Malware? Soweit ich weiß nuten diverse Malware Programme immer in diesen Bereichen Ports.

Da auf Malware zu schließen ist völlig unmöglich. Das sind Verbindungen von Systemprozessen, die teilweise localhost als Netzwerkverbindung nutzen, um miteinander kommunizieren zu können.

Da von Systemprozessen zu sprechen empfinde ich als grob Fahrlässig. Klar wenn man sein Geld damit verdient anderen ihr Leben unerträglich zu machen, dann muss es wahrscheinlich so sein..

 

[Helge01]

Ich bin zwar nicht gemeint, sind sie aber auch nicht. Was hat das Port mit Malware zu tun?
Die meisten Netzwerkverbindungen nutzen Port 1024 - 65535 zum Aufbau einer Verbindung. Das ist nichts ungewöhnlich sondern normal.

Dann gibt es noch Systemprozesse die auch miteinander kommunizieren möchten. Das geschieht dann über die Localhost Adresse 127.0.0.1

 

[forceafn]

Manchmal hilft ein Aluhut. Spaß bei seite, informier dich erst mal was die ausgaben von Netstat bedeuten.

 

[Graphixx]

Was hat das Port mit Malware zu tun

Frag ich mich auch gerade.

@TE:
Wie kommst Du darauf ? Wenn die Ports für Malware spezifisch wären wäre Malware an sich recht sinnbefreit, die möchte ja nicht gefunden werden. Wenn´s so einfach wäre bräuchte es keine Malwarescanner, dann würde ein einfacher Portscanner reichen.

MfG

 

[Questionmark]

In manchen Fällen ist die beste Lösung das Abziehen des LAN-Kabels!

 

[wern001]

gib doch mal den parameter -ano ein dann siehst Du zu welchem Task das gehört

 

[dermoritz]

falls es dich interessiert kannst du nachschauen wer auf welchen ports lauscht: Start->Ressourcenmonitor eingeben und öffnen -> Netzwerk-> Überwachungsports

Dort siehst du wleche Programme/Prozesse auf welchem Port lauschen

 

[Wilhelm14]

Führe die Eingabeaufforderung (cmd.exe) als Administrator aus.
Führe darin den Befehl netstat -b aus.
So kannst du sehen, welches Programm wohinter steckt.
Etwas Google zeigt gleich, wofür die >50.000er Ports sind, z.B.
https://www.wintotal.de/was-ist-ein-port/#33_Dynamische_Ports
usw.

 

[BeBur]

Du willst mir jetzt hier wirklich erzählen diese offnen Ports in den Bereichen 40000 - 60000 seinen keine Ports von Malware? Soweit ich weiß nuten diverse Malware Programme immer in diesen Bereichen Ports.

Das ist zwar richtig, aber alle möglichen seriösen Programme nutzen diese Ports ebenso. Browser benutzen diese z.B. ebenso für ihre Verbindungen.

 

[Turian]

"netstat -ano", dann hast du gleich noch die PIDs, die kannst du im Taskmanager suchen und beenden.

 

[Reinhard77]

Da auf Malware zu schließen ist völlig unmöglich. Das sind Verbindungen von Systemprozessen, die teilweise localhost als Netzwerkverbindung nutzen, um miteinander kommunizieren zu können.

Ich bin zwar nicht gemeint, sind sie aber auch nicht. Was hat das Port mit Malware zu tun?
Die meisten Netzwerkverbindungen nutzen Port 1024 - 65535 zu Aufbau einer Verbindung. Das ist nichts ungewöhnlich sondern normal.

Dann nehme ich mal als Beispiel die Adresse 23.235.227.108 die ich aus den Netzwerkverbindungen herausgesucht habe. Ein Abfrage mit whois ip ergibt, das es sich um rwhois.securedservers.com handelt. Also was habe ich mit diesem Anbieter für Server zu tun? Ich habe dort keinen Dienst in Anspruch genommen.

 

[Turian]

Du könntest natürlich auch auch einfach in der Windows-Firewall Ausgehende Regeln erstellen, welche die Ports, die du nicht zuordnen kannst, nicht raus lässt, wenn dich das beruhigt - ist allerdings keine gute Idee wenn auch nicht sicher weißt zu welchem Prozess die Verbindung gehört.

 

[Reinhard77]

"netstat -ano", dann hast du gleich noch die PIDs, die kannst du im Taskmanager suchen und beenden.

Als ob bei einer miesen Malware sich die betreffenden Tasks über den Taskmanger beenden ließen. Diese Zeiten sind lange vorbei.

Habe mal als Beispiel den Eintrag:

TCP 192.168.178.20:54930 54.213.218.169:443 HERGESTELLT 13144

ausgewählt. Es ist im Taksmanager kein Prozess mit der PID 13144 zu finden.
Ist ein Adresse von Amazon. Habe momentan hier keine Verbindung zu Amazon aufgebaut.

 

[Helge01]

"netstat -ano", dann hast du gleich noch die PIDs, die kannst du im Taskmanager suchen und beenden.

Du hast die Ironie Tags vergessen. Wenn er dadurch die ganzen Systemprozesse abschießt, geht die Kiste aus.

Ein OS bzw. Programm baut zu allen möglichen Adressen auch ohne deinen Zutun Verbindungen auf. Das ist z.B. für Updates notwendig, oder um dich zu tracken oder für die Werbung. Das macht fast jedes Programm auf deinen PC, Windows selbst auch. Es sind auch keine Domains worauf man auf des Programm schließen kann. Meist sind das Content Delivery Networks (CDN) wie AWS oder Akamai. Da solche Anbieter auch häufig missbraucht werden, kann manchmal so eine Adresse auch eine schlechte Reputation haben.

Wenn du deinen Rechner überprüfen möchtest, dann nimm so was wie Malwarebytes. Netstat ist dafür nicht gerade das geeignete Mittel.

 

[Turian]

Dann kannst du eher gar nichts dort beenden. Da würde ich eher Möglichkeiten suchen, alles so schnell es geht wieder laufen zu lassen - Skripte, Autostart, Aufgabenplanung usw. Wenn dir Rechte fehlen, würde das eher früher als später irgendwo auffallen.

 

[up.whatever]

Dann nehme ich mal als Beispiel die Adresse 23.235.227.108 die ich aus den Netzwerkverbindungen herausgesucht habe. Ein Abfrage mit whois ip ergibt, das es sich um rwhois.securedservers.com handelt. Also was habe ich mit diesem Anbieter für Server zu tun? Ich habe dort keinen Dienst in Anspruch genommen.

Woher weißt du denn so genau, wo all die Dienste und Webseiten, die du nutzt, gehostet sind?