Trojan? Portscans? ...weird log entries...
DaVe dA RiPPA 20.12.2004 - 05:05 730 5
DaVe dA RiPPA
MASTERMIND
|
Folgende Eintragungen sind in einer WLAN.log in c:\, und ich werde absolut nicht schlau daraus: #Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
2004-12-20 04:37:26 OPEN TCP 192.168.1.3 207.46.250.101 1267 80 - - - - - - - - -
2004-12-20 04:37:27 CLOSE TCP 192.168.1.3 207.46.250.101 1267 80 - - - - - - - - -
2004-12-20 04:37:48 CLOSE TCP 192.168.1.3 207.46.196.121 1266 80 - - - - - - - - -
2004-12-20 04:37:50 OPEN TCP 192.168.1.3 207.46.250.101 1269 80 - - - - - - - - -
2004-12-20 04:37:51 OPEN TCP 192.168.1.3 207.46.196.121 1270 80 - - - - - - - - -
2004-12-20 04:37:51 CLOSE TCP 192.168.1.3 207.46.250.101 1269 80 - - - - - - - - -
2004-12-20 04:37:51 OPEN TCP 192.168.1.3 207.46.250.101 1271 80 - - - - - - - - -
2004-12-20 04:37:52 CLOSE TCP 192.168.1.3 207.46.250.101 1271 80 - - - - - - - - -
2004-12-20 04:37:57 CLOSE TCP 192.168.1.3 207.46.196.121 1270 80 - - - - - - - - -
2004-12-20 04:38:01 OPEN TCP 192.168.1.3 207.46.250.101 1273 80 - - - - - - - - -
2004-12-20 04:38:01 OPEN TCP 192.168.1.3 207.46.196.121 1274 80 - - - - - - - - -
2004-12-20 04:38:02 CLOSE TCP 192.168.1.3 207.46.250.101 1273 80 - - - - - - - - -
2004-12-20 04:38:02 OPEN TCP 192.168.1.3 207.46.250.101 1275 80 - - - - - - - - -
2004-12-20 04:38:02 CLOSE TCP 192.168.1.3 207.46.250.101 1275 80 - - - - - - - - -
2004-12-20 04:38:10 CLOSE TCP 192.168.1.3 207.46.196.121 1274 80 - - - - - - - - -
2004-12-20 04:38:20 OPEN TCP 192.168.1.3 207.46.250.101 1277 80 - - - - - - - - -
2004-12-20 04:38:20 OPEN TCP 192.168.1.3 207.46.196.121 1278 80 - - - - - - - - -
2004-12-20 04:38:20 CLOSE TCP 192.168.1.3 207.46.250.101 1277 80 - - - - - - - - -
2004-12-20 04:38:21 OPEN TCP 192.168.1.3 207.46.250.101 1279 80 - - - - - - - - -
2004-12-20 04:38:21 CLOSE TCP 192.168.1.3 207.46.250.101 1279 80 - - - - - - - - -
2004-12-20 04:39:26 CLOSE TCP 192.168.1.3 207.46.196.121 1278 80 - - - - - - - - -
2004-12-20 04:40:13 CLOSE UDP 192.168.1.3 192.168.1.1 1029 53 - - - - - - - - -
2004-12-20 04:40:38 OPEN UDP 192.168.1.3 192.168.1.1 1029 53 - - - - - - - - -
2004-12-20 04:40:39 OPEN TCP 192.168.1.3 206.112.112.157 1280 80 - - - - - - - - -
2004-12-20 04:40:48 CLOSE TCP 192.168.1.3 206.112.112.157 1280 80 - - - - - - - - -
2004-12-20 04:42:13 CLOSE UDP 192.168.1.3 192.168.1.1 1029 53 - - - - - - - - -
2004-12-20 04:43:17 OPEN UDP 192.168.1.3 192.168.1.1 1029 53 - - - - - - - - -
2004-12-20 04:43:17 OPEN TCP 192.168.1.3 206.112.112.157 1283 80 - - - - - - - - -
2004-12-20 04:43:27 CLOSE TCP 192.168.1.3 206.112.112.157 1283 80 - - - - - - - - -
2004-12-20 04:45:13 CLOSE UDP 192.168.1.3 192.168.1.1 1029 53 - - - - - - - - -
2004-12-20 04:45:30 OPEN UDP 192.168.1.3 192.168.1.1 1029 53 - - - - - - - - -
2004-12-20 04:45:30 OPEN TCP 192.168.1.3 207.46.250.101 1285 80 - - - - - - - - -
2004-12-20 04:45:30 OPEN TCP 192.168.1.3 207.46.196.121 1286 80 - - - - - - - - -
2004-12-20 04:45:30 CLOSE TCP 192.168.1.3 207.46.250.101 1285 80 - - - - - - - - -
2004-12-20 04:45:31 OPEN TCP 192.168.1.3 207.46.250.101 1287 80 - - - - - - - - -
2004-12-20 04:45:32 CLOSE TCP 192.168.1.3 207.46.250.101 1287 80 - - - - - - - - -
Folgende Anmerkungen: --> Das File ist 25MB groß, es kommen ständig Entries dazu. (vgl. Timestamps) --> Systematik bei den Ports --> Betrifft eigentlich nicht WLAN sondern nur normales LAN (WLAN deaktiviert) --> Hänge hinter einem Router mit (Schmalspur)firewall --> WinXP-Firewall aktiviert Mein Schluss bisher: Das muss irgendwie von innen ausgelöst werden, weil sonst dürften weder UDP- noch TCP-Pakete einfach so an meinen PC weitergeroutet werden. Sie müssten vom Router geblockt werden (eigentlich, oder?)? Am PC laufen internetmäßig nur Skype und Trillian (ICQ). Alle Win-Updates installiert. SP2. Bin für jede Hilfe dankbar! Ich werd echt nicht schlau draus. MfG DaVe //Testweise Traceroutes haben ergeben: 1x irgendwo in Nordamerika (USA) 1x irgendwo bei Stockholm 1x Australien via Los Angeles (ist das die normale Route von Europa nach Australien? (oder Proxy?))
Bearbeitet von DaVe dA RiPPA am 20.12.2004, 05:09
|
that
Hoffnungsloser Optimist
|
Sieht eigentlich nach normalem Surf-Traffic aus. Stelle mal fest von welchem Programm das ausgeht (müsste z.B. mit tcpview von http://www.sysinternals.com gehen).
|
HowlingWolf
...
|
Is doch eh ganz normale Traffic... von source (192.1681.3) nach destination (zB 207.46.250.101, usw.)
Port 80 ist definitiv ein Webserver. Port 53 ist ein DNS Lookup, denke mal er löst eine URL auf?
Ergo, wirklich ganz normaler Surf - Traffic... nix auffälliges, meines Erachtens...
/edit: Das Log-File wird wohl das der Windows Firewall sein und immer schön brav gefüllt werden bis max 25 MB, dann fliegen die ältesten Einträge raus, usw.
Versteh deine Frage nicht so ganz?
Bearbeitet von HowlingWolf am 20.12.2004, 11:18
|
DaVe dA RiPPA
MASTERMIND
|
Okay, das beruhigt mich, hab mir das grad mit dem Tool angeschaut.
Was mir da noch auffällt, ist, dass svchost.exe und tcpsvcs.exe ziemlich viel offen haben (je 5-10 Connections). Das dürfte normal sein, oder?
|
HowlingWolf
...
|
Naja... also die svchost.exe is eigentlich normal... nur tcpsvcs.exe - da könnts schon ein kleineres problem geben, siehe auch: http://securityresponse.symantec.co...or.egghead.htmlBitte nicht falsch verstehen, tcpsvcs.exe ist durchaus auch ein normales Service (TCPServices) nur hab ich bis jetzt kein Standard-WindowsXP mit diesem Service laufen gesehn. /edit: Am Besten du siehst dir das ganze mal mit dem Systinternals Prozess Explorer an. Dann sag mal welches programm den tcpsvcs - Prozess startet...
Bearbeitet von HowlingWolf am 21.12.2004, 09:26
|
DaVe dA RiPPA
MASTERMIND
|
It creates the folder %systemroot%\System32\Vchost and then copies all of its program files into that folder. ist nicht vorhanden, also ich denk es sollte passen...
|