"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Trojan? Portscans? ...weird log entries...

DaVe dA RiPPA 20.12.2004 - 05:05 730 5
Posts

DaVe dA RiPPA

MASTERMIND
Avatar
Registered: Jun 2001
Location: Wien
Posts: 839
Folgende Eintragungen sind in einer WLAN.log in c:\, und ich werde absolut nicht schlau daraus:

Code:
#Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
2004-12-20 04:37:26 OPEN TCP 192.168.1.3 207.46.250.101 1267 80 - - - - - - - - -
2004-12-20 04:37:27 CLOSE TCP 192.168.1.3 207.46.250.101 1267 80 - - - - - - - - -
2004-12-20 04:37:48 CLOSE TCP 192.168.1.3 207.46.196.121 1266 80 - - - - - - - - -
2004-12-20 04:37:50 OPEN TCP 192.168.1.3 207.46.250.101 1269 80 - - - - - - - - -
2004-12-20 04:37:51 OPEN TCP 192.168.1.3 207.46.196.121 1270 80 - - - - - - - - -
2004-12-20 04:37:51 CLOSE TCP 192.168.1.3 207.46.250.101 1269 80 - - - - - - - - -
2004-12-20 04:37:51 OPEN TCP 192.168.1.3 207.46.250.101 1271 80 - - - - - - - - -
2004-12-20 04:37:52 CLOSE TCP 192.168.1.3 207.46.250.101 1271 80 - - - - - - - - -
2004-12-20 04:37:57 CLOSE TCP 192.168.1.3 207.46.196.121 1270 80 - - - - - - - - -
2004-12-20 04:38:01 OPEN TCP 192.168.1.3 207.46.250.101 1273 80 - - - - - - - - -
2004-12-20 04:38:01 OPEN TCP 192.168.1.3 207.46.196.121 1274 80 - - - - - - - - -
2004-12-20 04:38:02 CLOSE TCP 192.168.1.3 207.46.250.101 1273 80 - - - - - - - - -
2004-12-20 04:38:02 OPEN TCP 192.168.1.3 207.46.250.101 1275 80 - - - - - - - - -
2004-12-20 04:38:02 CLOSE TCP 192.168.1.3 207.46.250.101 1275 80 - - - - - - - - -
2004-12-20 04:38:10 CLOSE TCP 192.168.1.3 207.46.196.121 1274 80 - - - - - - - - -
2004-12-20 04:38:20 OPEN TCP 192.168.1.3 207.46.250.101 1277 80 - - - - - - - - -
2004-12-20 04:38:20 OPEN TCP 192.168.1.3 207.46.196.121 1278 80 - - - - - - - - -
2004-12-20 04:38:20 CLOSE TCP 192.168.1.3 207.46.250.101 1277 80 - - - - - - - - -
2004-12-20 04:38:21 OPEN TCP 192.168.1.3 207.46.250.101 1279 80 - - - - - - - - -
2004-12-20 04:38:21 CLOSE TCP 192.168.1.3 207.46.250.101 1279 80 - - - - - - - - -
2004-12-20 04:39:26 CLOSE TCP 192.168.1.3 207.46.196.121 1278 80 - - - - - - - - -
2004-12-20 04:40:13 CLOSE UDP 192.168.1.3 192.168.1.1 1029 53 - - - - - - - - -
2004-12-20 04:40:38 OPEN UDP 192.168.1.3 192.168.1.1 1029 53 - - - - - - - - -
2004-12-20 04:40:39 OPEN TCP 192.168.1.3 206.112.112.157 1280 80 - - - - - - - - -
2004-12-20 04:40:48 CLOSE TCP 192.168.1.3 206.112.112.157 1280 80 - - - - - - - - -
2004-12-20 04:42:13 CLOSE UDP 192.168.1.3 192.168.1.1 1029 53 - - - - - - - - -
2004-12-20 04:43:17 OPEN UDP 192.168.1.3 192.168.1.1 1029 53 - - - - - - - - -
2004-12-20 04:43:17 OPEN TCP 192.168.1.3 206.112.112.157 1283 80 - - - - - - - - -
2004-12-20 04:43:27 CLOSE TCP 192.168.1.3 206.112.112.157 1283 80 - - - - - - - - -
2004-12-20 04:45:13 CLOSE UDP 192.168.1.3 192.168.1.1 1029 53 - - - - - - - - -
2004-12-20 04:45:30 OPEN UDP 192.168.1.3 192.168.1.1 1029 53 - - - - - - - - -
2004-12-20 04:45:30 OPEN TCP 192.168.1.3 207.46.250.101 1285 80 - - - - - - - - -
2004-12-20 04:45:30 OPEN TCP 192.168.1.3 207.46.196.121 1286 80 - - - - - - - - -
2004-12-20 04:45:30 CLOSE TCP 192.168.1.3 207.46.250.101 1285 80 - - - - - - - - -
2004-12-20 04:45:31 OPEN TCP 192.168.1.3 207.46.250.101 1287 80 - - - - - - - - -
2004-12-20 04:45:32 CLOSE TCP 192.168.1.3 207.46.250.101 1287 80 - - - - - - - - -

Folgende Anmerkungen:

--> Das File ist 25MB groß, es kommen ständig Entries dazu. (vgl. Timestamps)

--> Systematik bei den Ports

--> Betrifft eigentlich nicht WLAN sondern nur normales LAN (WLAN deaktiviert)

--> Hänge hinter einem Router mit (Schmalspur)firewall

--> WinXP-Firewall aktiviert

Mein Schluss bisher: Das muss irgendwie von innen ausgelöst werden, weil sonst dürften weder UDP- noch TCP-Pakete einfach so an meinen PC weitergeroutet werden. Sie müssten vom Router geblockt werden (eigentlich, oder?)?

Am PC laufen internetmäßig nur Skype und Trillian (ICQ). Alle Win-Updates installiert. SP2.

Bin für jede Hilfe dankbar! Ich werd echt nicht schlau draus. :(

MfG
DaVe

//Testweise Traceroutes haben ergeben:

1x irgendwo in Nordamerika (USA)
1x irgendwo bei Stockholm
1x Australien via Los Angeles (ist das die normale Route von Europa nach Australien? (oder Proxy?))
Bearbeitet von DaVe dA RiPPA am 20.12.2004, 05:09

that

Hoffnungsloser Optimist
Avatar
Registered: Mar 2000
Location: MeidLing
Posts: 11338
Sieht eigentlich nach normalem Surf-Traffic aus. Stelle mal fest von welchem Programm das ausgeht (müsste z.B. mit tcpview von http://www.sysinternals.com gehen).

HowlingWolf

...
Avatar
Registered: Jul 2001
Location: 2340
Posts: 1316
Is doch eh ganz normale Traffic... von source (192.1681.3) nach destination (zB 207.46.250.101, usw.)

Port 80 ist definitiv ein Webserver.
Port 53 ist ein DNS Lookup, denke mal er löst eine URL auf?

Ergo, wirklich ganz normaler Surf - Traffic...
nix auffälliges, meines Erachtens...

/edit:
Das Log-File wird wohl das der Windows Firewall sein und immer schön brav gefüllt werden bis max 25 MB, dann fliegen die ältesten Einträge raus, usw.

Versteh deine Frage nicht so ganz?
Bearbeitet von HowlingWolf am 20.12.2004, 11:18

DaVe dA RiPPA

MASTERMIND
Avatar
Registered: Jun 2001
Location: Wien
Posts: 839
Okay, das beruhigt mich, hab mir das grad mit dem Tool angeschaut.

Was mir da noch auffällt, ist, dass svchost.exe und tcpsvcs.exe ziemlich viel offen haben (je 5-10 Connections). Das dürfte normal sein, oder?

HowlingWolf

...
Avatar
Registered: Jul 2001
Location: 2340
Posts: 1316
Naja... also die svchost.exe is eigentlich normal... nur
tcpsvcs.exe - da könnts schon ein kleineres problem geben, siehe auch:

http://securityresponse.symantec.co...or.egghead.html

Bitte nicht falsch verstehen, tcpsvcs.exe ist durchaus auch ein normales Service (TCPServices) nur hab ich bis jetzt kein Standard-WindowsXP mit diesem Service laufen gesehn.

/edit:
Am Besten du siehst dir das ganze mal mit dem
Systinternals Prozess Explorer an.
Dann sag mal welches programm den tcpsvcs - Prozess startet...
Bearbeitet von HowlingWolf am 21.12.2004, 09:26

DaVe dA RiPPA

MASTERMIND
Avatar
Registered: Jun 2001
Location: Wien
Posts: 839
Zitat
It creates the folder %systemroot%\System32\Vchost and then copies all of its program files into that folder.

ist nicht vorhanden, also ich denk es sollte passen...
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz