11
Seltsamer unbekannter IP-Bereich 188.111.53.xx
Hallo Zusammen,
in meinen täglichen Report und den Logfiles meiner Firewall sehe ich regelmäßig Verbindungen von allen internen Clients und Servern zu den IP-Adressbereich 188.111.53.xxx und auf die Port's 80 + 443.
Trotz längerer erfolgloser Recherche und google-suche finde ich nicht heraus, wem dieser Adressbereich gehört oder welcher Prozess die Verbindungen aufbaut.
Ausser das der gesamte IP-Adressbereich von 188.96.0.0 bis 188.111.255.255 dem Carrier Arcor bzw. vodafone gehört und in Deutschland gehostet ist finde ich keine weiteren Angaben.
Auf ein Rechner habe ich mit einen Port-Monitor (Currports) die Ports und Prozesse überwacht, aber nur beim öffnen von Adobe Reader diesen Adressbereich gesehen.
Da aber auf den Servern kein Adobe Reader od. Flash installiert ist, macht es keinen Sinn.
Anti-Virenscanner (ESET) findet auch keine Bedrohung (auch nicht im Offline-Scan).
Kennt jemand von Ihnen diesen Adressbereich 188.111.53.xx bzw. ist bekannt welcher Dienst oder Prozess sich dahinter verbirgt ? Oder handelt es sich um eine bekannte Schadsoftware ?
techn. Gegebenheiten: Clients: Windows XP-SP3 mit MS Office/Java/Adobe Reader+Flash/Firefox/ICQ, Server: Windows 2003 Server
Vielen Dank im voraus.
Gruß Pivi
in meinen täglichen Report und den Logfiles meiner Firewall sehe ich regelmäßig Verbindungen von allen internen Clients und Servern zu den IP-Adressbereich 188.111.53.xxx und auf die Port's 80 + 443.
Trotz längerer erfolgloser Recherche und google-suche finde ich nicht heraus, wem dieser Adressbereich gehört oder welcher Prozess die Verbindungen aufbaut.
Ausser das der gesamte IP-Adressbereich von 188.96.0.0 bis 188.111.255.255 dem Carrier Arcor bzw. vodafone gehört und in Deutschland gehostet ist finde ich keine weiteren Angaben.
Auf ein Rechner habe ich mit einen Port-Monitor (Currports) die Ports und Prozesse überwacht, aber nur beim öffnen von Adobe Reader diesen Adressbereich gesehen.
Da aber auf den Servern kein Adobe Reader od. Flash installiert ist, macht es keinen Sinn.
Anti-Virenscanner (ESET) findet auch keine Bedrohung (auch nicht im Offline-Scan).
Kennt jemand von Ihnen diesen Adressbereich 188.111.53.xx bzw. ist bekannt welcher Dienst oder Prozess sich dahinter verbirgt ? Oder handelt es sich um eine bekannte Schadsoftware ?
techn. Gegebenheiten: Clients: Windows XP-SP3 mit MS Office/Java/Adobe Reader+Flash/Firefox/ICQ, Server: Windows 2003 Server
Vielen Dank im voraus.
Gruß Pivi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 176497
Url: https://administrator.de/contentid/176497
Printed on: April 18, 2024 at 14:04 o'clock
11 Comments
Latest comment
Moin,
hilft Dir das weiter: http://dnstree.com/188/111/53/
Sieht nach arcor aus.
Th.
EDIT: und das noch: http://www.robtex.com/cnet/188.111.53.html
hilft Dir das weiter: http://dnstree.com/188/111/53/
Sieht nach arcor aus.
Th.
EDIT: und das noch: http://www.robtex.com/cnet/188.111.53.html
??? Ich versteh dein Problem nicht ???
Über die Externe IP 188.111.53.xx greift jemand über PORT 80 bzw. 443 auf deinen Server zu. Wenn du einen SBS Server nutzt stehen hinter den Ports Der Exchange Server genauer gesagt der OWA (Outlook Web Access) was bedeuten würde das sich jemand von extern die Mails auf deinem Server ansieht oder mails über deinen Server verschickt.
LG Andreas
Über die Externe IP 188.111.53.xx greift jemand über PORT 80 bzw. 443 auf deinen Server zu. Wenn du einen SBS Server nutzt stehen hinter den Ports Der Exchange Server genauer gesagt der OWA (Outlook Web Access) was bedeuten würde das sich jemand von extern die Mails auf deinem Server ansieht oder mails über deinen Server verschickt.
LG Andreas
Moin,
hast Du den Adobe Reader evtl. über einen Mirror-Server bei vodafone/arcor runtergeladen und daher versucht der AR beim Aufruf einen Verbindung dorthin aufzubauen, um nach neuen Updates zu suchen?
Gruß J
chem
hast Du den Adobe Reader evtl. über einen Mirror-Server bei vodafone/arcor runtergeladen und daher versucht der AR beim Aufruf einen Verbindung dorthin aufzubauen, um nach neuen Updates zu suchen?
Gruß J
chem
Danke für die Links. Aber ich habe auch schon ermittelt das der Adressbereich zu arcor gehört. Auch wenn unser Internetprovider arcor bzw. vodafone ist verstehe ich es nicht, weil nur der interne DNS-Server anfragen an festgelegte ext. DNS-Server (Weiterleitung) stellen darf. Für die Clients ist Port 53 von intern geblockt.
Einfach mal einen sniffer mitlaufen lassen. Dann sieht man, was da drüber geht. Vielleicht hat ja jemand eine falsche proxy.pac erstellt. und alle System greifen darüber zu.
Ach ja meine Kristallkugel sagt, daß vielleicht jemand ein Utility installieret hat, daß bei jeder Aktion nachschaut, ob die Programme noch aktuell sind.
Das einfachste wäre, mal die IP-Adressen zu blocken. Dann sieht man, was plötzlich nicht mehr geht.
lks
Ach ja meine Kristallkugel sagt, daß vielleicht jemand ein Utility installieret hat, daß bei jeder Aktion nachschaut, ob die Programme noch aktuell sind.
Das einfachste wäre, mal die IP-Adressen zu blocken. Dann sieht man, was plötzlich nicht mehr geht.
lks
@Ausserwoeger:
Nein ich hoffe doch nicht und das wäre mir bestimmt aufgefallen.
Es ist zwar ein SBS 2003 mit Exchange-Server in Betrieb und auf OWA ist intern der Zugriff auch möglich, aber die Ports 80 +443 sind auf der Firewall von extern und intern geschlossen !
Der Exchange ist auch nicht von extern erreichbar und der MSX darf sich nur mit den Mailserver von unseren ISP verbinden. Und der Webtraffic wird über ein Proxy mit zusätzl. Virenscanner auf der Firewall geregelt.
Aber dann würden auch nicht alle Clients und int. Server Verbindungsversuche auf den genannten Adressbereich aufbauen.
Da Ports 80+443 geschlossen sind werden auch 2/3 geblockt, aber z.T. gibt es erfolgreiche Verbindungen die ich manchmal nicht in mein Firewall-Logs wieder finde aber im FW-Tagesbericht aufgelistet werden.
Wenn ich es richtig aus den Logs interpretiere sind es auch Downloads und keine Uploads. Dennoch würde ich gerne in Erfahrung bringen was es ist.
Gruß Pivi
Nein ich hoffe doch nicht und das wäre mir bestimmt aufgefallen.
Es ist zwar ein SBS 2003 mit Exchange-Server in Betrieb und auf OWA ist intern der Zugriff auch möglich, aber die Ports 80 +443 sind auf der Firewall von extern und intern geschlossen !
Der Exchange ist auch nicht von extern erreichbar und der MSX darf sich nur mit den Mailserver von unseren ISP verbinden. Und der Webtraffic wird über ein Proxy mit zusätzl. Virenscanner auf der Firewall geregelt.
Aber dann würden auch nicht alle Clients und int. Server Verbindungsversuche auf den genannten Adressbereich aufbauen.
Da Ports 80+443 geschlossen sind werden auch 2/3 geblockt, aber z.T. gibt es erfolgreiche Verbindungen die ich manchmal nicht in mein Firewall-Logs wieder finde aber im FW-Tagesbericht aufgelistet werden.
Wenn ich es richtig aus den Logs interpretiere sind es auch Downloads und keine Uploads. Dennoch würde ich gerne in Erfahrung bringen was es ist.
Gruß Pivi
@Jochem: Also meines Wissens habe ich den AR direkt von adobe.com heruntergeladen. Aktualisieren tue ich entweder über den eigenen Adobeupdater oder installiere die neue Vollversion drüber.
Gruß Pivi
Gruß Pivi
Zitat von @pivi:
@Ausserwoeger:
Nein ich hoffe doch nicht und das wäre mir bestimmt aufgefallen.
Es ist zwar ein SBS 2003 mit Exchange-Server in Betrieb und auf OWA ist intern der Zugriff auch möglich, aber die Ports 80
+443 sind auf der Firewall von extern und intern geschlossen !
Der Exchange ist auch nicht von extern erreichbar und der MSX darf sich nur mit den Mailserver von unseren ISP verbinden. Und der
Webtraffic wird über ein Proxy mit zusätzl. Virenscanner auf der Firewall geregelt.
Aber dann würden auch nicht alle Clients und int. Server Verbindungsversuche auf den genannten Adressbereich aufbauen.
Da Ports 80+443 geschlossen sind werden auch 2/3 geblockt, aber z.T. gibt es erfolgreiche Verbindungen die ich manchmal nicht in
mein Firewall-Logs wieder finde aber im FW-Tagesbericht aufgelistet werden.
Wenn ich es richtig aus den Logs interpretiere sind es auch Downloads und keine Uploads. Dennoch würde ich gerne in Erfahrung
bringen was es ist.
Gruß Pivi
@Ausserwoeger:
Nein ich hoffe doch nicht und das wäre mir bestimmt aufgefallen.
Es ist zwar ein SBS 2003 mit Exchange-Server in Betrieb und auf OWA ist intern der Zugriff auch möglich, aber die Ports 80
+443 sind auf der Firewall von extern und intern geschlossen !
Der Exchange ist auch nicht von extern erreichbar und der MSX darf sich nur mit den Mailserver von unseren ISP verbinden. Und der
Webtraffic wird über ein Proxy mit zusätzl. Virenscanner auf der Firewall geregelt.
Aber dann würden auch nicht alle Clients und int. Server Verbindungsversuche auf den genannten Adressbereich aufbauen.
Da Ports 80+443 geschlossen sind werden auch 2/3 geblockt, aber z.T. gibt es erfolgreiche Verbindungen die ich manchmal nicht in
mein Firewall-Logs wieder finde aber im FW-Tagesbericht aufgelistet werden.
Wenn ich es richtig aus den Logs interpretiere sind es auch Downloads und keine Uploads. Dennoch würde ich gerne in Erfahrung
bringen was es ist.
Gruß Pivi
Also greift ein interner Client von dir auf die IP mit den Ports 80 und 443 zu ! Naja um das heraus zu finden bräuchte ich die genaue IP ! Es handelt sich hier jedenfalls über eine HTTP und HTTPS Anwendung, könnte vieles sein. Download von Daten wie zb. über ELBA oder Internetbanking wäre denkbar oder andere Anwendungen in die Richtung.
PS: Du kannst aber auch einfach mal einen Reverse DNS lookup machen um zu erfahren welcher DNS eintrag hinter der IP steckt. Das sagt meistens schon viel aus. wenn da sowas wie www.movies..... raus kommt weisst du ja bescheid.
Was ich mich noch Frage was ist das für eine Firewall bei der die Ports gesperrt sind und 2 von 3 Versuchen gesperrt werden und dann trotzdem ein Download erfolgt ??? Ich würde da stark über ein Firmwareupdate nachdenken bzw. über eine neue Firewall.
LG Andreas
Hallo Lochkartenstanzer,
wo sollte ich am besten den Sniffer laufen lassen, auf einen int. Rechner oder zw. LAN und Firewall ?
Denn auf meiner Firewall sollte ich auch alle Verbindungen sehen, aber kann ja nicht ermitteln welche Anwendung die Verbindung herstellt.
Ich bin der einzige Admin vor Ort und mir ist nicht bewusst solch ein Tool installiert zu haben.
Wie schon bei Mitglied Ausserwoeger erwähnt sind die Ports 80+443 geschlossen und leider kann ich, auf der Firewall, nicht einen Adressbereich ohne bekannte Netzmaske sperren, da keine Wildcards möglich sind.
Gruß Pivi
wo sollte ich am besten den Sniffer laufen lassen, auf einen int. Rechner oder zw. LAN und Firewall ?
Denn auf meiner Firewall sollte ich auch alle Verbindungen sehen, aber kann ja nicht ermitteln welche Anwendung die Verbindung herstellt.
Ich bin der einzige Admin vor Ort und mir ist nicht bewusst solch ein Tool installiert zu haben.
Wie schon bei Mitglied Ausserwoeger erwähnt sind die Ports 80+443 geschlossen und leider kann ich, auf der Firewall, nicht einen Adressbereich ohne bekannte Netzmaske sperren, da keine Wildcards möglich sind.
Gruß Pivi
Wie schon bei Mitglied Ausserwoeger erwähnt sind die Ports 80+443 geschlossen und leider kann ich, auf der Firewall, nicht
einen Adressbereich ohne bekannte Netzmaske sperren, da keine Wildcards möglich sind.
Gruß Pivi
einen Adressbereich ohne bekannte Netzmaske sperren, da keine Wildcards möglich sind.
Gruß Pivi
Gesperrt schon aber ich nehme an nur von Extern nach intern den hättest du die ports auch von Intern nach extern gesperrt könnte kein Client Internet surfen.
LG
Du hast Doch 188.111.53.xxx angegeben.
Sofern es genau eine Adresse ist gibst Du 188.111.53.xxx/32 an. Ansonsten je nach den Adressen die da auftauchen
188.111.53.xxx/24,
188.111.0.xxx/16,
oder gar 188.96.0.0/12 für das komplette AS3209.
Dann siehst Du ja, wer schreit. Und wenn keiner schreit, wars wohl nicht so wichtig.
lks
nachtrag:
Du kannst entweder auf der Firewall sniffen, die meisten Firewalls haben diese Möglichkeit, ggf muß man auf Shell-Ebene arbeiten.
oder Du läßt wireshark (oder einen anderen sniffer) auf dem Client, der die verbindung initiiert mitlaufen.
lks
Sofern es genau eine Adresse ist gibst Du 188.111.53.xxx/32 an. Ansonsten je nach den Adressen die da auftauchen
188.111.53.xxx/24,
188.111.0.xxx/16,
oder gar 188.96.0.0/12 für das komplette AS3209.
Dann siehst Du ja, wer schreit. Und wenn keiner schreit, wars wohl nicht so wichtig.
lks
nachtrag:
Du kannst entweder auf der Firewall sniffen, die meisten Firewalls haben diese Möglichkeit, ggf muß man auf Shell-Ebene arbeiten.
oder Du läßt wireshark (oder einen anderen sniffer) auf dem Client, der die verbindung initiiert mitlaufen.
lks
