funger
Goto Top

Verdächtiger Eintrag im Firewall Log

Ich habe seit einiger Zeit Einträge im Firewall-Log, die ich nicht zuordnen kann. Ich bitte um Hilfe, das zu identifizieren und abzustellen.

Das LAN ist ein /24 im Bereich 172.16/12. Zieladresse der verdächtigen Pakete ist immer 192.168.178.29:7000, Quelladressen sind drei Mac-Rechner im LAN (jeweils neueste Systemversion). Es handelt sich um einen Versuch zum Verbindungsaufbau per TCP (SYN-Flag gesetzt). Einer der Rechner setzt dazu immer ECE und(!) CWR (das ist ja komplett Nonsense ...). Die Pakete enthalten weiter keinen relevanten Inhalt. Die Firewall verwirft diese Pakete, weil diese nicht geroutet werden können. Im Log taucht das auf, weil ich Zugriffe auf lokal nicht vorhandene RFC-1918-Netzwerke explizit logge.

Die Zieladresse liegt in dem Bereich, den Fritzboxen üblicherweise nutzen (192.168.178/24). Ich habe keine solche HW in meinem Netzwerk. Die Rechner könnten sich die Adresse aus einem "Ausflug" in ein anderes Netzwerk gemerkt haben (Nutzung eines Gäste-WLANs in einer Urlaubsunterkunft, gemeinsame Eigenschaft der drei betroffenen Rechner), das reicht mir als Erklärung aber nicht aus.

Ich habe bereits ohne Erfolg versucht den verantwortlichen Prozess für den verdächtigen traffic auf einem der Mac-Rechner zu identifizieren (mit LittleSnitch). Während dieser Untersuchung war das Verhalten komplett verschwunden. Ich brauche vermutlich ein besseres Tool, aber da fehlt mir jetzt das notwendige Wissen.

Mit Sophos-Antivirus habe ich auf einem der Rechner nach Schad-Software gesucht: Kein Befund. Kann das trotzdem eine Schad-Software sein?

Schonmal herzlichen Dank für Anregungen!

Content-Key: 371676

Url: https://administrator.de/contentid/371676

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: Alchimedes
Lösung Alchimedes 19.04.2018 um 22:32:46 Uhr
Goto Top
Hallo,

der port 7000 bei apple wird fuer afl fileserver genutzt.

hier mal aus dem /etc/services :

afs3-fileserver 7000/udp # file server itself
afs3-fileserver 7000/tcp # file server itself

Werden die Mac Rechner vielleicht auch von den Clients von zu Hause genutzt ?

Zuerst am Mac Rechner ueberpruefen ob der Dienst laueft.
ps aux | grep afs
Du kannst den Dienst dann mit kill beenden, aber beim Systemstart sind die dann wieder da.
Mit sysctl und dem entsprechenden Optionen kannst Du den Service aus dem Kernel nach Hause schicken.

Ueber den Finder kannst Du auch den Activity Monitor starten und Prozesse analysieren.
Falls die Commandline Tools installiert sind kannst Du auch tshark oder tcpdump starten und den output ueber Wireshark analysieren.

Gruss
Mitglied: funger
funger 20.04.2018 um 06:41:33 Uhr
Goto Top
Hallo Archimedes,

vielen Dank für die Hinweise. Ist afl == afs3 == AFP? Dann will ich den Dienst nicht abschalten, alle Macs nutzen das im Netz.

Der Hinweis auf tshark ist wertvoll. Hier ein output:

  1. tshark | grep 7000
Capturing on 'Wi-Fi'
283 198 78.328614 172.27.2.82 -> 192.168.178.29 TCP 78 63496→7000 [SYN] Seq=0 Win=65535 Len=0 MSS=1460 WS=32 TSval=996294528 TSecr=0 SACK_PERM=1
199 78.331535 192.168.178.29 -> 172.27.2.82 TCP 60 7000→63496 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0

Die Antwort auf das SYN-Pakt wird durch die Firewall erzeugt. Die Regel weist per "reject" (per RST und ACK) ab, nicht per "block".

Mit Wireshark kommt man nicht weiter, das SYN-Paket hat keine Länge / keinen Inhalt. Das hatte ich schon früher untersucht.

Vermutung: Die Macs prüfen, ob ein vormals bekannter Fileserver im Netz vorhanden ist. Das würde ich dann gerne abstellen.

Frage: Wo speichern sich die Macs die vormals gültige Zieladresse?
Mitglied: aqui
Lösung aqui 20.04.2018 aktualisiert um 08:47:28 Uhr
Goto Top
Werden die Mac Rechner vielleicht auch von den Clients von zu Hause genutzt ?
Riecht ja stark danach !! Das klassische 192.168.178er Netz lässt stark eine FritzBox vermuten !

Sieht so aus als ob die Dinger auch zuhause an einer FritzBox benutzt werden die ggf. noch als NAS dient mit einem USB Stick und dort Bilder oder Videos drauf gespeichert sind. Das hat der Mac gecachet und versucht mal ob er es erreichen kann.
Oder es ist irgendeine App auf dem Mac in dem diese IP mal statisch eingetragen wurde.
Die .178 verrät ja zweifelsfrei ein FritzBox Netz.
https://support.apple.com/en-us/HT208209
http://osxdaily.com/2017/04/18/clean-caches-temporary-files-mac/
Mitglied: funger
funger 20.04.2018 um 19:21:37 Uhr
Goto Top
Ich merke gerade, daß ich ein Mißverständnis verursacht habe. Das o.a. Netzwerk ist ein Heimnetz, kein Firmennetz. Hätte ich hier wohl gleich dazusagen sollen. Aber daß sich die Rechner etwas aus einem fremden Netz (Gäste-WLAN in einer Urlaubsunterkunft) gemerkt haben könnten, ist schon wahrscheinlich.

Die Möglichkeit mit einer App, in der etwas manuell eingetragen ist, kann ich für meinen eigenen Rechner sicher ausschließen. Der Rest sind Geräte nicht technik-affiner Familienmitglieder, da halte ich das auch für unwahrscheinlich.

Aber wo cacht ein Mac, welche File Server er mal verbunden hatte? Ich habe jetzt allerdings die Caches (2. Link) noch nicht gelöscht, da mache ich vorher ein Backup ...
Mitglied: Alchimedes
Alchimedes 20.04.2018 um 22:12:04 Uhr
Goto Top
Jo, Sorry.

meinte natuerlich afs.
Die MAC-Moehren speichern die Information unter System Netzwerk.
Unter Finder oder "Gehe zu" findet man oft die Serververbindungen.
Da kann man dann ja auch unteranderem auswaehlen "Mit Server Verbinden"
Dort wuerde ich mal schauen.


Gruss
Mitglied: funger
funger 21.04.2018 um 07:41:26 Uhr
Goto Top
Beides schon geprüft: Keine entsprechenden Einträge dort.

Es bleibt ein Rätsel.

P.S. Das Thema ist als gelöst markiert. Ich habe einfach den Knopf "Zur Lösung beigetragen" verwechselt. Ich dachte das wäre eine Markierung, daß ein Beitrag nützlich ist. Das waren die Kommentare hier schon, auch wenn das Problem letztlich noch besteht.