Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Port Scanner - Port 3389

Frage Netzwerke

Mitglied: TObject

TObject (Level 1) - Jetzt verbinden

09.12.2011 um 09:56 Uhr, 5578 Aufrufe, 11 Kommentare

Hallo Admins,

ich habe mal eine Frage.
Wir haben in der Firma eine Netzwerk mit 17 Rechner.
Jetzt haben wir vom von unseren DSL - Anbieter einen Brief bekommen,
das eine oder mehrer Rechner, mit einem Programm oder was auch immer, über den Port 3389 andere Rechner,
irgendwo versucht zu connecten.
Ich habe die Header-Datei vom Anbieter bekommen und es ist immer der Remote-Port 3389.

Es sieht wie folgt aus:

date.time srcIP srcPort dstIP dstPort proto #pkts
1205.01:57:17.176 80.141.140.xxx 4935 xxx.215.246.72 3389 6 1

Jetzt müssen wir inerhalb 1 Woche heraus finden, welcher Rechner mit welchen Trojaner oder Virus versucht
nach aussen was zu tun.

Mein Frage ist, wie kann man das am besten machen ?
Ich habe mir gedacht, das ich erst mal einen Portscanner auf ejdem Rechner installiere,
der das Conneten mitprotokolliert.
Kennt Ihr ein gutes Tool, das ich nehmen kann ?
Oder gibt es eine andere Lösung, wie man das am besten heraus finden kann ?

Ich werde noch Hardwaremässig was zwichen dem Router und unserem Netzwerk "reinhängen",
damit ich solche Ports auch sperren kann.
Weiss auch da vielleicht einer, was man da nehmen kann.

Hat jemmand son ähnliches Problem schon gehabt ?

Ich hoffe jemmand weiss Rat.

Danke schon mal..

Gruss
Mitglied: RudeRaccoon
09.12.2011 um 10:07 Uhr
3389 ist der Standard Port Remote Desktop Dienste (Windows). Wird RDP bei euch verwendet zum Fernwarten evtl.?
Bitte warten ..
Mitglied: StefanKittel
09.12.2011 um 10:12 Uhr
Moin,
einfach einen richtigen Router mit Firewall. Ein Cisco RV oder ASA reicht und ist nicht so teuer.
Dort den Port 3389 ausgehend sperren und ins Protokoll eintragen lassen.
Dann weiß man nach 10 Minunten welcher PC das ist und kann sich um den kümmern.
Fertig.
Stefan
Bitte warten ..
Mitglied: brammer
09.12.2011 um 10:14 Uhr
Hallo,

3389 ist der Standard RDP Port,

Ich werde noch Hardwaremässig was zwichen dem Router und unserem Netzwerk "reinhängen",

Das sollte jeder Router können und auch viele Switche können das

Wenn du dann noch die 3 X von der destination IP lesbar gestaltest kann man auch feststellen wohin den die Verbndung gehen soll.

brammer
Bitte warten ..
Mitglied: TObject
09.12.2011 um 10:16 Uhr
Ja.
1 Rechner ist für den Remote freigeschaltet.
Der steht unter Vedacht.

Aber es muss noch ein andere oder mehrere Rechner sein.
Laut Aussage vom Anbieter, wann dieser Vorfall war, war auch der Remoterechner zwischendurch aus gewesen.
Aber der kann es natürlich auch sein.

Gruss
Bitte warten ..
Mitglied: TObject
09.12.2011 um 10:23 Uhr
Hi !

das geht aber schnell mit den Antworten.
Danke

Wir haben eine Fritzbox 7270.
So weit ich das sehen konnte, kann man nur die eingehenden Port frei schalten oder sperren.
Aber nicht wenn was versucht nach "Aussen" zu gehen.
Das sind die Adressen.
Alles Nummern die mit 131 und 134 anfangen.

Kann man daraus schon was sehen ?

1205.01:57:17.176 80.141.140.162 4935 131.215.246.72 3389 6 1
1205.02:12:51.055 80.141.140.162 4935 134.4.180.194 3389 6 1

Gruß
Bitte warten ..
Mitglied: -s-v-o-
09.12.2011 um 11:21 Uhr
Tach auch

Auf der FB 7270 ist schon der Port 3389 als "MS Remote Desktop" hinterlegt.
Einfach die "Kindersicherung" aktivieren und bei den Rechnern als "Gesperrte Anwendungen" hinterlegen.

Mit freundlichen Grüßen
-s-v-o-
Bitte warten ..
Mitglied: TObject
09.12.2011 um 14:27 Uhr
Hi !

gibt es vielleicht ein Programm, was im Hintergrund läuft und den Port kontrolliert und protokolliert ?
Das Programm müsste beim Sarten des Rechners automtisch starten.
Oder als Task.

Ich finde verscheidne Network Monitor Programme.
Aber die finde ich zu "übeladen".
Kennst sowas einer ?

Ich habe "Microsoft Network Monitor 3.4" und "Wireshark" ausprobiert.
Die Tools sind zwar gut, aber muss das Starten und laufen lassen.

Gruss
Bitte warten ..
Mitglied: StefanKittel
09.12.2011 um 14:43 Uhr
Zitat von -s-v-o-:
Auf der FB 7270 ist schon der Port 3389 als "MS Remote Desktop" hinterlegt.
Einfach die "Kindersicherung" aktivieren und bei den Rechnern als "Gesperrte Anwendungen" hinterlegen.
Hallo,

das löst das Problem mit der Telekom, aber nicht dass ein PC von Euch unter der Kontrolle einer 3. Person steht.
Darüber kann genausogut Spam verschickt werden, das restliche Netzwerk infiziert werden, wichtige Firmen-Daten nach Hause geschickt werden oder einfach alles gelöscht werden.

Empfehlone Vorgehensweise:
- Internet und lokales Netzwerk abschalten und WLAN deaktivieren
- Alle PCs und Notebooks genau prüfen
- Im Zweifel einzelne oder alle Geräte neu installieren

Wenn Ihr Euch damit keine Erfahrung habe beauftragt Jemanden der sie hat.

Vermutlich ist das Problem begrenzt und der Aufwand unnötig, aber solange Ihr das nicht wisst....

Ich habe schon 1-2 Firmen erlebt die sowas mal eben selber lösen wollten.
Eines war eine Versicherung die durch ein schlecht konfiguriertes WAN und Blaster fast 1.000 PCs und alle darauf befindlichen Daten verloren hat.

Stefan
Bitte warten ..
Mitglied: Lochkartenstanzer
09.12.2011 um 18:51 Uhr
Hallo,

  • 1. Maßnahme: Alles vom Internet trennen.
  • 2. Alle kisten mit offline-Scanner (knoppicillin, diverse rescue-CDs der Av-hersteller) durchchecken
  • 3. ein FW installlier ggf einfach mal einen PC mit zwei netzwerkkarten nehmen und da drauf pfsense oder ipcop (oder eine andere deiner Wahl9 draufschmeißen udn schauen, wer alles raus will.

Falls Ihr nur schauen wollt, welche PCs "raus" wollen, könnt Ihr auch einfach die Fritzbox die Pakete mitschneiden lassen und dann miit wireshark (oder anderen programmen) auswerten. notfalls könnt Ihr auch tcpdump auf der Fritzbox installieren um die Pakete live zu sehen.

Aber wenn das wirklich wichtig ist, solltet ihr jemanden Rufen, der sich damit auskennt.

lks

PS: Hier findet man noch mehr Möglichkeiten, was man mit der Fritzbox machen kann.
Bitte warten ..
Mitglied: TObject
13.12.2011 um 10:46 Uhr
Moin,

ich habe jetzt heraus gefunden, welcher Rechner den Ärger macht.
Benutzt habe ich das Programm von Wireshark und Microsoft Network Monitor.
Bei beiden kann man aber nicht sehen, leider, welches Script oder welches Programm den Connect machen möchte.
Leider.
Wir haben eine Fritzbox 7270.
In der kann ich leider nicht konfiguerien, das der Port 3389 nach aussen gespert werden kann.
Ich suche einen Router mit Firwall, wo ich die ausegehenden Ports kontrollieren, protokollieren und sperren kann.

Weiss jemand einen guten Router ?

Gruss
Bitte warten ..
Mitglied: brammer
13.12.2011 um 14:05 Uhr
Hallo,

den Rechner hast du ja jetzt, entweder den tauschen und die alte Maschine in Ruhe untersuchen.
Als erstes könntest du alle nicht zwingend erforderlichen Prozesse auf manuell umstellen. und abschalten.

brammer
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Firewall
Sophos Utm 9 Port 3000 für ProfiCash freigeben (4)

Frage von Floh21 zum Thema Firewall ...

Drucker und Scanner
USB-Drucker über virtuellen COM LPT- Port ansteuern (27)

Frage von magicman zum Thema Drucker und Scanner ...

Erkennung und -Abwehr
Port 7547 SOAP Remote Code Execution Attack Against DSL Modems Internet Storm Center (5)

Link von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Drucker und Scanner
gelöst Scanner Software pls schnelle Hilfe (5)

Frage von TheScanner zum Thema Drucker und Scanner ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...