Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Die Router-Warnung

Frage Sicherheit Rechtliche Fragen

Mitglied: malika

malika (Level 2) - Jetzt verbinden

07.05.2013, aktualisiert 23:37 Uhr, 2336 Aufrufe, 10 Kommentare, 2 Danke

Hallo,

mein Router hat mir berichtet:

Dear User
Your router has detected and protected you against an attempt to gain access to your network. This may have been an attempted hacker intrusion, or perhaps just your Internet Service Provider doing routine network maintenance.
Most of these network probes are nothing to be worried about - these types of random probes should NOT be reported, but you may want to report repeated intrusions attempts. Save this email for comparison with future alert messages.
Your router Alert Information

Time: 05/07/2013, 20:52:50
Message: TCP FIN Scan
Source: 94.230.52.242, 443
Destination:...., 40909 (from PPPoE1 Inbound)


Visit the UXN Combat Spam web site to get more detailed information about the intruder - http://combat.uxn.com/
1. Type the intruder's IP address into the IP WHOIS search engine
2. Click the Query Button
3. Detailed network and administration information will be displayed


Laut diesem Link http://www.utrace.de/whois/94.230.52.242 gehört die Adresse einem GbR:

Whois

Details zur IP-Adresse 94.230.52.242
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '94.230.52.0 - 94.230.55.255'

inetnum: 94.230.52.0 - 94.230.55.255
netname: HOLIDAYCHECK-NET
descr: IGN Electronics GbR
country: DE
admin-c: GN2536-RIPE
tech-c: GN2536-RIPE
status: ASSIGNED PA
mnt-by: IGNEL-MNT
source: RIPE # Filtered

% Information related to '94.230.48.0/20AS48484'

route: 94.230.48.0/20
descr: IGN electronics GbR
origin: AS48484
mnt-by: IGNEL-MNT
source: RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.60.2 (WHOIS2)


Ist es überhaupt legal, dass Sie sich bei mir am Port 40909 verbinden versuchen?

Danke für die Meinung(en)!
Mitglied: brammer
08.05.2013 um 06:35 Uhr
Hallo,

hast du mal versucht die Seite aufzurufen, die dein Router dir meldet?

Ich vermute mal du hast einen Apache / Tomcat laufen...

Und, legal oder nicht ist kaum die Frage...
Verhindern kannst du das im Zwiefelsfall sowieso nicht.

brammer
Bitte warten ..
Mitglied: Ravers
08.05.2013, aktualisiert um 10:04 Uhr
Hi,

legal oder illegal - ist wurscht.
Aber melde der Ign Electronics Gbr (scheint ein normaler Webhoster zu sein) deine Meldung (incl. netname) - evtl. haben die einfach nur einen Zahlendreher in deren Konfig.

greetz
ravers
Bitte warten ..
Mitglied: sk
08.05.2013, aktualisiert um 11:00 Uhr
Zitat von Ravers:
... melde der Ign Electronics Gbr (scheint ein normaler Webhoster zu sein) deine Meldung (incl. netname)

was dort bestenfalls zur allgemeinen Belustigung beitragen würde...

@malika: Das ist gar nix! Nur ein FIN-Paket des Servers, welches Eurer Router keiner laufenden Session zuordnen konnte. Irgendjemand bei Euch hat per HTTPS auf einer bei diesem Rechnzentrum gehostenten Domain (http://www.serverinsiders.com/isp/ign-electronics-gbr.html) gesurft und die Verbindung ist nicht korrekt beendet worden. Sofern derartiges nicht pausenlos auftritt, kein Grund zum tätig werden.

Gruß
sk
Bitte warten ..
Mitglied: Lochkartenstanzer
08.05.2013 um 11:48 Uhr
Zitat von malika:
Ist es überhaupt legal, dass Sie sich bei mir am Port 40909 verbinden versuchen?

Ja. Sobald Du eine System per IP erreichbar machst, bietest Du Dienste an. Das ist genauso mit der Tür in einem Laden:

Prinzipiell darf da jeder reingehen. Nur drinnen dar nicht jeder etwas machen.

Also: Ein TCP-Connect ist legal. Aber dann Paßwörter ausprobeiren, wenn da ein Dienst denjenigen annimmt ist illegal.

Abgesehen davon. Du soltest Dich mit dem TCp-protokoll beschäftigen. ein FIN-Paket hat eher etwas mit verbindugabbau zu tun, als mit verbindungsaufbau.

Solange das obengenannte nicht systematisch vorkommt, sondern nur vereinzelte Pakete kommen, ist das unerheblich. (hast Du überhaupt einen Dienst auf Port 40609 laufen?)

lks
Bitte warten ..
Mitglied: dog
08.05.2013, aktualisiert um 12:19 Uhr
Die Antwort von sk ist richtig.

Das sollte man spätestens hier sehen:
Source: 94.230.52.242, 443
Destination:...., 40909

Der lokale Port ist ein High-Port und der Remote-Port HTTPS - das ist also ein stinknormaler Webseitenaufruf (der mit 99,9% Wahrscheinlichkeit von Innen kam, besonders wenn man mal auf den netname achtet).

netname: HOLIDAYCHECK-NET

Sowas kann passieren, wenn z.B. grade ein DSL Reconnect war und man eine IP bekommt, die kurz davor jemand anders hatte oder wenn der Verbindungsabbau nicht korrekt ablief.
Bitte warten ..
Mitglied: malika
12.05.2013 um 21:28 Uhr
Hallo,

Zitat von brammer:
Hallo,

hast du mal versucht die Seite aufzurufen, die dein Router dir meldet?

Ja, nichts spektakuläres: Apache etc.

Ich vermute mal du hast einen Apache / Tomcat laufen...

Ich habe nichts laufen, die IP-Adresse ist nicht von meinem Router.
Bitte warten ..
Mitglied: malika
12.05.2013 um 21:31 Uhr
Hi,

Zitat von sk:
@malika: Das ist gar nix! Nur ein FIN-Paket des Servers, welches Eurer Router keiner laufenden Session zuordnen konnte.
Irgendjemand bei Euch hat per HTTPS auf einer bei diesem Rechnzentrum gehostenten Domain
(http://www.serverinsiders.com/isp/ign-electronics-gbr.html) gesurft und die Verbindung ist nicht korrekt beendet worden. Sofern
derartiges nicht pausenlos auftritt, kein Grund zum tätig werden.

Die Warnung ist ca. 150 mal angekommen...
Bitte warten ..
Mitglied: sk
13.05.2013 um 16:00 Uhr
Zitat von malika:
Die Warnung ist ca. 150 mal angekommen...

Aber nur für ein begrenztes Zeitfenster - danach nicht mehr, oder?
Bitte warten ..
Mitglied: dog
13.05.2013, aktualisiert um 16:09 Uhr
Aber nur für ein begrenztes Zeitfenster - danach nicht mehr, oder?

Irgendwann wird der MA, der da mit seinem Smartphone nach 'nem Urlaubsziel gesucht hat, halt auch was gefunden haben oder musste weiterarbeiten.

Aber ihr könnt auch gerne weiter rumverschwörungstheoretisieren...
Bitte warten ..
Mitglied: malika
13.05.2013 um 21:42 Uhr
Ja, es ist wieder ruhig geworden...
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Router & Routing
Radius für 15 User direkt über Mikrotik- oder Ubiquiti-Router (4)

Frage von Muesliriegel zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst Router Switch zwei APs Verbindung klappt nicht (16)

Frage von c3t1n57 zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...