Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Seltsamer unbekannter IP-Bereich 188.111.53.xx

Frage Sicherheit Erkennung und -Abwehr

Mitglied: pivi

pivi (Level 1) - Jetzt verbinden

22.11.2011, aktualisiert 10:59 Uhr, 6795 Aufrufe, 11 Kommentare

Hallo Zusammen,

in meinen täglichen Report und den Logfiles meiner Firewall sehe ich regelmäßig Verbindungen von allen internen Clients und Servern zu den IP-Adressbereich 188.111.53.xxx und auf die Port's 80 + 443.
Trotz längerer erfolgloser Recherche und google-suche finde ich nicht heraus, wem dieser Adressbereich gehört oder welcher Prozess die Verbindungen aufbaut.
Ausser das der gesamte IP-Adressbereich von 188.96.0.0 bis 188.111.255.255 dem Carrier Arcor bzw. vodafone gehört und in Deutschland gehostet ist finde ich keine weiteren Angaben.
Auf ein Rechner habe ich mit einen Port-Monitor (Currports) die Ports und Prozesse überwacht, aber nur beim öffnen von Adobe Reader diesen Adressbereich gesehen.
Da aber auf den Servern kein Adobe Reader od. Flash installiert ist, macht es keinen Sinn.
Anti-Virenscanner (ESET) findet auch keine Bedrohung (auch nicht im Offline-Scan).

Kennt jemand von Ihnen diesen Adressbereich 188.111.53.xx bzw. ist bekannt welcher Dienst oder Prozess sich dahinter verbirgt ? Oder handelt es sich um eine bekannte Schadsoftware ?

techn. Gegebenheiten: Clients: Windows XP-SP3 mit MS Office/Java/Adobe Reader+Flash/Firefox/ICQ, Server: Windows 2003 Server
Vielen Dank im voraus.

Gruß Pivi
Mitglied: ThomasH.
22.11.2011 um 11:00 Uhr
Moin,

hilft Dir das weiter: http://dnstree.com/188/111/53/

Sieht nach arcor aus.

Th.

EDIT: und das noch: http://www.robtex.com/cnet/188.111.53.html
Bitte warten ..
Mitglied: Ausserwoeger
22.11.2011 um 11:02 Uhr
??? Ich versteh dein Problem nicht ???

Über die Externe IP 188.111.53.xx greift jemand über PORT 80 bzw. 443 auf deinen Server zu. Wenn du einen SBS Server nutzt stehen hinter den Ports Der Exchange Server genauer gesagt der OWA (Outlook Web Access) was bedeuten würde das sich jemand von extern die Mails auf deinem Server ansieht oder mails über deinen Server verschickt.

LG Andreas
Bitte warten ..
Mitglied: Jochem
22.11.2011 um 11:11 Uhr
Moin,

hast Du den Adobe Reader evtl. über einen Mirror-Server bei vodafone/arcor runtergeladen und daher versucht der AR beim Aufruf einen Verbindung dorthin aufzubauen, um nach neuen Updates zu suchen?

Gruß J chem
Bitte warten ..
Mitglied: pivi
22.11.2011 um 11:18 Uhr
Danke für die Links. Aber ich habe auch schon ermittelt das der Adressbereich zu arcor gehört. Auch wenn unser Internetprovider arcor bzw. vodafone ist verstehe ich es nicht, weil nur der interne DNS-Server anfragen an festgelegte ext. DNS-Server (Weiterleitung) stellen darf. Für die Clients ist Port 53 von intern geblockt.
Bitte warten ..
Mitglied: Lochkartenstanzer
22.11.2011 um 11:23 Uhr
Einfach mal einen sniffer mitlaufen lassen. Dann sieht man, was da drüber geht. Vielleicht hat ja jemand eine falsche proxy.pac erstellt. und alle System greifen darüber zu.

Ach ja meine Kristallkugel sagt, daß vielleicht jemand ein Utility installieret hat, daß bei jeder Aktion nachschaut, ob die Programme noch aktuell sind.

Das einfachste wäre, mal die IP-Adressen zu blocken. Dann sieht man, was plötzlich nicht mehr geht.

lks
Bitte warten ..
Mitglied: pivi
22.11.2011 um 11:46 Uhr
@Ausserwoeger:
Nein ich hoffe doch nicht und das wäre mir bestimmt aufgefallen.
Es ist zwar ein SBS 2003 mit Exchange-Server in Betrieb und auf OWA ist intern der Zugriff auch möglich, aber die Ports 80 +443 sind auf der Firewall von extern und intern geschlossen !
Der Exchange ist auch nicht von extern erreichbar und der MSX darf sich nur mit den Mailserver von unseren ISP verbinden. Und der Webtraffic wird über ein Proxy mit zusätzl. Virenscanner auf der Firewall geregelt.

Aber dann würden auch nicht alle Clients und int. Server Verbindungsversuche auf den genannten Adressbereich aufbauen.
Da Ports 80+443 geschlossen sind werden auch 2/3 geblockt, aber z.T. gibt es erfolgreiche Verbindungen die ich manchmal nicht in mein Firewall-Logs wieder finde aber im FW-Tagesbericht aufgelistet werden.
Wenn ich es richtig aus den Logs interpretiere sind es auch Downloads und keine Uploads. Dennoch würde ich gerne in Erfahrung bringen was es ist.

Gruß Pivi
Bitte warten ..
Mitglied: pivi
22.11.2011 um 11:51 Uhr
@Jochem: Also meines Wissens habe ich den AR direkt von adobe.com heruntergeladen. Aktualisieren tue ich entweder über den eigenen Adobeupdater oder installiere die neue Vollversion drüber.
Gruß Pivi
Bitte warten ..
Mitglied: Ausserwoeger
22.11.2011 um 11:55 Uhr
Zitat von pivi:
@Ausserwoeger:
Nein ich hoffe doch nicht und das wäre mir bestimmt aufgefallen.
Es ist zwar ein SBS 2003 mit Exchange-Server in Betrieb und auf OWA ist intern der Zugriff auch möglich, aber die Ports 80
+443 sind auf der Firewall von extern und intern geschlossen !
Der Exchange ist auch nicht von extern erreichbar und der MSX darf sich nur mit den Mailserver von unseren ISP verbinden. Und der
Webtraffic wird über ein Proxy mit zusätzl. Virenscanner auf der Firewall geregelt.

Aber dann würden auch nicht alle Clients und int. Server Verbindungsversuche auf den genannten Adressbereich aufbauen.
Da Ports 80+443 geschlossen sind werden auch 2/3 geblockt, aber z.T. gibt es erfolgreiche Verbindungen die ich manchmal nicht in
mein Firewall-Logs wieder finde aber im FW-Tagesbericht aufgelistet werden.
Wenn ich es richtig aus den Logs interpretiere sind es auch Downloads und keine Uploads. Dennoch würde ich gerne in Erfahrung
bringen was es ist.

Gruß Pivi

Also greift ein interner Client von dir auf die IP mit den Ports 80 und 443 zu ! Naja um das heraus zu finden bräuchte ich die genaue IP ! Es handelt sich hier jedenfalls über eine HTTP und HTTPS Anwendung, könnte vieles sein. Download von Daten wie zb. über ELBA oder Internetbanking wäre denkbar oder andere Anwendungen in die Richtung.

PS: Du kannst aber auch einfach mal einen Reverse DNS lookup machen um zu erfahren welcher DNS eintrag hinter der IP steckt. Das sagt meistens schon viel aus. wenn da sowas wie www.movies..... raus kommt weisst du ja bescheid.

Was ich mich noch Frage was ist das für eine Firewall bei der die Ports gesperrt sind und 2 von 3 Versuchen gesperrt werden und dann trotzdem ein Download erfolgt ??? Ich würde da stark über ein Firmwareupdate nachdenken bzw. über eine neue Firewall.


LG Andreas
Bitte warten ..
Mitglied: pivi
22.11.2011 um 12:14 Uhr
Hallo Lochkartenstanzer,

wo sollte ich am besten den Sniffer laufen lassen, auf einen int. Rechner oder zw. LAN und Firewall ?
Denn auf meiner Firewall sollte ich auch alle Verbindungen sehen, aber kann ja nicht ermitteln welche Anwendung die Verbindung herstellt.

Ich bin der einzige Admin vor Ort und mir ist nicht bewusst solch ein Tool installiert zu haben.

Wie schon bei Mitglied Ausserwoeger erwähnt sind die Ports 80+443 geschlossen und leider kann ich, auf der Firewall, nicht einen Adressbereich ohne bekannte Netzmaske sperren, da keine Wildcards möglich sind.

Gruß Pivi
Bitte warten ..
Mitglied: Ausserwoeger
22.11.2011 um 13:20 Uhr
Zitat von pivi:

Wie schon bei Mitglied Ausserwoeger erwähnt sind die Ports 80+443 geschlossen und leider kann ich, auf der Firewall, nicht
einen Adressbereich ohne bekannte Netzmaske sperren, da keine Wildcards möglich sind.

Gruß Pivi

Gesperrt schon aber ich nehme an nur von Extern nach intern den hättest du die ports auch von Intern nach extern gesperrt könnte kein Client Internet surfen.

LG
Bitte warten ..
Mitglied: Lochkartenstanzer
22.11.2011 um 16:53 Uhr
Du hast Doch 188.111.53.xxx angegeben.

Sofern es genau eine Adresse ist gibst Du 188.111.53.xxx/32 an. Ansonsten je nach den Adressen die da auftauchen

188.111.53.xxx/24,
188.111.0.xxx/16,
oder gar 188.96.0.0/12 für das komplette AS3209.

Dann siehst Du ja, wer schreit. Und wenn keiner schreit, wars wohl nicht so wichtig.


lks


nachtrag:

Du kannst entweder auf der Firewall sniffen, die meisten Firewalls haben diese Möglichkeit, ggf muß man auf Shell-Ebene arbeiten.

oder Du läßt wireshark (oder einen anderen sniffer) auf dem Client, der die verbindung initiiert mitlaufen.

lks
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Switche und Hubs
gelöst Netzwerk-Erweiterung mit 2.IP-Bereich und IP-Bereich für VOIP mit HP2530-Stack (2)

Frage von Quincy25 zum Thema Switche und Hubs ...

Router & Routing
gelöst Im Netzwerk auf zweiten IP-Bereich zugreifen (30)

Frage von huckepaule zum Thema Router & Routing ...

Windows Server
SBS2011 Essentials erzeugt IP mit unbekannter Herkunft (13)

Frage von morpheus2010 zum Thema Windows Server ...

Windows Server
IP-Einstellungen werden falsch angezeigt (4)

Frage von schlumpf90 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...