Ständig Zugriffe auf Ports 445 & 135

Dux_Talparum · 12. Dezember 2005 um 14:55

Moin,

wir haben einen D-Link 824VUP+ Router und seit gestern blockt der Router ständig folgende Zugriffe.

Monday December 12, 2005 14:26:30 Blocked access attempt from 85.176.126.159:2596 to TCP port 445
Monday December 12, 2005 14:26:32 Blocked access attempt from 85.176.94.19:3876 to TCP port 135
Monday December 12, 2005 14:26:35 Blocked access attempt from 85.176.94.19:3876 to TCP port 135
Monday December 12, 2005 14:26:50 Blocked access attempt from 85.176.126.159:2176 to TCP port 445
Monday December 12, 2005 14:26:53 Blocked access attempt from 85.176.126.159:2176 to TCP port 445
Monday December 12, 2005 14:27:02 Blocked access attempt from 85.176.103.44:3574 to TCP port 135
Monday December 12, 2005 14:27:05 Blocked access attempt from 85.176.103.44:3574 to TCP port 135
Monday December 12, 2005 14:27:11 Blocked access attempt from 85.176.107.202:4644 to TCP port 445
Monday December 12, 2005 14:27:14 Blocked access attempt from 85.176.107.202:4644 to TCP port 445

jemande eine Idee was das sein könnte oder wie ich es herausfinde?
Das Inet wirkt nämlich erheblich langsamer auf allen Rechnern im Netz.

Hab VoIP laufen aber schon länger und machte nie Probleme.

Vielen Dank für Eure Hilfe!

Joe

Nicos_ec7086 · 12. Dezember 2005 um 15:23

Port 445/TCP: Windows-Freigaben per CIFS
Port 135/TCP: In 99% aller Fälle einfach nur ein Sicherheitsrisiko

Die Zugriffe kommen von irgendwelchen Rechnern, deren Besitzer es nicht für notwendig befinden, sich gegen Viren und Trojaner abzusichern.

Dux_Talparum · 12. Dezember 2005 um 15:33

Moin,

vielen Dank für die schnelle Antwort, kann ich irgendwas dagegen oder dafür tun?

Gruß Joe

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

StefanS_8166b2 · 12. Dezember 2005 um 15:33

Hallo Joachim,

wir haben einen D-Link 824VUP+ Router und seit gestern blockt
der Router ständig folgende Zugriffe.
85.176.126.159:2596 to TCP port 445
85.176.94.19:3876 to TCP port 135

Da versucht jemand von außen deinen Rechner anzugreifen.
Port 135 ist typisch für W32/Lovsan und W32/Blaster
Port 445 ist typisch für Sasser und Korgo

Das Inet wirkt nämlich erheblich langsamer auf allen Rechnern
im Netz.

Schalte mal deinen Router aus und wieder ein. Du bekommst dann
eine andere IP von deinem Provider und normalerweise ist dann
erstmal wieder Ruhe.

Gruß
Stefan

Dux_Talparum · 12. Dezember 2005 um 15:45

Hi Stefan,

danke für die Tipps

Schalte mal deinen Router aus und wieder ein. Du bekommst dann
eine andere IP von deinem Provider und normalerweise ist dann
erstmal wieder Ruhe.

Habe ich gemacht bringt aber keine Veränderung ist immer noch so.

Monday December 12, 2005 15:42:28 Blocked access attempt from 85.176.126.165:1227 to TCP port 135
Monday December 12, 2005 15:38:44 Blocked access attempt from 85.176.150.62:4121 to TCP port 445
Monday December 12, 2005 15:38:45 Blocked access attempt from 85.176.191.105:4247 to TCP port 135
Monday December 12, 2005 15:38:47 Blocked access attempt from 85.176.150.62:4102 to TCP port 445
Monday December 12, 2005 15:38:47 Blocked access attempt from 85.176.150.62:4103 to TCP port 445
Monday December 12, 2005 15:38:47 Blocked access attempt from 85.176.150.62:4121 to TCP port 445
Monday December 12, 2005 15:38:49 Blocked access attempt from 85.176.164.120:4751 to TCP port 445
Monday December 12, 2005 15:38:52 Blocked access attempt from 85.176.164.120:4751 to TCP port 445
Monday December 12, 2005 15:38:53 Blocked access attempt from 85.176.242.38:2229 to TCP port 135
Monday December 12, 2005 15:39:31 Blocked access attempt from 85.176.187.255:3444 to TCP port 445
Monday December 12, 2005 15:39:34 Blocked access attempt from 85.176.187.255:3444 to TCP port 445
Monday December 12, 2005 15:39:35 Blocked access attempt from 85.176.64.153:4279 to TCP port 135
Monday December 12, 2005 15:39:38 Blocked access attempt from 85.176.64.153:4279 to TCP port 135
Monday December 12, 2005 15:39:51 Blocked access attempt from 85.176.88.101:2334 to TCP port 139
Monday December 12, 2005 15:39:53 Blocked access attempt from 85.176.52.191:4142 to TCP port 135
Monday December 12, 2005 15:39:54 Blocked access attempt from 85.176.88.101:2334 to TCP port 139
Monday December 12, 2005 15:39:54 Blocked access attempt from 85.176.11.199:62395 to TCP port 445
Monday December 12, 2005 15:39:56 Blocked access attempt from 85.176.52.191:4142 to TCP port 135
Monday December 12, 2005 15:39:57 Blocked access attempt from 85.176.122.250:2255 to TCP port 445
Monday December 12, 2005 15:39:57 Blocked access attempt from 85.176.11.199:62395 to TCP port 445

Die IPs haben vorne alle den gleichen Adressbereich, sagt das was aus?
Gruß Joe

StefanS_8166b2 · 12. Dezember 2005 um 16:04

Hallo Joachim,

Die IPs haben vorne alle den gleichen Adressbereich, sagt das
was aus?

Ja die sind von HansaNet.

Tip mal z.B. 85.176.126.165 bei Domain Info ein (linke Reihe 4.
von oben).
http://www.dnsstuff.com/

Und du erhälst
% Information related to ‚85.176.0.0 - 85.182.127.255‘

inetnum: 85.176.0.0 - 85.182.127.255
netname: HANSENET-ADSL
descr: ALICE DSL
descr: HanseNet Telekommunikation GmbH
descr: ADSL Pool Customers
country: DE
admin-c: HNT-RIPE
tech-c: HNST-RIPE
status: ASSIGNED PA
remarks: -------------------------------------------------------------
remarks: PLEASE CONTACT Whois Privacy and Spam Prevention by Whois Source IN CASE OF HACK ATTACKS,
remarks: ILLEGAL ACTIVITY, VIOLATION, SCANS, PROBES, SPAM, ETC.
remarks: -------------------------------------------------------------
mnt-by: HANSENET-NOC
source: RIPE # Filtered

role: HanseNet IP Coordination
address: HanseNet Telekommunikation GmbH
address: Ueberseering 33 A
address: D-22297 Hamburg
address: Germany
phone: +49 40 23726 0
fax-no: +49 40 23726 193996
e-mail: Whois Privacy and Spam Prevention by Whois Source
admin-c: DM3738-RIPE
tech-c: TINO1-RIPE
nic-hdl: HNT-RIPE
mnt-by: HANSENET-MNT
source: RIPE # Filtered

role: HanseNet Security Team
address: HanseNet Telekommunikation GmbH
address: Ueberseering 33 A
address: D-22297 Hamburg
address: Germany
phone: +49 40 23726 0
fax-no: +49 40 23726 193996
e-mail: Whois Privacy and Spam Prevention by Whois Source
admin-c: DM3738-RIPE
tech-c: TINO1-RIPE
nic-hdl: HNST-RIPE
mnt-by: HANSENET-MNT
source: RIPE # Filtered

% Information related to ‚85.176.0.0/13AS13184‘

route: 85.176.0.0/13
descr: HANSENET
origin: AS13184
mnt-by: HANSENET-MNT
source: RIPE # Filtered

Gruß
Stefan

Schorsch_de7743 · 12. Dezember 2005 um 19:06

Ganz normaler Hintergrund-Lärm im Internet. Die Ports 135 und 445 sind die RPC-Ports, über die Windows-Rechner nahezu alle Kommunikation im SMB-Netzwerk abhandeln. Irgendwer oder irgendwas guckt, ob deine Festplatten oder Dienste als Freigabe im Internet offenstehen.

Ignorieren. Eingriffsmöglichkeiten hast du de facto keine (ausser Stecker ziehen).

Gruss
Schorsch

Nicos_ec7086 · 12. Dezember 2005 um 19:30

vielen Dank für die schnelle Antwort, kann ich irgendwas
dagegen oder dafür tun?

Du kannst dich natürlich beim Netzbetreiber (s.o.) beschweren, dass da was durchkommt was so nicht sein soll. Das geht z.B. per e-Mail an [email protected], aber ob sich dadurch was ändert mag bezweifelt werden.

Sebastian · 12. Dezember 2005 um 20:35

Hallo,

Das Inet wirkt nämlich erheblich langsamer auf allen Rechnern
im Netz.

Schalte mal deinen Router aus und wieder ein. Du bekommst dann
eine andere IP von deinem Provider und normalerweise ist dann
erstmal wieder Ruhe.

Das bezweifele ich. Sowas sind in der Regel automatisierte Scans, die sich auf die IP-Bereiche relativ gleichmäßig verteilen.

Außerdem: Was nützt es, dieses Rauschen nicht zu haben?

Gruß,

Sebastian

Stefan_Schustereit · 13. Dezember 2005 um 09:32

Du kannst dich natürlich beim Netzbetreiber (s.o.) beschweren,
dass da was durchkommt was so nicht sein soll.

Wieso nicht soll? Bislang kommen doch nur
Verbindungsaufbauversuche, und das ist nicht strafbar oder verboten.
Auch wenn ich mit dir einer Meinung bin, dass diese Versuche
wahrscheinlich durch einen Wurm verursacht werden, kann es sich auch um
eine Fehlkonfiguration handeln oder ein gewolltes Verhalten.

Das geht z.B.
per e-Mail an [email protected], aber ob sich dadurch was
ändert mag bezweifelt werden.

Was sollen die auch ändern?

Stefan