Fragen zu 'Netstat'

Hallo!

Nach dem Aufruf von „NETSTAT -A“ kriege ich foglende Informationen, und hätte dazu ein paar Fragen:

1.) Warum sind bei den lokalen Adressen manchmal 0.0.0.0 und manchmal die echte IP-Adresse aufgelistet?
2.) Warum steht bei der Remoteadresse manchmal 0.0.0.0, manchmal eine IP-Adresse, und manchmal *:*?
3.) Wie kann es sein, daß ein Portscanner den ich hier ansetze, wesentlich mehr offene Ports findet?

Proto Lokale Adresse Remoteadresse Status
TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:1026 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:1027 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:3007 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:3300 0.0.0.0:0 ABHÖREN
TCP 192.168.0.254:139 0.0.0.0:0 ABHÖREN
TCP 192.168.0.254:3002 0.0.0.0:0 ABHÖREN
TCP 192.168.0.254:3003 0.0.0.0:0 ABHÖREN
TCP 192.168.0.254:3004 0.0.0.0:0 ABHÖREN
TCP 192.168.0.254:3006 0.0.0.0:0 ABHÖREN
TCP 192.168.0.254:3006 192.168.0.11:139 HERGESTELLT
TCP 192.168.0.254:3020 0.0.0.0:0 ABHÖREN
TCP 192.168.0.254:3020 192.168.0.21:139 HERGESTELLT
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:514 *:*
UDP 0.0.0.0:3001 *:*
UDP 0.0.0.0:3008 *:*
UDP 127.0.0.1:3021 *:*
UDP 192.168.0.254:53 *:*
UDP 192.168.0.254:137 *:*
UDP 192.168.0.254:138 *:*
UDP 192.168.0.254:500 *:*
UDP 192.168.0.254:4500 *:*

Danke!
Herbert

Hi,

1.) Warum sind bei den lokalen Adressen manchmal 0.0.0.0 und
manchmal die echte IP-Adresse aufgelistet?

0.0.0.0 bedeutet, daß der Dienst auf allen Netzwerkinterfaces lauscht.

2.) Warum steht bei der Remoteadresse manchmal 0.0.0.0,
manchmal eine IP-Adresse, und manchmal *:*?

Weil UDP ein verbindungsloses Protokoll ist. Da werden in dem Sinne keine Verbindungen aufgebaut.

3.) Wie kann es sein, daß ein Portscanner den ich hier
ansetze, wesentlich mehr offene Ports findet?

Weiß ich nicht. Welcher Porttscanner von wo aus mit konkret welchem Ergebnis? Wenn Du mir Deine IP schickst, dann kann ich auch von hier gern mal nachschauen.

(Ich mach nix Böses, mein Wort drauf)

Gruß,

Malte.

Hallo, grüß Dich!

Bist Du noch auf?

Hier ist die Liste der Ports, die offen sind. Ich habe den "Blues Portscanner Version 5.0.2.1265, der leistet mir gute Dienste!

Hier die Liste der offenen Ports:
TCP: 192.168.0.254 [135-epmap]
TCP: 192.168.0.254 [139-netbios-ssn]
TCP: 192.168.0.254 [1026-icq]
TCP: 192.168.0.254 [3006-ii-admin]
TCP: 192.168.0.254 [3300]
TCP: 192.168.0.254 [4834]
TCP: 192.168.0.254 [4835]
TCP: 192.168.0.254 [4836]

Hier die Liste, die NETSTAT -A anzeigt:
Proto Lokale Adresse Remoteadresse Status
TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:1026 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:1027 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:3006 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:3300 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:4265 0.0.0.0:0 ABHÖREN
TCP 192.168.0.254:139 0.0.0.0:0 ABHÖREN
TCP 192.168.0.254:3889 192.168.0.254:1026 WARTEND
TCP 192.168.0.254:4012 192.168.0.254:3006 WARTEND
TCP 192.168.0.254:4265 192.168.0.21:445 HERGESTELLT
TCP 192.168.0.254:4306 192.168.0.254:3300 WARTEND
TCP 192.168.0.254:4834 0.0.0.0:0 ABHÖREN
TCP 192.168.0.254:4834 192.168.0.254:4151 WARTEND
TCP 192.168.0.254:4835 0.0.0.0:0 ABHÖREN
TCP 192.168.0.254:4835 192.168.0.254:4152 WARTEND
TCP 192.168.0.254:4836 0.0.0.0:0 ABHÖREN
TCP 192.168.0.254:4836 192.168.0.254:4153 WARTEND
TCP 192.168.0.254:4839 213.133.110.247:80 WARTEND
TCP 192.168.0.254:4996 192.168.0.254:135 WARTEND
TCP 192.168.0.254:5000 192.168.0.254:139 WARTEND
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:514 *:*
UDP 0.0.0.0:3001 *:*
UDP 0.0.0.0:3005 *:*
UDP 127.0.0.1:4837 *:*
UDP 192.168.0.254:53 *:*
UDP 192.168.0.254:67 *:*
UDP 192.168.0.254:68 *:*
UDP 192.168.0.254:137 *:*
UDP 192.168.0.254:138 *:*
UDP 192.168.0.254:500 *:*
UDP 192.168.0.254:4500 *:*

Eigentilch gehts um einen Rechner in der Frima. Dort vermute ich Viren, weil die Mails nicht abgeholt werden können. Laut Aussage des Providers ist immer ein Benutzer mit dem Postfach verbunden, und Outlook währe der zweite Benutzer, der darauf zugreift.

Ich habe mit einem Portscanner die Rechner geprüft, und festgestellt, daß überall die Ports 25, 110 und 10 undefinierte (neben CIFS) offen sind. Und wenn ich mir diese am Rechner mit „NETSTAT -A -N“ ansehe, dann scheinen diese nicht auf. DAs ist mir unklar.

Dank Dir!
Herbert

Hi,

Hier die Liste der offenen Ports:

Das sind die, die der Scanner anzeigt, ja?

TCP: 192.168.0.254 [135-epmap]
TCP: 192.168.0.254 [139-netbios-ssn]
TCP: 192.168.0.254 [1026-icq]
TCP: 192.168.0.254 [3006-ii-admin]
TCP: 192.168.0.254 [3300]
TCP: 192.168.0.254 [4834]
TCP: 192.168.0.254 [4835]
TCP: 192.168.0.254 [4836]

Hier die Liste, die NETSTAT -A anzeigt:
Proto Lokale Adresse Remoteadresse Status
TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:1026 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:1027 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:3006 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:3300 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:4265 0.0.0.0:0 ABHÖREN
TCP 192.168.0.254:139 0.0.0.0:0 ABHÖREN
TCP 192.168.0.254:3889 192.168.0.254:1026 WARTEND
TCP 192.168.0.254:4012 192.168.0.254:3006 WARTEND
TCP 192.168.0.254:4265 192.168.0.21:445
HERGESTELLT
TCP 192.168.0.254:4306 192.168.0.254:3300 WARTEND
TCP 192.168.0.254:4834 0.0.0.0:0 ABHÖREN
TCP 192.168.0.254:4834 192.168.0.254:4151 WARTEND
TCP 192.168.0.254:4835 0.0.0.0:0 ABHÖREN
TCP 192.168.0.254:4835 192.168.0.254:4152 WARTEND
TCP 192.168.0.254:4836 0.0.0.0:0 ABHÖREN
TCP 192.168.0.254:4836 192.168.0.254:4153 WARTEND
TCP 192.168.0.254:4839 213.133.110.247:80 WARTEND
TCP 192.168.0.254:4996 192.168.0.254:135 WARTEND
TCP 192.168.0.254:5000 192.168.0.254:139 WARTEND
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:514 *:*
UDP 0.0.0.0:3001 *:*
UDP 0.0.0.0:3005 *:*
UDP 127.0.0.1:4837 *:*
UDP 192.168.0.254:53 *:*
UDP 192.168.0.254:67 *:*
UDP 192.168.0.254:68 *:*
UDP 192.168.0.254:137 *:*
UDP 192.168.0.254:138 *:*
UDP 192.168.0.254:500 *:*
UDP 192.168.0.254:4500 *:*

Hier sieht es ja so aus, als würde netstat _mehr_ anzeigen als der Scanner. Das ist möglich, kann z.B. mit (Personal) Firewalls zusammenhängen.

Eigentilch gehts um einen Rechner in der Frima. Dort vermute
ich Viren, weil die Mails nicht abgeholt werden können. Laut
Aussage des Providers ist immer ein Benutzer mit dem Postfach
verbunden, und Outlook währe der zweite Benutzer, der darauf
zugreift.

Das hört sich sehr… merkwürdig an. Kannst Du selbstständig das Passwort auf dem Server ändern? Probier mal, ob dann immer noch ein ständiger User connected ist.

Ich habe mit einem Portscanner die Rechner geprüft, und
festgestellt, daß überall die Ports 25, 110 und 10
undefinierte (neben CIFS) offen sind. Und wenn ich mir diese
am Rechner mit „NETSTAT -A -N“ ansehe, dann scheinen diese
nicht auf. DAs ist mir unklar.

Sehr merkwürdig. Windows, nehme ich an? Dann würde ich das übliche Procedere vorschlagen: Ad-Aware, Virenscan, Active Ports ( http://download.com.com/3000-2085-10062969.html?part… )
Außerdem würde ich mal mit einem anderen Scanner diesen Rechner prüfen, ich empfehle nmap http://www.insecure.org/

Gruß,

Malte.