Macht jemand ähnliche Beobachtungen? Ich blocke heute auffällig viel Traffic auf Port 5000 von den unterschiedlichsten Source-Adressen. Habe dabei etwa alle zwei Sekunden einen Verbindungsversuch.
Was ist denn da wieder im Busch?
Stefan
Da bahnt sich was an
Macht jemand ähnliche Beobachtungen? Ich blocke heute
auffällig viel Traffic auf Port 5000 von den
unterschiedlichsten Source-Adressen. Habe dabei etwa alle zwei
Sekunden einen Verbindungsversuch.Was ist denn da wieder im Busch?
Was es ist - keine Ahnung. Ich habe heute zwei Scans auf Port 5000, wäre mir nicht aufgefallen, wenn du nicht gefragt hättest. Es sind allerdings bislang die einzigen beiden Scans auf diesen Port seit Anfang Mai.
Bei http://wormradar.com/index.html hält der t5000 momentan den vierten Platz - irgendwas bahnt sich also tatsächlich an.
Gruss,
Schorsch
Macht jemand ähnliche Beobachtungen? Ich blocke heute
auffällig viel Traffic auf Port 5000 von den
unterschiedlichsten Source-Adressen. Habe dabei etwa alle zwei
Sekunden einen Verbindungsversuch.Was ist denn da wieder im Busch?
Was es ist - keine Ahnung. Ich habe heute zwei Scans auf Port
5000, wäre mir nicht aufgefallen, wenn du nicht gefragt
hättest. Es sind allerdings bislang die einzigen beiden Scans
auf diesen Port seit Anfang Mai.Bei http://wormradar.com/index.html hält der t5000 momentan
den vierten Platz - irgendwas bahnt sich also tatsächlich an.
Wo du das sagst, seh’ ich das auch. Neben den üblichen Rejects von P2P-Ports, Blaster- und Soberwurm, kommt eine Menge über Port 5000.
13Mal innerhalb von 10 Minuten und teilweise von den gleichen PCs (bzw. IPs) die anscheinend mit Blaster oder Sober (nutzte der auch die Lücke im RPC, Port 135?) infiziert sind und nach neuen Wirten suchen.
Macht jemand ähnliche Beobachtungen? Ich blocke heute
auffällig viel Traffic auf Port 5000 von den
unterschiedlichsten Source-Adressen. Habe dabei etwa alle zwei
Sekunden einen Verbindungsversuch.
TCP oder UDP?
http://www.linklogger.com/TCP5000.htm
http://www.bekkoame.ne.jp/~s_ita/port/port5000-5399…
[snip]
Bei http://wormradar.com/index.html hält der t5000 momentan
den vierten Platz - irgendwas bahnt sich also tatsächlich an.Wo du das sagst, seh’ ich das auch. Neben den üblichen Rejects
von P2P-Ports, Blaster- und Soberwurm, kommt eine Menge über
Port 5000.
[snip]
Laut IANA Portlist ist das aber nix irgendwie zwingend auf einem PC vorhandenes. Könnte es sein, dass hier versucht wird, eine gewisse Klasse von Internet-Routern anzugreifen? Manche älteren Modelle beginnen ja ihr NAT-ting bereits ab Port 5000.
http://isc.incidents.org/ beschreibt was da vermutlich los ist. Für mich ist die Seite erste Wahl in solchen Fällen, hab’ sie eben nur mal wieder nicht gleich erreicht.
Warten wir’s ab …
Ulli
Was es ist - keine Ahnung. Ich habe heute zwei Scans auf Port
5000, wäre mir nicht aufgefallen, wenn du nicht gefragt
hättest. Es sind allerdings bislang die einzigen beiden Scans
auf diesen Port seit Anfang Mai.
Keinen bis gestern. Gestern einen. Heute über 10000. Komisch.
Warten wir es ab.
Stefan
TCP oder UDP?
TCP.
Stefan
Nachfrage
Macht jemand ähnliche Beobachtungen? Ich blocke heute
auffällig viel Traffic auf Port 5000 von den
unterschiedlichsten Source-Adressen. Habe dabei etwa alle zwei
Sekunden einen Verbindungsversuch.
Zu bestimmten Punkten habe ich in dem von Ulli dankenswerterweise geposteten Link keine Info gefunden. Bei mir mehren sich mittlerweile die Anfragen auf Port 5000 ein bisschen, aber überhaupt kein Vergleich zu den üblichen Anfragen z. b. auf die Ports 445 oder 135. Auch kein Vergleich zu den Mustern z. B. beim SQL-Slammer oder Blaster.
Bislang stammen die bei mir einlaufenden Anfragen alle aus dem gleichen b-class Netz, in dem auch ich meine Adresse bei Arcor habe. Ich habe daher den Eindruck, dass hier die Suche nach infizierbaren Rechnern sich im wesentlichen auf den sequentiellen Durchlauf bestimmter Addressranges beschränkt, statt wie z. B. beim Slammer willkürliche Adressen anzufragen.
Dem steht aber entgegen, dass du von unterschiedlichsten Source-Adressen schreibst. Daher meine Nachfragen: Kommen bei dir die Anfragen im wesentlichen tatsächlich aus verschiedenen Netzen, oder kannst auch du ‚regionale‘ Häufungen feststellen?
Gruss,
Schorsch
Kommen bei dir die Anfragen im wesentlichen tatsächlich aus
verschiedenen Netzen, oder kannst auch du ‚regionale‘
Häufungen feststellen?
Ich habe seit Mitternacht bislang 9031 Connect-Versuche von 8572 unterschiedlichen Hosts aus allen Netzen (Host-IPs reichen von 4.10.174.6 bis 222.90.7.165). Das war gestern ähnlich, nur war die Anzahl der Hosts nicht so hoch (es sind heute viermal mehr als gestern).
Manche IP-Kreise sind ziemlich heftig vertreten, andere weniger stark. Interessanterweise sind aus meiner unmittelbaren Umgebung keine dabei (mal was völlig Neues). Ich stelle eine aktuelle Hosts-IP-Listezu Forschungszwecken gerne zur Verfügung.
Inzwischen kommen zu jedem Verbindungsversuch auf Port 5000 ein zweiter Versuch auf Port 135 hinzu. Jede Maschine versuchts also zweimal (gleiche source IP, gleiche destination IP).
Stefan
Zu bestimmten Punkten habe ich in dem von Ulli
dankenswerterweise geposteten Link keine Info gefunden. Bei
mir mehren sich mittlerweile die Anfragen auf Port 5000 ein
bisschen, aber überhaupt kein Vergleich zu den üblichen
Anfragen z. b. auf die Ports 445 oder 135. Auch kein Vergleich
zu den Mustern z. B. beim SQL-Slammer oder Blaster.
Ich habe innerhalb von 7 1/2 Stunden ca. 180 Anfragen auf Port 5000 bekommen. Natürlich kein Vergleich zu den ~2000 Anfragen auf Port 135, aber es ist auch nicht gerade wenig.
Aber wiegesagt, teilweise bekomme ich von den gleichen IPs anfragen auf Port 135 (und teilweise Port 139) und gleich danach auf Port 5000.
Ist allerdings in der Tat ziemlich oft von den gleichen IPs (T-Online) die regional auch nicht weg von mir zu sein scheinen (hoffentlich erzähle ich jetzt keinen Stuss) (217.85.xxx.xxx). Teilweise sogar nur der hintere Bereich verschieden (217.85.135.xxx).
Hallo,
Ist allerdings in der Tat ziemlich oft von den gleichen IPs
(T-Online) die regional auch nicht weg von mir zu sein
scheinen (hoffentlich erzähle ich jetzt keinen Stuss)
Ich kann keinen finden.
(217.85.xxx.xxx). Teilweise sogar nur der hintere Bereich
verschieden (217.85.135.xxx).
Vielleicht sollte man ein paar von den Kisten mal Portscannen: möglicherweise findet sich ja ein gemeinsames Muster (etwa irgendein offener Port).
nmap & go,
Sebastian
Vielleicht sollte man ein paar von den Kisten mal Portscannen:
möglicherweise findet sich ja ein gemeinsames Muster (etwa
irgendein offener Port).
Okay, das dürfte Erfolg haben. Bobax und Kibuv.B scheinen also die Ööbeltäter zu sein.
Sebastian