Was hat es mit sn1msg1010825.phx.gbl auf sich?

Internet Internet Sicherheit
#1

Hi,
Hab meinen Rechner XP Prof SP3 neugestartet und unmittelbat nach dem Start in die Konsole netstat -o eingegeben und folgendes Resultat erhalten:

Aktive Verbindungen

 Proto Lokale Adresse Remoteadresse Status PID
 TCP xp1:1026 localhost:1025 WARTEND 0
 TCP xp1:1045 localhost:1025 WARTEND 0
 TCP xp1:1027 sn1msg1010825.phx.gbl:1863 WARTEND 0
 TCP xp1:1035 65.54.52.62:1863 WARTEND 0
 TCP xp1:1036 sn1msg2010811.phx.gbl:1863 HERGESTELLT 936
 TCP xp1:1041 192.168.0.1:49152 HERGESTELLT 1844
 TCP xp1:2869 192.168.0.1:2404 SCHLIESSEN\_WARTEN 4

Was hat es mit diesem sn1msg1010825.phx.gbl auf sich? Ich bin etwas miĂźtrauisch, weil seit Tagen auf meinem DSL-Router solche Meldungen eingehen:

"Jan 1 11:47:42 ","ATTACK Detected: 001[Xmas] attack from WAN (ip:87.123.48.219) detected. Packet dropped."
"Jan 1 11:47:36 ","ATTACK Detected: 001[Xmas] attack from WAN (ip:151.54.203.192) detected. Packet dropped."
"Jan 1 11:47:31 ","ATTACK Detected: 001[Xmas] attack from WAN (ip:88.238.34.173) detected. Packet dropped."
"Jan 1 11:47:24 ","ATTACK Detected: 001[Xmas] attack from WAN (ip:87.17.99.193) detected. Packet dropped."
"Jan 1 11:47:18 ","ATTACK Detected: 001[Xmas] attack from WAN (ip:79.36.29.176) detected. Packet dropped."
"Jan 1 11:47:15 ","ATTACK Detected: 001[Xmas] attack from WAN (ip:218.98.38.194) detected. Packet dropped."

Ich weiĂź ja, dass diese Pakete fallengelassen d.h. ignoriert werden, dennoch bin ich ĂĽber allem beunruhigt

Der Befehl tasklist /svc /FI "IMAGENAME eq svchost.exe"bringt bei geöffnetem Firefox folgendes Ergebnis

Abbildname PID Dienste 
========================= ===== =============================================
svchost.exe 1652 DcomLaunch, TermService 
svchost.exe 1752 RpcSs 
svchost.exe 1844 AudioSrv, Browser, CryptSvc, Dhcp, dmserver, 
 ERSvc, EventSystem, 
 FastUserSwitchingCompatibility, helpsvc, 
 lanmanserver, lanmanworkstation, Netman, 
 Nla, RasMan, Schedule, seclogon, SENS, 
 SharedAccess, ShellHWDetection, TapiSrv, 
 Themes, TrkWks, W32Time, winmgmt, wscsvc, 
 wuauserv, WZCSVC 
svchost.exe 2028 Dnscache 
svchost.exe 320 LmHosts, RemoteRegistry, SSDPSRV 
svchost.exe 1296 WebClient 
svchost.exe 2416 stisvc 
svchost.exe 3128 HTTPFilter

Und nun zurĂĽck zu meiner Anfangsfrage Was hat es mit diesem sn1msg1010825.phx.gbl auf sich? GruĂź Johannes

#2

65.54.52.62 ist ungefragte Verbindung zu Microsoft
Fand zu dieser IP 65.54.52.62 auf http://cqcounter.com/whois/ folgenden Eintrag:

Host 65.54.52.62
Location US US, United States
City -, - -
Organization Microsoft Corp
ISP Microsoft Corp

Was macht Microsoft da? Bitte nur ernst gemeinte Antworten …Danke Johannes

#3

Scheint mit MSN-Messenger zusammenzuhängen
Hi, siehe http://www.google.de/search?hl=de&client=firefox-a&r… scheint mit dem MSN-Messenger zusammenzuhängen. Gruß Johannes

#4

scheint mit dem MSN-Messenger zusammenzuhängen. Gruß Johannes

In der Tat. Du hättest auch einfach nach dem verwendeten Port schauen können: http://www.iana.org/assignments/port-numbers 1863 MSNP http://en.wikipedia.org/wiki/Microsoft_Notification_…

1 Like
#5

Hallo,

meines Erachtens handelt es sich um einen MSN-Bot (MSN Live Search), der u. a. Page Rankings ĂĽberprĂĽft.

Siehe z.B. hier (http://www.primawebtools.de/viewtopic.php?topic=798&…)

„Ein als User getarnter Robot mit IP-Adressen von Microsoft wie 65.55.165.124 bl2sch1082218.phx.gbl; mit der Benutzung der bis Dato nichtexistierenden Domain „phx-gbl“ ist der Beweis einer besonderen Professionalität. Der Log-Eintrag, der als User angesehen wird, folgt dem regulären Such- und Indizierungs-Robot " msnbot“ wenig später, ruft dieselben Seiten wie msnbot auf und hinterlässt einen entsprechenden Referrer-String in den Logfiles, genau so wie es auch normale Besucher tun würden. Dies ist eine Methode festzustellen ob die Seiten den Robots genauso ausgegeben werden, wie den Usern. Die Verwendung von Doorwaypages kann so von den Robots festgestellt werden."

„ATTACK Detected: 001[Xmas] attack from WAN (ip:87.123.48.219) detected. Packet dropped.“

Hierbei handelt es sich um den XMAS-Scan, wie er z.B. von NMAP und Freunden durchgefĂĽhrt werden kann. Ist eine eher selten angewandte Methode, da er eben wie ein Weihnachtsbaum leuchtet. Aber es ja auch bald soweit.

mfg, tf