10
Abmahnung wegen P2P. Betreffender Port zeigt auf bestimmten Rechner. Zuordnung eindeutig?
Hallo zusammen,
bei uns in der WG ist kürzlich eine Abmahnung wegen angeblicher Urheberrechtsverletzung eingegangen. Hier bin ich der "Laien"-Admin.
Die angegebene IPv4 scheint tatsächlich uns zu gehören.
Das Ganze soll per P2P (bittorrent) von einem bestimmten Port aus passiert sein.
Dieser Port ist Teil einer recht großzügigen Portweiterleitung des Routers auf einen Linux-Server im Netzwerk (NAS, Nextcloud).
Ist dies schon ein eindeutiger Hinweis darauf, dass die Übertragung vom Server stammt? Oder ist es möglich dass nach außen hin ein anderer Port sichtbar ist?
Mir geht es darum den PC, von dem die Übertragung stammt, zu identifizieren um ihn entsprechend säubern zu können. Bin aber leider mit den technischen Details einer Portweiterleitung nicht wirklich vertraut.
Vielen Dank für Eure Hilfe!
bei uns in der WG ist kürzlich eine Abmahnung wegen angeblicher Urheberrechtsverletzung eingegangen. Hier bin ich der "Laien"-Admin.
Die angegebene IPv4 scheint tatsächlich uns zu gehören.
Das Ganze soll per P2P (bittorrent) von einem bestimmten Port aus passiert sein.
Dieser Port ist Teil einer recht großzügigen Portweiterleitung des Routers auf einen Linux-Server im Netzwerk (NAS, Nextcloud).
Ist dies schon ein eindeutiger Hinweis darauf, dass die Übertragung vom Server stammt? Oder ist es möglich dass nach außen hin ein anderer Port sichtbar ist?
Mir geht es darum den PC, von dem die Übertragung stammt, zu identifizieren um ihn entsprechend säubern zu können. Bin aber leider mit den technischen Details einer Portweiterleitung nicht wirklich vertraut.
Vielen Dank für Eure Hilfe!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 571120
Url: https://administrator.de/contentid/571120
Printed on: May 7, 2024 at 16:05 o'clock
10 Comments
Latest comment
Die Zuordnung intern sieht man extern nicht. Aber es kommt natürlich auch darauf an, wer alles Portweiterleitungen anlegen kann. wenn das alle sein können...nunja...
Die Portweiterleitung kann in diesem Fall nicht jeder anlegen, da das Passwort zum Router nicht allen bekannt ist.
Was hat es mit der Zuordnung (intern/extern) auf sich?
Was hat es mit der Zuordnung (intern/extern) auf sich?
Genau damit, hinterfrage die, die Portweiterleitungen konfigurieren können. Wobei Torrent nicht zwangsläufig Portweiterleitungen brauchen (wenn ich das richtig im Hinterkopf hab, ist ja doch schon etwas betagt..)
Für P2P/bittorrent ist eine Portweiterleitung eben gar nicht nötig.
Die Argumentation, Person X kann eine Portweiterleitung einrichten, also war es Person X funktioniert daher aus meiner Sicht nicht.
Ich frage mich eher ob trotz der Portweiterleitung an einen bestimmten Recher, ein anderer Rechner Daten so übertragen kann, dass es von außen so aussieht, als hätte er den weitergeleiteten Port verwendet.
Die Argumentation, Person X kann eine Portweiterleitung einrichten, also war es Person X funktioniert daher aus meiner Sicht nicht.
Ich frage mich eher ob trotz der Portweiterleitung an einen bestimmten Recher, ein anderer Rechner Daten so übertragen kann, dass es von außen so aussieht, als hätte er den weitergeleiteten Port verwendet.
Nabend,
ist vielleicht auf dem Linuxserver ein Torrent-Client installiert? Für was dient denn der besagte Port, den Du auch problemlos nennen kannst?
Gruß
cykes
ist vielleicht auf dem Linuxserver ein Torrent-Client installiert? Für was dient denn der besagte Port, den Du auch problemlos nennen kannst?
Gruß
cykes
Möglicherweise wird das hier genutzt:
https://apps.nextcloud.com/apps/ocdownloader
https://apps.nextcloud.com/apps/ocdownloader
Richtig, aber wie kommst du dann darauf? Der NC Host kann die Identifizierung aber erleichtern, aber auch dazu missbraucht werden und/oder selbst solche Daten zur verfügung stellen - ich sag nur Dummköpfe, die meinen ihre 20TB Filmsammlung public machen zu müssen, weil Sie meinen damit in der Gruppe besser da zu stehen...
Dort war ein Client installiert (transmission).
Allerdings gibt es auch auf anderen Rechner im Netzwerk entsprechende Clients.
Der Port (61814) dient leider soweit mir bekannt keinem konkreten Zweck. Hier wurde wohl, als mal eine einzelne Portweiterleitung nicht funktioniert hatte praktisch die gesamte Range auf gemacht und auf den Server umgeleitet und das dann so belassen.
Die Nextcloud App war nicht installiert.
Im Schreiben vom Anwalt war eben ein Port genannt. Dieser Port ist Teil einer Portweiterleitung. Ich frage mich nun ob das eindeutig ist oder nicht.
Mir geht es nur um den Teil ob die Port-Weiterleitung eine eindeutige Sache ist. Zum Thema Abmahnungen wegen P2P gibt es bereits tonnenweise Infomaterial. Aber ich finde nichts zu den Ports und warum der Port z.B. explizit im Schreiben vom Anwalt steht.
Allerdings gibt es auch auf anderen Rechner im Netzwerk entsprechende Clients.
Der Port (61814) dient leider soweit mir bekannt keinem konkreten Zweck. Hier wurde wohl, als mal eine einzelne Portweiterleitung nicht funktioniert hatte praktisch die gesamte Range auf gemacht und auf den Server umgeleitet und das dann so belassen.
Die Nextcloud App war nicht installiert.
Im Schreiben vom Anwalt war eben ein Port genannt. Dieser Port ist Teil einer Portweiterleitung. Ich frage mich nun ob das eindeutig ist oder nicht.
Mir geht es nur um den Teil ob die Port-Weiterleitung eine eindeutige Sache ist. Zum Thema Abmahnungen wegen P2P gibt es bereits tonnenweise Infomaterial. Aber ich finde nichts zu den Ports und warum der Port z.B. explizit im Schreiben vom Anwalt steht.
Hey, willkommen im Forum! So ganz unter zwei Foren-Neulingen - Verstehe ich das richtig:
Du hast zu der Abmahnung eine Angabe zu einem Port erhalten, auf dem die fragliche Verbindung stattgefunden haben soll. Von dem Port hast Du eine Weiterleitung auf deinen Rechner?
Ich weiß nicht was Du erwartest, aber wenn die Portweiterleitung vom externen Port des Routers auf deinen Rechner zeigt, kommen die Daten von extern auch an deinem Rechner an. Das kann ja nicht anders sein. Wozu sollte sonst jemand eine Weiterleitung einrichten?
Du hast zu der Abmahnung eine Angabe zu einem Port erhalten, auf dem die fragliche Verbindung stattgefunden haben soll. Von dem Port hast Du eine Weiterleitung auf deinen Rechner?
Ich weiß nicht was Du erwartest, aber wenn die Portweiterleitung vom externen Port des Routers auf deinen Rechner zeigt, kommen die Daten von extern auch an deinem Rechner an. Das kann ja nicht anders sein. Wozu sollte sonst jemand eine Weiterleitung einrichten?
Die Weiterleitung läuft auf einen bestimmten Rechner der als Server eingerichtet ist.
Wenn dieser Rechner tatsächlich diese Verbindung aufgebaut hat, muss ich davon ausgehen dass der Server kompromittiert ist.
Die Serverlogs und Zabbix (monitort den Datendurchsatz des Servers auf der Ethernet-Schnittstelle) legen aber nahe dass zu der fraglichen Zeit nichts auf der Schnittstelle aktiv war. Daher passt das aus meiner Sicht nicht zusammen.
"Das kann ja nicht anders sein." Das frage ich mich eben.
Könnte zum Beispiel per UPnP die Weiterleitung kurzzeitig überschrieben werden? (Im Forum von DD-WRT habe ich dazu zumindest einen Hinweis gefunden.)
Kann das aktive Gastnetzwerk den Port ebenfalls benutzen? (Nach außen ist die selbe IP sichtbar, das Gastnetzwerk ist aber ein eigenes Subnetz)
Wenn die Portweiterleitung nicht umgangen werden kann, könnte ich dann mit einer Portweiterleitung aller Ports auf einen Rechner alle anderen Rechner aus dem Internet aussperren? Auf den Server läuft auch eine Portweiterleitung auf Port 80 und Port 443, trotzdem kann jeder andere aus dem Netzwerk noch Internetseiten aufrufen. Wie kann das sein, wenn die Portweiterleitung eindeutig ist?
Gilt die Portweiterleitung vielleicht nur für Anfragen die von außerhalb gestellt werden? Aber nicht für Antworten auf Anfragen die aus dem eigenen Netz kommen? Kenne mich hier mit den Hintergründen von Ports nicht aus.
Wenn dieser Rechner tatsächlich diese Verbindung aufgebaut hat, muss ich davon ausgehen dass der Server kompromittiert ist.
Die Serverlogs und Zabbix (monitort den Datendurchsatz des Servers auf der Ethernet-Schnittstelle) legen aber nahe dass zu der fraglichen Zeit nichts auf der Schnittstelle aktiv war. Daher passt das aus meiner Sicht nicht zusammen.
"Das kann ja nicht anders sein." Das frage ich mich eben.
Könnte zum Beispiel per UPnP die Weiterleitung kurzzeitig überschrieben werden? (Im Forum von DD-WRT habe ich dazu zumindest einen Hinweis gefunden.)
Kann das aktive Gastnetzwerk den Port ebenfalls benutzen? (Nach außen ist die selbe IP sichtbar, das Gastnetzwerk ist aber ein eigenes Subnetz)
Wenn die Portweiterleitung nicht umgangen werden kann, könnte ich dann mit einer Portweiterleitung aller Ports auf einen Rechner alle anderen Rechner aus dem Internet aussperren? Auf den Server läuft auch eine Portweiterleitung auf Port 80 und Port 443, trotzdem kann jeder andere aus dem Netzwerk noch Internetseiten aufrufen. Wie kann das sein, wenn die Portweiterleitung eindeutig ist?
Gilt die Portweiterleitung vielleicht nur für Anfragen die von außerhalb gestellt werden? Aber nicht für Antworten auf Anfragen die aus dem eigenen Netz kommen? Kenne mich hier mit den Hintergründen von Ports nicht aus.
