Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Häufige Port Scans - normal ?

Mitglied: Dilbert-MD

Dilbert-MD (Level 2) - Jetzt verbinden

30.03.2017 um 11:46 Uhr, 2210 Aufrufe, 8 Kommentare

Moin zusammen,

Zwecks VPN-Zugriff haben wir unser "Kabelmodem*)" quasi in einen Bridge Modus gesetzt so dass der Internetverkehr von außen jetzt ungefiltert bis zur dahintergeschalteten UTM (Sophos SG 105) vordringt. Somit erreichen auch alle Pings und PortScans die UTM und landen im Syslog und dazugehörige Warnungen via Mail bei mir.

In letzter Zeit gibt es vermehrt haufenweise Portscans mit Ursprung
89.163.146.72
89.163.242.118
89.163.242.169
und
155.94.89.42
155.94.65.2

https://www.administrator.de/images/c/1/4/19f249a84b3b048d3e3be82788aed5 ...

Laut utrace.de kommen die 155er von einem Wyeth-Ayerst Research Institut
https://www.administrator.de/images/c/1/4/e9c257372808cd8e8fa4e2263ac2b8 ..., https://www.administrator.de/images/c/1/4/cad84b22e2ddc8bfc376a92f7e522d ...

der Andere ist deutschen Ursprungs. Ich bekomme da aber nicht nur eine Warnung, dass Portscans stattgefunden haben, sondern an manchen Tagen 10 bis 30 Warnmeldungen.

Außerdem haben wir neulich einen neuen zusätzlichen Anschluss bekommen mit einer neuen IP.
Router angestöpselt, Grundkonfiguration erstellt, Testdownload eine Grafikkartentreibers (ging schnell!) und laufen lassen.
Schon nach wenigen Minuten trafen die ersten Portscans ein:

2017-03-16 13:34:09;19;1;Dst: 88.15x.yy.zz:5060 {1783VAW.intern}, Src: 163.172.88.123:5072 (UDP): connection refused;
2017-03-16 13:31:15;19;1;Dst: 88.15x.yy.zz:5060 {1783VAW.intern}, Src: 62.138.14.127:5082 (UDP): connection refused;
2017-03-16 13:18:16;19;1;Dst: 88.15x.yy.zz:5060 {1783VAW.intern}, Src: 92.42.106.173:5720 (UDP): connection refused;
2017-03-16 13:09:50;19;1;Dst: 88.15x.yy.zz:1900 {1783VAW.intern}, Src: 222.114.62.121:31744 (UDP): connection refused;
2017-03-16 12:56:50;19;1;Dst: 88.15x.yy.zz:3386 {1783VAW.intern}, Src: 198.20.69.98:30227 (UDP): connection refused;
2017-03-16 12:48:09;19;1;Dst: 88.15x.yy.zz:5060 {1783VAW.intern}, Src: 163.172.88.123:5095 (UDP): connection refused;
2017-03-16 12:40:03;19;1;Dst: 88.15x.yy.zz:17 {1783VAW.intern}, Src: 185.94.111.1:40346 (UDP): connection refused;
2017-03-16 12:31:44;19;1;Dst: 88.15x.yy.zz:5060 {1783VAW.intern}, Src: 213.202.233.58:6153 (UDP): connection refused;
2017-03-16 12:20:01;19;1;Dst: 88.15x.yy.zz:5060 {1783VAW.intern}, Src: 62.138.14.127:5082 (UDP): connection refused;
2017-03-16 12:01:25;19;1;Dst: 88.15x.yy.zz:65476 {1783VAW.intern}, Src: 213.202.233.61:5921 (UDP): connection refused;
2017-03-16 11:58:17;19;1;Dst: 88.15x.yy.zz:5060 {1783VAW.intern}, Src: 89.163.242.118:5296 (UDP): connection refused;
2017-03-16 11:53:54;0;5;[ETH-2] link down;

(11:53 habe ich den Laptop ausgestellt)


Gehört das noch zum sog. 'Grundrauschen' des Internets oder ist das schon auffällig häufig?
Sucht da jemand nach offenen SIP-Ports, um an Telefonanlagen 'ranzukommen ?

Gruß
Holger

*)
unser Provider hat als Netzabschluss eine FB7390 hingestellt und uns die Zugangsdaten gegebn, so dass die auch konfigurieren können (z.B. für unsere Telefone). Bisher hatten wir also eine Routerkaskade. FB arbeitet jetzt als Exposed Host.
war_1 - Klicke auf das Bild, um es zu vergrößern
war_2 - Klicke auf das Bild, um es zu vergrößern
portscan - Klicke auf das Bild, um es zu vergrößern
Mitglied: 132692
LÖSUNG 30.03.2017, aktualisiert um 11:58 Uhr
Gehört das noch zum sog. 'Grundrauschen' des Internets
Jepp, vollkommen normal! Das ist noch wenig.

Gruß p.
Bitte warten ..
Mitglied: plexxus
LÖSUNG 30.03.2017 um 11:55 Uhr
Ja, leider ist das Internet ein wilder Westen.
Deshalb .. UPNP und so Dinge mit Vorsicht genießen.
Keine Default Ports verwenden (hab ssh immer verbogen), bzw. (Open)VPN oder L2TP-IPSEC für den Zugriff von extern auf intern.
Server in ein DMZ (sollte die Sophos haben).
Wartungsports (https,. ssh) der Sophos nicht im WAN freigeben.
Bitte warten ..
Mitglied: brammer
LÖSUNG 30.03.2017 um 11:56 Uhr
Hallo,

schlicht und ergreifend Grundrauschen.....

30 Portscan am Tag? Das reicht gerade dafür das die Firewall nicht einschläft.... das schaffen wir aktuell in 5 min.....

brammer
Bitte warten ..
Mitglied: plexxus
30.03.2017 um 12:03 Uhr
hab bei mir ca 100 Scans in der Minute, aber gut. T_T
Bitte warten ..
Mitglied: Dilbert-MD
30.03.2017 um 12:15 Uhr
Danke für die "guten" nachrichten. ich hätte nicht gedacht, dass das Grundrauschen so laut ist. In der Nähe eines Werksgeländes schon, aber auch bei Neuen Anschlüssen....

Ich gebe zu, ich hatte bisher auch keine Logfiles und die Speedports und Fritzboxen geben ja nicht viel her.

Gruß
Holger
Bitte warten ..
Mitglied: LordGurke
30.03.2017 um 13:20 Uhr
Siehe auch hier: Die Portscans gehen auf das gesamte Internet los, nicht nur irgendwelche vermeintlich "interessante" Netze.
https://www.administrator.de/wissen/alle-sichtung-firewall-logs-schnell- ...
Bitte warten ..
Mitglied: aqui
30.03.2017 um 14:11 Uhr
Jepp, vollkommen normal! Das ist noch wenig.
Ist völlig normal end sehr sehr wenig bei dir. Da hast du eine sprichwörtliche "ruhige Minute" erwischt.
Normal liegt das im Faktor 100 und mehr höher. Weltfremd wer was anderes annehmen würde.
Ist ja schon alles gesagt dazu..
Bitte warten ..
Mitglied: Dilbert-MD
31.03.2017 um 16:57 Uhr
Zitat von LordGurke:

Siehe auch hier:

Ja ich glaube diesen Beitrag hatte ich im Hinterkopf. Ich erinnerte mich noch an das dort genannte Wort "Grundrauschen".
Bitte warten ..
Ähnliche Inhalte
Grafik
Scan mit Markierung
gelöst Frage von jojo0411Grafik5 Kommentare

Hallo Leute, Hat jemand von euch eine Idee ob es einen Scanner gibt der nach dem Scan das Dokument ...

Netzwerke
Netzwerk Dienste Scan
Frage von Sv-SchneiderNetzwerke3 Kommentare

Guten Tag, Ich suche im Moment ein Tool, womit ich die Komplettte Serverlandschaft Abscannen kann. Dieses Tool soll eine ...

Drucker und Scanner
Massendruck Duplex oder Normal
Frage von HerQQlessDrucker und Scanner6 Kommentare

Hallo Liebe Community, Ich habe momentan ein Problem mit einem Massendruck, der einfach nur weitergibt "Die Seite ist Duplex" ...

Linux Netzwerk

OpenVPN verbindet, routet aber normal weiter

gelöst Frage von Herr-NLinux Netzwerk28 Kommentare

Ich habe auf meinem debian Server OpenVPN eingerichtet. Als Client kommt die OpenVPN Connect APP für Android zum Einsatz. ...

Neue Wissensbeiträge
Microsoft Office

Office 365 Makro Schutz nicht immer per GPO möglich

Information von sabines vor 2 TagenMicrosoft Office5 Kommentare

Der zum Schutz gegen Verschlüsselungstrojaner wichtige Makroschutz lässt sich wohl in Office 365 nicht immer per GPO einstellen. Für ...

Netzwerkmanagement
How To Mikrotik Netinstall
Erfahrungsbericht von areanod vor 4 TagenNetzwerkmanagement

Jedes Mal wenn ich Netinstall längere Zeit nicht benutzt habe stolpere ich über die „Besonderheiten“ dieser Software. Das ist ...

Microsoft
Microsoft: LDAPS per Update als Default
Information von em-pie vor 4 TagenMicrosoft2 Kommentare

Hallo, Microsoft wird mit einem der zukünftigen Updates LDAP auf LDAPS per Default umstellen. Admins von angebundenen Systemen die ...

Humor (lol)

Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden

Information von Dilbert-MD vor 6 TagenHumor (lol)21 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Heiß diskutierte Inhalte
Netzwerkgrundlagen
Reichweite bei Netzwerkdruckern mit Kupfer
gelöst Frage von OIOOIOOIOIIOOOIIOIIOIOOONetzwerkgrundlagen35 Kommentare

Guten Tag, aus gegebenem Anlass, möchte ich euch fragen, was aus eurer Sicht, eine akzeptable Reichweite bei einem Netzwerkdrucker ...

Visual Studio
Aufgabenplaner führt Programm inkorrekt aus
Frage von TallerBiskusVisual Studio22 Kommentare

Hallo Leute :) Ich habe ein sehr seltsames Phänomen. Folgende Gegebenheiten : Wir haben einen Windows Server 2012 R2 ...

Hardware
Stromausfalllogger
Frage von certifiedit.netHardware19 Kommentare

Guten Nachmittag, welche Geräte könnt Ihr empfehlen um Stromausfälle, optimalerweise auch Frequenzstörungen zu loggen? Geht hier um keinen konkreten ...

Windows Tools
Autologoff Local User Windows 10 bei idle Time von 900 Sekunden
Frage von Hendrik2586Windows Tools19 Kommentare

Hallo ihr lieben. :) Ich hatte das Thema schon mal vor einer Weile, aber nun muss ich es nochmal ...