11
Port Scanner - Port 3389
Hallo Admins,
ich habe mal eine Frage.
Wir haben in der Firma eine Netzwerk mit 17 Rechner.
Jetzt haben wir vom von unseren DSL - Anbieter einen Brief bekommen,
das eine oder mehrer Rechner, mit einem Programm oder was auch immer, über den Port 3389 andere Rechner,
irgendwo versucht zu connecten.
Ich habe die Header-Datei vom Anbieter bekommen und es ist immer der Remote-Port 3389.
Es sieht wie folgt aus:
date.time srcIP srcPort dstIP dstPort proto #pkts
1205.01:57:17.176 80.141.140.xxx 4935 xxx.215.246.72 3389 6 1
Jetzt müssen wir inerhalb 1 Woche heraus finden, welcher Rechner mit welchen Trojaner oder Virus versucht
nach aussen was zu tun.
Mein Frage ist, wie kann man das am besten machen ?
Ich habe mir gedacht, das ich erst mal einen Portscanner auf ejdem Rechner installiere,
der das Conneten mitprotokolliert.
Kennt Ihr ein gutes Tool, das ich nehmen kann ?
Oder gibt es eine andere Lösung, wie man das am besten heraus finden kann ?
Ich werde noch Hardwaremässig was zwichen dem Router und unserem Netzwerk "reinhängen",
damit ich solche Ports auch sperren kann.
Weiss auch da vielleicht einer, was man da nehmen kann.
Hat jemmand son ähnliches Problem schon gehabt ?
Ich hoffe jemmand weiss Rat.
Danke schon mal..
Gruss
ich habe mal eine Frage.
Wir haben in der Firma eine Netzwerk mit 17 Rechner.
Jetzt haben wir vom von unseren DSL - Anbieter einen Brief bekommen,
das eine oder mehrer Rechner, mit einem Programm oder was auch immer, über den Port 3389 andere Rechner,
irgendwo versucht zu connecten.
Ich habe die Header-Datei vom Anbieter bekommen und es ist immer der Remote-Port 3389.
Es sieht wie folgt aus:
date.time srcIP srcPort dstIP dstPort proto #pkts
1205.01:57:17.176 80.141.140.xxx 4935 xxx.215.246.72 3389 6 1
Jetzt müssen wir inerhalb 1 Woche heraus finden, welcher Rechner mit welchen Trojaner oder Virus versucht
nach aussen was zu tun.
Mein Frage ist, wie kann man das am besten machen ?
Ich habe mir gedacht, das ich erst mal einen Portscanner auf ejdem Rechner installiere,
der das Conneten mitprotokolliert.
Kennt Ihr ein gutes Tool, das ich nehmen kann ?
Oder gibt es eine andere Lösung, wie man das am besten heraus finden kann ?
Ich werde noch Hardwaremässig was zwichen dem Router und unserem Netzwerk "reinhängen",
damit ich solche Ports auch sperren kann.
Weiss auch da vielleicht einer, was man da nehmen kann.
Hat jemmand son ähnliches Problem schon gehabt ?
Ich hoffe jemmand weiss Rat.
Danke schon mal..
Gruss
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 177493
Url: https://administrator.de/contentid/177493
Ausgedruckt am: 25.11.2024 um 09:11 Uhr
11 Kommentare
Neuester Kommentar
3389 ist der Standard Port Remote Desktop Dienste (Windows). Wird RDP bei euch verwendet zum Fernwarten evtl.?
Moin,
einfach einen richtigen Router mit Firewall. Ein Cisco RV oder ASA reicht und ist nicht so teuer.
Dort den Port 3389 ausgehend sperren und ins Protokoll eintragen lassen.
Dann weiß man nach 10 Minunten welcher PC das ist und kann sich um den kümmern.
Fertig.
Stefan
einfach einen richtigen Router mit Firewall. Ein Cisco RV oder ASA reicht und ist nicht so teuer.
Dort den Port 3389 ausgehend sperren und ins Protokoll eintragen lassen.
Dann weiß man nach 10 Minunten welcher PC das ist und kann sich um den kümmern.
Fertig.
Stefan
Hallo,
3389 ist der Standard RDP Port,
Das sollte jeder Router können und auch viele Switche können das
Wenn du dann noch die 3 X von der destination IP lesbar gestaltest kann man auch feststellen wohin den die Verbndung gehen soll.
brammer
3389 ist der Standard RDP Port,
Ich werde noch Hardwaremässig was zwichen dem Router und unserem Netzwerk "reinhängen",
Das sollte jeder Router können und auch viele Switche können das
Wenn du dann noch die 3 X von der destination IP lesbar gestaltest kann man auch feststellen wohin den die Verbndung gehen soll.
brammer
Ja.
1 Rechner ist für den Remote freigeschaltet.
Der steht unter Vedacht.
Aber es muss noch ein andere oder mehrere Rechner sein.
Laut Aussage vom Anbieter, wann dieser Vorfall war, war auch der Remoterechner zwischendurch aus gewesen.
Aber der kann es natürlich auch sein.
Gruss
1 Rechner ist für den Remote freigeschaltet.
Der steht unter Vedacht.
Aber es muss noch ein andere oder mehrere Rechner sein.
Laut Aussage vom Anbieter, wann dieser Vorfall war, war auch der Remoterechner zwischendurch aus gewesen.
Aber der kann es natürlich auch sein.
Gruss
Hi !
das geht aber schnell mit den Antworten.
Danke
Wir haben eine Fritzbox 7270.
So weit ich das sehen konnte, kann man nur die eingehenden Port frei schalten oder sperren.
Aber nicht wenn was versucht nach "Aussen" zu gehen.
Das sind die Adressen.
Alles Nummern die mit 131 und 134 anfangen.
Kann man daraus schon was sehen ?
1205.01:57:17.176 80.141.140.162 4935 131.215.246.72 3389 6 1
1205.02:12:51.055 80.141.140.162 4935 134.4.180.194 3389 6 1
Gruß
das geht aber schnell mit den Antworten.
Danke
Wir haben eine Fritzbox 7270.
So weit ich das sehen konnte, kann man nur die eingehenden Port frei schalten oder sperren.
Aber nicht wenn was versucht nach "Aussen" zu gehen.
Das sind die Adressen.
Alles Nummern die mit 131 und 134 anfangen.
Kann man daraus schon was sehen ?
1205.01:57:17.176 80.141.140.162 4935 131.215.246.72 3389 6 1
1205.02:12:51.055 80.141.140.162 4935 134.4.180.194 3389 6 1
Gruß
Tach auch
Auf der FB 7270 ist schon der Port 3389 als "MS Remote Desktop" hinterlegt.
Einfach die "Kindersicherung" aktivieren und bei den Rechnern als "Gesperrte Anwendungen" hinterlegen.
Mfg
-s-v-o-
Auf der FB 7270 ist schon der Port 3389 als "MS Remote Desktop" hinterlegt.
Einfach die "Kindersicherung" aktivieren und bei den Rechnern als "Gesperrte Anwendungen" hinterlegen.
Mfg
-s-v-o-
Hi !
gibt es vielleicht ein Programm, was im Hintergrund läuft und den Port kontrolliert und protokolliert ?
Das Programm müsste beim Sarten des Rechners automtisch starten.
Oder als Task.
Ich finde verscheidne Network Monitor Programme.
Aber die finde ich zu "übeladen".
Kennst sowas einer ?
Ich habe "Microsoft Network Monitor 3.4" und "Wireshark" ausprobiert.
Die Tools sind zwar gut, aber muss das Starten und laufen lassen.
Gruss
gibt es vielleicht ein Programm, was im Hintergrund läuft und den Port kontrolliert und protokolliert ?
Das Programm müsste beim Sarten des Rechners automtisch starten.
Oder als Task.
Ich finde verscheidne Network Monitor Programme.
Aber die finde ich zu "übeladen".
Kennst sowas einer ?
Ich habe "Microsoft Network Monitor 3.4" und "Wireshark" ausprobiert.
Die Tools sind zwar gut, aber muss das Starten und laufen lassen.
Gruss
Zitat von @-s-v-o-:
Auf der FB 7270 ist schon der Port 3389 als "MS Remote Desktop" hinterlegt.
Einfach die "Kindersicherung" aktivieren und bei den Rechnern als "Gesperrte Anwendungen" hinterlegen.
Hallo,Auf der FB 7270 ist schon der Port 3389 als "MS Remote Desktop" hinterlegt.
Einfach die "Kindersicherung" aktivieren und bei den Rechnern als "Gesperrte Anwendungen" hinterlegen.
das löst das Problem mit der Telekom, aber nicht dass ein PC von Euch unter der Kontrolle einer 3. Person steht.
Darüber kann genausogut Spam verschickt werden, das restliche Netzwerk infiziert werden, wichtige Firmen-Daten nach Hause geschickt werden oder einfach alles gelöscht werden.
Empfehlone Vorgehensweise:
- Internet und lokales Netzwerk abschalten und WLAN deaktivieren
- Alle PCs und Notebooks genau prüfen
- Im Zweifel einzelne oder alle Geräte neu installieren
Wenn Ihr Euch damit keine Erfahrung habe beauftragt Jemanden der sie hat.
Vermutlich ist das Problem begrenzt und der Aufwand unnötig, aber solange Ihr das nicht wisst....
Ich habe schon 1-2 Firmen erlebt die sowas mal eben selber lösen wollten.
Eines war eine Versicherung die durch ein schlecht konfiguriertes WAN und Blaster fast 1.000 PCs und alle darauf befindlichen Daten verloren hat.
Stefan
Hallo,
Falls Ihr nur schauen wollt, welche PCs "raus" wollen, könnt Ihr auch einfach die Fritzbox die Pakete mitschneiden lassen und dann miit wireshark (oder anderen programmen) auswerten. notfalls könnt Ihr auch tcpdump auf der Fritzbox installieren um die Pakete live zu sehen.
Aber wenn das wirklich wichtig ist, solltet ihr jemanden Rufen, der sich damit auskennt.
lks
PS: Hier findet man noch mehr Möglichkeiten, was man mit der Fritzbox machen kann.
- 1. Maßnahme: Alles vom Internet trennen.
- 2. Alle kisten mit offline-Scanner (knoppicillin, diverse rescue-CDs der Av-hersteller) durchchecken
- 3. ein FW installlier ggf einfach mal einen PC mit zwei netzwerkkarten nehmen und da drauf pfsense oder ipcop (oder eine andere deiner Wahl9 draufschmeißen udn schauen, wer alles raus will.
Falls Ihr nur schauen wollt, welche PCs "raus" wollen, könnt Ihr auch einfach die Fritzbox die Pakete mitschneiden lassen und dann miit wireshark (oder anderen programmen) auswerten. notfalls könnt Ihr auch tcpdump auf der Fritzbox installieren um die Pakete live zu sehen.
Aber wenn das wirklich wichtig ist, solltet ihr jemanden Rufen, der sich damit auskennt.
lks
PS: Hier findet man noch mehr Möglichkeiten, was man mit der Fritzbox machen kann.
Moin,
ich habe jetzt heraus gefunden, welcher Rechner den Ärger macht.
Benutzt habe ich das Programm von Wireshark und Microsoft Network Monitor.
Bei beiden kann man aber nicht sehen, leider, welches Script oder welches Programm den Connect machen möchte.
Leider.
Wir haben eine Fritzbox 7270.
In der kann ich leider nicht konfiguerien, das der Port 3389 nach aussen gespert werden kann.
Ich suche einen Router mit Firwall, wo ich die ausegehenden Ports kontrollieren, protokollieren und sperren kann.
Weiss jemand einen guten Router ?
Gruss
ich habe jetzt heraus gefunden, welcher Rechner den Ärger macht.
Benutzt habe ich das Programm von Wireshark und Microsoft Network Monitor.
Bei beiden kann man aber nicht sehen, leider, welches Script oder welches Programm den Connect machen möchte.
Leider.
Wir haben eine Fritzbox 7270.
In der kann ich leider nicht konfiguerien, das der Port 3389 nach aussen gespert werden kann.
Ich suche einen Router mit Firwall, wo ich die ausegehenden Ports kontrollieren, protokollieren und sperren kann.
Weiss jemand einen guten Router ?
Gruss
Hallo,
den Rechner hast du ja jetzt, entweder den tauschen und die alte Maschine in Ruhe untersuchen.
Als erstes könntest du alle nicht zwingend erforderlichen Prozesse auf manuell umstellen. und abschalten.
brammer
den Rechner hast du ja jetzt, entweder den tauschen und die alte Maschine in Ruhe untersuchen.
Als erstes könntest du alle nicht zwingend erforderlichen Prozesse auf manuell umstellen. und abschalten.
brammer
