Regelmäßiger Verbindungsaufbau über verschiedene Ports ( über ISDN VPN ) anforderung vom DC
Seit letztem Monat ist bei einem Kunden von uns die anzahl der aufgebauten ISDN Verbindung von ~400 auf ~1400 gestiegen.
Hallo Zusammen,
Situation:
Die Einwahl ist ausschliesslich über einen VPN Tunnel von A nach B möglich und erfolgt über einen Bianca BRICKS x3200 Router.
Dieser VPN Tunnel wird bei anfragen von jeder Seite aufgebaut.
Nach mitloggen über Syslog ist aufgefallen das der DC alle 3/4 Stunde eine Verbindung von Standort A nach Standort B aufbaut und diese für ca 60 Sekunden offen bleibt.
Der Verbindungsaufbau erfolgt allerdings immer über Verschiedene Ports.
Hier einige Beispiele:
2953
3026
3144
3261
3472
Das System bei Standort A wurde in letzter Zeit nicht verändert, es laufen keine ungewöhnlichen Prozesse, es sind keine ungewöhnlichen Autostart einträge vorhanden und es ist auch nichts im Task Planer eingerichtet.
Ein stätig aktueller Virenscanner ( McAfee ) ist ebenfalls vorhanden.
Spybot / Stinger usw. haben nichts gefunden.
Nach dem Verhaltensmuster würde ich schon auf einen Virus/Trojaner Tippen, konnte leider nach längerer Recherche im Internet nichts vergleichbares Finden.
Hat jemand vllt schon einmal so eine Erfahrung gemacht und kann mir eine Lösung für das Problem sagen oder vielleicht noch ein Paar Tips für das Troubleshooting.
Vielen Dank im Voraus
MfG
Hanno
Situation:
Die Einwahl ist ausschliesslich über einen VPN Tunnel von A nach B möglich und erfolgt über einen Bianca BRICKS x3200 Router.
Dieser VPN Tunnel wird bei anfragen von jeder Seite aufgebaut.
Nach mitloggen über Syslog ist aufgefallen das der DC alle 3/4 Stunde eine Verbindung von Standort A nach Standort B aufbaut und diese für ca 60 Sekunden offen bleibt.
Der Verbindungsaufbau erfolgt allerdings immer über Verschiedene Ports.
Hier einige Beispiele:
2953
3026
3144
3261
3472
Das System bei Standort A wurde in letzter Zeit nicht verändert, es laufen keine ungewöhnlichen Prozesse, es sind keine ungewöhnlichen Autostart einträge vorhanden und es ist auch nichts im Task Planer eingerichtet.
Ein stätig aktueller Virenscanner ( McAfee ) ist ebenfalls vorhanden.
Spybot / Stinger usw. haben nichts gefunden.
Nach dem Verhaltensmuster würde ich schon auf einen Virus/Trojaner Tippen, konnte leider nach längerer Recherche im Internet nichts vergleichbares Finden.
Hat jemand vllt schon einmal so eine Erfahrung gemacht und kann mir eine Lösung für das Problem sagen oder vielleicht noch ein Paar Tips für das Troubleshooting.
Vielen Dank im Voraus
MfG
Hanno
Please also mark the comments that contributed to the solution of the article
Content-Key: 36117
Url: https://administrator.de/contentid/36117
Printed on: May 4, 2024 at 12:05 o'clock
5 Comments
Latest comment
hallo haN85!
2953 OVALARMSRV
3026 AGRI Gateway
3144 Tarantella
3261 none
3472 unassigned
..
-offene ports des hosts auswerten und die an diesen gebundenen prozesse mit
Fport v2.0 von Foundstone: http://www.foundstone.com/
unter Resources > Free Tools > Intrusion detection Tools
log sichern und auswerten...
und dann z.b. IRIS Networkanalyzer, dieser hat die u.a faehigkeit
tcp sessions wieder herzustellen, ebenso die pakete...
ist eigentlich forensische software und teuer, gibt aber eine testversion;
http://www.eeye.com/html/products/iris/features.html
den zustand ueber eine woche hinweg protokollieren und auswerten, wenn du nicht weiterkommst oder zweifel hast, ein resume hier posten.
damit sollte es dir eigentlich gelingen der sache auf den grund zu gehen...
saludos
gnarff
[verdammt, ich lese gerade, die IRIs testversion arbeitet nur mit zufallig generierten daten. tja, muss ich nochmal schaun, was es da sonst noch gibt, was man unter windows einsetzen kann...]
2953 OVALARMSRV
3026 AGRI Gateway
3144 Tarantella
3261 none
3472 unassigned
..
-offene ports des hosts auswerten und die an diesen gebundenen prozesse mit
Fport v2.0 von Foundstone: http://www.foundstone.com/
unter Resources > Free Tools > Intrusion detection Tools
log sichern und auswerten...
und dann z.b. IRIS Networkanalyzer, dieser hat die u.a faehigkeit
tcp sessions wieder herzustellen, ebenso die pakete...
ist eigentlich forensische software und teuer, gibt aber eine testversion;
http://www.eeye.com/html/products/iris/features.html
den zustand ueber eine woche hinweg protokollieren und auswerten, wenn du nicht weiterkommst oder zweifel hast, ein resume hier posten.
damit sollte es dir eigentlich gelingen der sache auf den grund zu gehen...
saludos
gnarff
[verdammt, ich lese gerade, die IRIs testversion arbeitet nur mit zufallig generierten daten. tja, muss ich nochmal schaun, was es da sonst noch gibt, was man unter windows einsetzen kann...]