nero
24.10.2019
view3665
view8
0
Goto Top

SNMP Zugriffe vom Smartphone aus

FrageSicherheitErkennung, Abwehr
Hallo, habe gestern folgende Warnmails von einer unserer APC's bekommen:

Serial # : ZA07XXXXXXXX
Device Ser #: AS07XXXXXXXX
Date: 10/23/2019
Time: 15:00:04
Code: 0x0004

Informational - System: Detected an unauthorized user attempting to access the SNMP interface from 10.10.0.54.

es waren 20 dieser Warnmails an der Zahl, Zeitraum etwas über einer Stunde.
Das komische, diese IP gehört zu einem Huawei Smartphone. Es ist keine spezielle Software auf dem Handy installiert. Hat jemand sowas schon mal gesehen?
Danke
nero
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 508266

Url: https://administrator.de/contentid/508266

Ausgedruckt am: 25.11.2024 um 10:11 Uhr

8 Kommentare
Neuester Kommentar
Goto Top
Kraemer
Kraemer 24.10.2019 um 08:05:41 Uhr
Goto Top
Moin,

Zitat von @nero:
Es ist keine spezielle Software auf dem Handy installiert.
wenn du dir damit sicher bist, drängt sich der Verdacht auf, dass das Smartphone gekapert wurde.

Gruß
Lochkartenstanzer
Lochkartenstanzer 24.10.2019 aktualisiert um 08:10:55 Uhr
Goto Top
Der Trump hat recht!
Der Trump hat recht!
Der Trump hat recht!
Der Trump hat recht!
...

face-smile

lks

PS: Ich würde erstmal cerifizieren, ob die IP-Adresse korrekt zugeordnet wurde und ob kein ip-spoofing gemacht wird. Dann würde ich mal das Telefon auseinandernehmen. Vielleicht hat ja auch einfach nur jemand ein Standard-Netzwerktool auf seinem Telefon.

lks
nero
nero 24.10.2019 um 08:21:33 Uhr
Goto Top
ja, das Smartphone gehört mir, es ist erst einige Wochen alt und ich habe keine Netzwerküberwachungs oder sonstige tools drauf installiert. Es ist nicht gerootet.
aqui
aqui 24.10.2019 um 10:01:39 Uhr
Goto Top
Auf die intelligente Idee dir die vom Smartphone ausgesendeten Pakete mal mit dem Wireshark genau anzusehen bist du nicht gekommen ??!
nero
nero 25.10.2019 um 07:47:43 Uhr
Goto Top
doch, eigentlich schon, hatte gestern aber erstmal NetGuard auf dem Smartphone installiert und gewartet, tatsächlich gabs wieder Zugriffe von der Smartphone-IP aus, aber Netguard hat nichts aufgezeichnet, keine UDP-Pakete. Kann es eventuell was mit Netzwerkdruckern zu tun haben? Das Smartphone hat gestern einmal ungefähr zur gleichen Zeit mit einem Netzwerkdrucker kommuniziert. Ich kenne die Protokolle nicht, um Netzwerkdrucker zu finden, aber spielt SNMP dabei eventuell eine Rolle?
aqui
aqui 25.10.2019 um 08:52:40 Uhr
Goto Top
Könnte...wenn der Papier, Tinten oder Toner Status per SNMP abfragt.
Sinnvoll wäre aber mal mit dem Wireshark genau nachzusehen WAS dort per SNMP angefragt oder gemacht wird. Anhand der im SNMP Frame mitgeschickten OID kannst du das ganz genau identifizieren.
Also...Wireshark ist wie immer dein Freund !
Schleif den in den APC Port ein oder spiegele diesen Port am Switch (Mirrorport) und seh dir das damit genau an.
Ich kenne die Protokolle nicht, um Netzwerkdrucker zu finden
Sollte man aber als Netzwerker. Das ist erste Klasse, Netzwerkgrundschule face-wink
In der Regel ist das mDNS, SSDP oder SMB NBNA Broadcasts.
aber spielt SNMP dabei
Nein, niemals für die Dienste Discovery im Netz. Am besten du machst dich erstmal etwas schlau und liest mal statt hier in einem Admin Forum im freien Fall rumzuraten und wirr zu spekulieren !
https://de.wikipedia.org/wiki/Simple_Network_Management_Protocol
nero
nero 25.10.2019 um 14:44:44 Uhr
Goto Top
bin kein Netzwerker, aber danke für deine Antwort.
Und es tut mir Leid, wollte das Niveau des Forums nicht runterziehen ;)
aqui
aqui 25.10.2019 aktualisiert um 14:51:24 Uhr
Goto Top
Alles gut... Immerhin hast du SNMP erkannt, was ja schonmal was ist. Also musst du dein Licht gar nicht so unter den Scheffel stellen... face-wink
FrageSicherheitErkennung, Abwehr
Mehr von neroneroInplace Upgrade von Windows Server 2008 RS Datacenter auf 2012 R2 Datacenternero - 11 KommentareneroLexware Reisekosten Supervisor Passwort ändern oder entfernennero - 2 KommentareneroWindows 7 Ultimate - Onboard Netzwerkkarte sehr langsamnero - 11 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 KommentareLangaberWindows Server Sicherung Restore - MöglichkeitenLangaber - 19 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 16 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentareBlitterWindows 10 u. 11 und 802.1x Netzwerk PortsecurityBlitter - 11 KommentareDarkened1645Bildqualität der Windows Remotedesktop-Sitzung verbessernDarkened1645 - 11 Kommentare