Verdächtiger Eintrag im Firewall Log
Ich habe seit einiger Zeit Einträge im Firewall-Log, die ich nicht zuordnen kann. Ich bitte um Hilfe, das zu identifizieren und abzustellen.
Das LAN ist ein /24 im Bereich 172.16/12. Zieladresse der verdächtigen Pakete ist immer 192.168.178.29:7000, Quelladressen sind drei Mac-Rechner im LAN (jeweils neueste Systemversion). Es handelt sich um einen Versuch zum Verbindungsaufbau per TCP (SYN-Flag gesetzt). Einer der Rechner setzt dazu immer ECE und(!) CWR (das ist ja komplett Nonsense ...). Die Pakete enthalten weiter keinen relevanten Inhalt. Die Firewall verwirft diese Pakete, weil diese nicht geroutet werden können. Im Log taucht das auf, weil ich Zugriffe auf lokal nicht vorhandene RFC-1918-Netzwerke explizit logge.
Die Zieladresse liegt in dem Bereich, den Fritzboxen üblicherweise nutzen (192.168.178/24). Ich habe keine solche HW in meinem Netzwerk. Die Rechner könnten sich die Adresse aus einem "Ausflug" in ein anderes Netzwerk gemerkt haben (Nutzung eines Gäste-WLANs in einer Urlaubsunterkunft, gemeinsame Eigenschaft der drei betroffenen Rechner), das reicht mir als Erklärung aber nicht aus.
Ich habe bereits ohne Erfolg versucht den verantwortlichen Prozess für den verdächtigen traffic auf einem der Mac-Rechner zu identifizieren (mit LittleSnitch). Während dieser Untersuchung war das Verhalten komplett verschwunden. Ich brauche vermutlich ein besseres Tool, aber da fehlt mir jetzt das notwendige Wissen.
Mit Sophos-Antivirus habe ich auf einem der Rechner nach Schad-Software gesucht: Kein Befund. Kann das trotzdem eine Schad-Software sein?
Schonmal herzlichen Dank für Anregungen!
Das LAN ist ein /24 im Bereich 172.16/12. Zieladresse der verdächtigen Pakete ist immer 192.168.178.29:7000, Quelladressen sind drei Mac-Rechner im LAN (jeweils neueste Systemversion). Es handelt sich um einen Versuch zum Verbindungsaufbau per TCP (SYN-Flag gesetzt). Einer der Rechner setzt dazu immer ECE und(!) CWR (das ist ja komplett Nonsense ...). Die Pakete enthalten weiter keinen relevanten Inhalt. Die Firewall verwirft diese Pakete, weil diese nicht geroutet werden können. Im Log taucht das auf, weil ich Zugriffe auf lokal nicht vorhandene RFC-1918-Netzwerke explizit logge.
Die Zieladresse liegt in dem Bereich, den Fritzboxen üblicherweise nutzen (192.168.178/24). Ich habe keine solche HW in meinem Netzwerk. Die Rechner könnten sich die Adresse aus einem "Ausflug" in ein anderes Netzwerk gemerkt haben (Nutzung eines Gäste-WLANs in einer Urlaubsunterkunft, gemeinsame Eigenschaft der drei betroffenen Rechner), das reicht mir als Erklärung aber nicht aus.
Ich habe bereits ohne Erfolg versucht den verantwortlichen Prozess für den verdächtigen traffic auf einem der Mac-Rechner zu identifizieren (mit LittleSnitch). Während dieser Untersuchung war das Verhalten komplett verschwunden. Ich brauche vermutlich ein besseres Tool, aber da fehlt mir jetzt das notwendige Wissen.
Mit Sophos-Antivirus habe ich auf einem der Rechner nach Schad-Software gesucht: Kein Befund. Kann das trotzdem eine Schad-Software sein?
Schonmal herzlichen Dank für Anregungen!
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 371676
Url: https://administrator.de/forum/verdaechtiger-eintrag-im-firewall-log-371676.html
Ausgedruckt am: 18.05.2025 um 08:05 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
der port 7000 bei apple wird fuer afl fileserver genutzt.
hier mal aus dem /etc/services :
afs3-fileserver 7000/udp # file server itself
afs3-fileserver 7000/tcp # file server itself
Werden die Mac Rechner vielleicht auch von den Clients von zu Hause genutzt ?
Zuerst am Mac Rechner ueberpruefen ob der Dienst laueft.
ps aux | grep afs
Du kannst den Dienst dann mit kill beenden, aber beim Systemstart sind die dann wieder da.
Mit sysctl und dem entsprechenden Optionen kannst Du den Service aus dem Kernel nach Hause schicken.
Ueber den Finder kannst Du auch den Activity Monitor starten und Prozesse analysieren.
Falls die Commandline Tools installiert sind kannst Du auch tshark oder tcpdump starten und den output ueber Wireshark analysieren.
Gruss
der port 7000 bei apple wird fuer afl fileserver genutzt.
hier mal aus dem /etc/services :
afs3-fileserver 7000/udp # file server itself
afs3-fileserver 7000/tcp # file server itself
Werden die Mac Rechner vielleicht auch von den Clients von zu Hause genutzt ?
Zuerst am Mac Rechner ueberpruefen ob der Dienst laueft.
ps aux | grep afs
Du kannst den Dienst dann mit kill beenden, aber beim Systemstart sind die dann wieder da.
Mit sysctl und dem entsprechenden Optionen kannst Du den Service aus dem Kernel nach Hause schicken.
Ueber den Finder kannst Du auch den Activity Monitor starten und Prozesse analysieren.
Falls die Commandline Tools installiert sind kannst Du auch tshark oder tcpdump starten und den output ueber Wireshark analysieren.
Gruss
Hallo Archimedes,
vielen Dank für die Hinweise. Ist afl == afs3 == AFP? Dann will ich den Dienst nicht abschalten, alle Macs nutzen das im Netz.
Der Hinweis auf tshark ist wertvoll. Hier ein output:
283 198 78.328614 172.27.2.82 -> 192.168.178.29 TCP 78 63496→7000 [SYN] Seq=0 Win=65535 Len=0 MSS=1460 WS=32 TSval=996294528 TSecr=0 SACK_PERM=1
199 78.331535 192.168.178.29 -> 172.27.2.82 TCP 60 7000→63496 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
Die Antwort auf das SYN-Pakt wird durch die Firewall erzeugt. Die Regel weist per "reject" (per RST und ACK) ab, nicht per "block".
Mit Wireshark kommt man nicht weiter, das SYN-Paket hat keine Länge / keinen Inhalt. Das hatte ich schon früher untersucht.
Vermutung: Die Macs prüfen, ob ein vormals bekannter Fileserver im Netz vorhanden ist. Das würde ich dann gerne abstellen.
Frage: Wo speichern sich die Macs die vormals gültige Zieladresse?
vielen Dank für die Hinweise. Ist afl == afs3 == AFP? Dann will ich den Dienst nicht abschalten, alle Macs nutzen das im Netz.
Der Hinweis auf tshark ist wertvoll. Hier ein output:
- tshark | grep 7000
283 198 78.328614 172.27.2.82 -> 192.168.178.29 TCP 78 63496→7000 [SYN] Seq=0 Win=65535 Len=0 MSS=1460 WS=32 TSval=996294528 TSecr=0 SACK_PERM=1
199 78.331535 192.168.178.29 -> 172.27.2.82 TCP 60 7000→63496 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
Die Antwort auf das SYN-Pakt wird durch die Firewall erzeugt. Die Regel weist per "reject" (per RST und ACK) ab, nicht per "block".
Mit Wireshark kommt man nicht weiter, das SYN-Paket hat keine Länge / keinen Inhalt. Das hatte ich schon früher untersucht.
Vermutung: Die Macs prüfen, ob ein vormals bekannter Fileserver im Netz vorhanden ist. Das würde ich dann gerne abstellen.
Frage: Wo speichern sich die Macs die vormals gültige Zieladresse?
Werden die Mac Rechner vielleicht auch von den Clients von zu Hause genutzt ?
Riecht ja stark danach !! Das klassische 192.168.178er Netz lässt stark eine FritzBox vermuten !Sieht so aus als ob die Dinger auch zuhause an einer FritzBox benutzt werden die ggf. noch als NAS dient mit einem USB Stick und dort Bilder oder Videos drauf gespeichert sind. Das hat der Mac gecachet und versucht mal ob er es erreichen kann.
Oder es ist irgendeine App auf dem Mac in dem diese IP mal statisch eingetragen wurde.
Die .178 verrät ja zweifelsfrei ein FritzBox Netz.
https://support.apple.com/en-us/HT208209
http://osxdaily.com/2017/04/18/clean-caches-temporary-files-mac/
Ich merke gerade, daß ich ein Mißverständnis verursacht habe. Das o.a. Netzwerk ist ein Heimnetz, kein Firmennetz. Hätte ich hier wohl gleich dazusagen sollen. Aber daß sich die Rechner etwas aus einem fremden Netz (Gäste-WLAN in einer Urlaubsunterkunft) gemerkt haben könnten, ist schon wahrscheinlich.
Die Möglichkeit mit einer App, in der etwas manuell eingetragen ist, kann ich für meinen eigenen Rechner sicher ausschließen. Der Rest sind Geräte nicht technik-affiner Familienmitglieder, da halte ich das auch für unwahrscheinlich.
Aber wo cacht ein Mac, welche File Server er mal verbunden hatte? Ich habe jetzt allerdings die Caches (2. Link) noch nicht gelöscht, da mache ich vorher ein Backup ...
Die Möglichkeit mit einer App, in der etwas manuell eingetragen ist, kann ich für meinen eigenen Rechner sicher ausschließen. Der Rest sind Geräte nicht technik-affiner Familienmitglieder, da halte ich das auch für unwahrscheinlich.
Aber wo cacht ein Mac, welche File Server er mal verbunden hatte? Ich habe jetzt allerdings die Caches (2. Link) noch nicht gelöscht, da mache ich vorher ein Backup ...
Jo, Sorry.
meinte natuerlich afs.
Die MAC-Moehren speichern die Information unter System Netzwerk.
Unter Finder oder "Gehe zu" findet man oft die Serververbindungen.
Da kann man dann ja auch unteranderem auswaehlen "Mit Server Verbinden"
Dort wuerde ich mal schauen.
Gruss
meinte natuerlich afs.
Die MAC-Moehren speichern die Information unter System Netzwerk.
Unter Finder oder "Gehe zu" findet man oft die Serververbindungen.
Da kann man dann ja auch unteranderem auswaehlen "Mit Server Verbinden"
Dort wuerde ich mal schauen.
Gruss
1
Beides schon geprüft: Keine entsprechenden Einträge dort.
Es bleibt ein Rätsel.
P.S. Das Thema ist als gelöst markiert. Ich habe einfach den Knopf "Zur Lösung beigetragen" verwechselt. Ich dachte das wäre eine Markierung, daß ein Beitrag nützlich ist. Das waren die Kommentare hier schon, auch wenn das Problem letztlich noch besteht.
Es bleibt ein Rätsel.
P.S. Das Thema ist als gelöst markiert. Ich habe einfach den Knopf "Zur Lösung beigetragen" verwechselt. Ich dachte das wäre eine Markierung, daß ein Beitrag nützlich ist. Das waren die Kommentare hier schon, auch wenn das Problem letztlich noch besteht.
