23
Welche Applikation will nach 199.59.243.228?
Morgen!
Ich hab hier eine kleine Nervigkeit.
Mein Webanalyzer meckert ständig wegem hohen Traffic, der vom RDSH nach außen will.
In der Regel ist das ein Browser, der ein Update machen will, oder ähnliches. Letztes Mal, als der frei drehte, war es Firefox, der ein Update haben wollte.
Die IP, die jetzt das Ziel ist, 199.59.243.228, sagt mir abr nix. Und auch eine (ziemlich schnelle) Internetzsuche hat mir jetzt nix gesagt.
Weiß jemand zufällig, zu wem die IP gehört?
k.
Ich hab hier eine kleine Nervigkeit.
Mein Webanalyzer meckert ständig wegem hohen Traffic, der vom RDSH nach außen will.
In der Regel ist das ein Browser, der ein Update machen will, oder ähnliches. Letztes Mal, als der frei drehte, war es Firefox, der ein Update haben wollte.
Die IP, die jetzt das Ziel ist, 199.59.243.228, sagt mir abr nix. Und auch eine (ziemlich schnelle) Internetzsuche hat mir jetzt nix gesagt.
Weiß jemand zufällig, zu wem die IP gehört?
k.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672264
Url: https://administrator.de/forum/welche-applikation-will-nach-199-59-243-228-672264.html
Ausgedruckt am: 02.04.2025 um 12:04 Uhr
23 Kommentare
Neuester Kommentar
Moin,
Einfach Mal Google fragen:
https://www.google.com/search?q=whois+199.59.243.228
Dort siehst Du, was google alles über diese IP weiß: welche Domains damit zu tun haben, wieviele abuse-Reports es gibt, etc.
Ein erster Überblick sagt zu 43%Malware, gehört zur Amazon Cloud und ist für Bodis .com zugeteilt. Den Rest darfst Du selber durchforsten.
Mein Rat: Prüfe auf Malware in Deinem Netz (u.U. Werbetrojaner, die sich in der Browserbenachrichtigung eingenistet haben)
lks
Einfach Mal Google fragen:
https://www.google.com/search?q=whois+199.59.243.228
Dort siehst Du, was google alles über diese IP weiß: welche Domains damit zu tun haben, wieviele abuse-Reports es gibt, etc.
Ein erster Überblick sagt zu 43%Malware, gehört zur Amazon Cloud und ist für Bodis .com zugeteilt. Den Rest darfst Du selber durchforsten.
Mein Rat: Prüfe auf Malware in Deinem Netz (u.U. Werbetrojaner, die sich in der Browserbenachrichtigung eingenistet haben)
lks
www.virustotal.com/gui/url/69ba2c9b1adde18a76ed5718ee6764224c1ce839d1a91d661a11e8c483296be1
HTML Report: https://www.joesandbox.com/analysis/1649351/0/html
PDF Report: https://www.joesandbox.com/analysis/1649351/0/pdf
Executive Report: https://www.joesandbox.com/analysis/1649351/0/executive
Incident Report: https://www.joesandbox.com/analysis/1649351/0/irxml
IOCs: https://www.joesandbox.com/analysis/1649351?idtype=analysisid
Sieht nicht ganz so gesund aus. Ggf. aber auch FP.
Gruß
HTML Report: https://www.joesandbox.com/analysis/1649351/0/html
PDF Report: https://www.joesandbox.com/analysis/1649351/0/pdf
Executive Report: https://www.joesandbox.com/analysis/1649351/0/executive
Incident Report: https://www.joesandbox.com/analysis/1649351/0/irxml
IOCs: https://www.joesandbox.com/analysis/1649351?idtype=analysisid
Sieht nicht ganz so gesund aus. Ggf. aber auch FP.
Gruß
1Die IP gehört zu Amazon AWS. Da kann alles mögliche sein. gesundes und ungesundes. je nachdem, was gerade aktuell auf der Kiste läuft. Ich würde eher auf ungesund wetten, auch wenn da das Risiko kleiner ist als gesund.
lks
Schnapp dir TCPView oder ProcessExplorer auf der Kiste und du siehst die App die was bei Amazon parken oder abrufen will, das machen ja heutzutage diverse Apps.
1
Moin.
Mit den üblichen Tools erstmal herausfinden,welches Programm dahin telefonieren will!
Mit den üblichen Tools erstmal herausfinden,welches Programm dahin telefonieren will!
Zitat von @BiberMan:
Schnapp dir TCPView oder ProcessExplorer auf der Kiste und du siehst die App die was bei Amazon parken oder abrufen will, das machen ja heutzutage diverse Apps.
Schnapp dir TCPView oder ProcessExplorer auf der Kiste und du siehst die App die was bei Amazon parken oder abrufen will, das machen ja heutzutage diverse Apps.
Generall kann ich empfehlen die Sysinternals Suite generell immer im Werkzeugkasten dabei zu haben.
lks
Ich wunder mich ja eigentlich das ein Level 4 das hier überhaupt noch fragen muss 🙃.
1
Ein whois habe ich ja schon gemacht, aber das war alles eher nichtssagend. Irgendwo auf AWS in Tampa bin ich auch gekommen, abr eben nicht was dahinter ist.
TCPView habe ich jetzt mal geholt. Das sieht vielversprechnd aus.
Danke schon mal.
TCPView habe ich jetzt mal geholt. Das sieht vielversprechnd aus.
Danke schon mal.
Naja. Die Level haben nur wenig mit Erfahrung zu tun, sondern eher damit wir oft man hier schreibt.
Wäre eigentlich Mal eine Idee Frank "Erfahrungslevel" vorzuschlagen, die mit der Anzahl an als Lösung markierten Antworten korreliert statt nur den gegebenen Kommentaren und Fragen. Dann wären auch die Helfer sichtbarer, die nicht in den Highscorelisten landen.
lks
4Zitat von @kpunkt:
Ein whois habe ich ja schon gemacht, aber das war alles eher nichtssagend. Irgendwo auf AWS in Tampa bin ich auch gekommen, abr eben nicht was dahinter ist.
Ein whois habe ich ja schon gemacht, aber das war alles eher nichtssagend. Irgendwo auf AWS in Tampa bin ich auch gekommen, abr eben nicht was dahinter ist.
Man muß eben mehr lesen als nur die ersten Einträge und die erste Seite der Suchergebnisse. Und mehrere Auskunftssysteme befragen.
lks
Zitat von @Lochkartenstanzer:
Naja. Die Level haben nur wenig mit Erfahrung zu tun, sondern eher damit wir oft man hier schreibt.
Oder auch wenn, erkennt man manche schon an Ihren Posts, z.B. penetrante Hinweise zu mdns und ".local".Naja. Die Level haben nur wenig mit Erfahrung zu tun, sondern eher damit wir oft man hier schreibt.
... einge ignoriere ich svhon, wenn ich sehe, von wem sie kommen
+und ja, trifft sicher auch mich 🤪)
Zitat von @MirkoKR:
Oder auch wenn, erkennt man manche schon an Ihren Posts, z.B. penetrante Hinweise zu mdns und ".local".
Oder auch wenn, erkennt man manche schon an Ihren Posts, z.B. penetrante Hinweise zu mdns und ".local".
Die aber durchaus ihre Berechtigung haben, auch wenn die Regulars sie nocht mehr hören/lesen können. Denn die wenigstens "Neulinge" lesen ja alte Beiträge zu dem Thema durch und die würden das ja nicht mitbekommen, wenn unser geschätzter Forenkollege das nicht regelmäßig den Neuen sagen würde.
lks
1Zitat von @Lochkartenstanzer:
Die aber durchaus ihre Berechtigung haben, auch wenn die Regulars sie nocht mehr hören/lesen können. Denn die wenigstens "Neulinge" lesen ja alte Beiträge zu dem Thema durch und die würden das ja nicht mitbekommen, wenn unser geschätzter Forenkollege das nicht regelmäßig den Neuen sagen würde.
lks
Zitat von @MirkoKR:
Oder auch wenn, erkennt man manche schon an Ihren Posts, z.B. penetrante Hinweise zu mdns und ".local".
Oder auch wenn, erkennt man manche schon an Ihren Posts, z.B. penetrante Hinweise zu mdns und ".local".
Die aber durchaus ihre Berechtigung haben, auch wenn die Regulars sie nocht mehr hören/lesen können. Denn die wenigstens "Neulinge" lesen ja alte Beiträge zu dem Thema durch und die würden das ja nicht mitbekommen, wenn unser geschätzter Forenkollege das nicht regelmäßig den Neuen sagen würde.
lks
Prinzipiell korrekt, aber oft eher nervend und Thread-bezogen unangebracht - weil es zwar ein sinnvvoller Hinweis aber faktisch nicht anwendbar ist ..
.. oft erscheinen die Hinweise eher wie Selbst-Hervorhebung ,☺️
Wenn es sich um Windows Rechner handelt dann einfach mal den Ressourcenmonitor einschalten, Netzwerk aufklappen und die TCP-Verbindungen anschauen. Dort sieht man das Programm das die Nummer anschreibt. Dann auf der Firewall sperren. Entweder Zentral oder auf dem Rechner.
https://exchange.xforce.ibmcloud.com/ip/199.59.243.228
https://exchange.xforce.ibmcloud.com/ip/199.59.243.228
Zitat von @kpunkt:
Die IP, die jetzt das Ziel ist, 199.59.243.228, sagt mir abr nix. Und auch eine (ziemlich schnelle) Internetzsuche hat mir jetzt nix gesagt.
Weiß jemand zufällig, zu wem die IP gehört?
Weiß jemand zufällig, zu wem die IP gehört?
Ich wollte nur das wissen, eben weil ich da noch keine Zeit hatte genauer zu suchen.
Mir gings nur um ein "Ah, die IP kenn ich das ist xy". Weil das aber nicht der Fall ist und die keiner kennt, muss ich anderweitig genau suchen. Und zwar wenn ich Zeit dazu habe.
Und, sorry @BiberMan, für die Unannehmlichkeiten, die dir meine Frage bereitet hat. Ich werde zukünftig erst meine Fragen von dir genehmigen lassen, bevor ich sie hier stelle.
anderweitig genau suchen. Und zwar wenn ich Zeit dazu habe.
Aufgrund den Recherchen unsererseits, würde ich mir relativ bald Zeit dafür nehmen. Ich wäre sehr sehr skeptisch.Im Zweifel: (solange Du keine Zeit hast) IP erstmal blockieren. Entweder es schreit gleich wer, dass was nicht mehr funktioniert oder Du hast Dir ein Polster geschaffen um in Ruhe danach zu schauen.
Gruß + lass Dich nicht ärgern.
Die IP ist schon lange geblockt. Da wuselt nix raus. Ich müsste nur mal an der Warnmechanik schrauben, dass die nicht so nervt. Obwohl, ist eigentlich ganz gut, dass sie so nervig ist.
Zitat von @kpunkt:
Die IP ist schon lange geblockt. Da wuselt nix raus. Ich müsste nur mal an der Warnmechanik schrauben, dass die nicht so nervt. Obwohl, ist eigentlich ganz gut, dass sie so nervig ist.
Die IP ist schon lange geblockt. Da wuselt nix raus. Ich müsste nur mal an der Warnmechanik schrauben, dass die nicht so nervt. Obwohl, ist eigentlich ganz gut, dass sie so nervig ist.
Es ist immer gut, die Ursache ( = auslösenden Prozess/Feuer) und nicht die Syptome (nervende Alarme/Beandmelder) zu bekämpfen.
lks
Zitat von @BiberMan:
Ich wunder mich ja eigentlich das ein Level 4 das hier überhaupt noch fragen muss 🙃.
Das ist genau die Art von Ton, wegen der man total gern hier ist...Ich wunder mich ja eigentlich das ein Level 4 das hier überhaupt noch fragen muss 🙃.
Und an sich überhaupt nicht Deine Art.
Jeder hat seine eigenen Stärken, seine eigenen Schwächen, seine eigene Herkunft, seine eigenen Ziele, seine eigenen guten und schlechten Tage. Und das Gros der stillen Mitleser hier wartet bestimmt nicht nur auf die ganz spezifischen Expertenfragen.
Es wäre sehr still hier (noch stiller als sowieso schon), würden nicht diese wunderbar "normalen" Fragen immer wieder behandelt werden. Und gäbe es nicht diese wunderbar geduldigen Antwortgeber.
Viele Grüße, commodity
3
Der RDSH war in der Zeit bis jetzt ruhig.
Gestern hat dann tatsächlich auch ein Fatclient diesen "Ausbruchsversuch" gemacht.
Auf dem Client fand ich keine Krabbelviecher. Hab da mehrmals gescannt.
War ich vorher noch geneigt da an einen Cryptominer zu denken, der über den Browser reinkam, bin ich jetzt eher der Meinung, da will eine gewollte Applikation nach draußen um evtl. ein Update zu machen oder Telemetrie oder dergleichen.
Wenn da wieder was kommt, werd ich wohl mal ein Log anschmeißen.
Ach ja, es läuft SentinelOne und die Fortigate blockt das ja, von daher bin ich tatsächlich etwas entspannter. Auch wenn ich wissen will, was da rumwerkelt.
Gestern hat dann tatsächlich auch ein Fatclient diesen "Ausbruchsversuch" gemacht.
Auf dem Client fand ich keine Krabbelviecher. Hab da mehrmals gescannt.
War ich vorher noch geneigt da an einen Cryptominer zu denken, der über den Browser reinkam, bin ich jetzt eher der Meinung, da will eine gewollte Applikation nach draußen um evtl. ein Update zu machen oder Telemetrie oder dergleichen.
Wenn da wieder was kommt, werd ich wohl mal ein Log anschmeißen.
Ach ja, es läuft SentinelOne und die Fortigate blockt das ja, von daher bin ich tatsächlich etwas entspannter. Auch wenn ich wissen will, was da rumwerkelt.
Hallo,
wir verwenden immer currports https://www.nirsoft.net/utils/cports.html
Muss nicht installiert werden und liefert alle nötigen Infos.
Grüße
Andreas
wir verwenden immer currports https://www.nirsoft.net/utils/cports.html
Muss nicht installiert werden und liefert alle nötigen Infos.
Grüße
Andreas
Moin,
muss auch nicht installiert werden ;)
wir verwenden immer currports https://www.nirsoft.net/utils/cports.html
netstat -ano
Moin,
@lks
Relativ. Die meisten Dummschwätzer verschwinden nach einiger Zeit ohnehin wieder und von den "hochgelevelten" bekommt man idR schon brauchbare Antworten.
Was die "dummen Fragen" angeht, ist das aus meiner Sicht eine Gratwanderung. Wenn das Forum hier mit billigsten, dauernd wiederkehrenden Fragen von nicht lernwilligen Nutzern geflutet wird, ist das sicher kein Qualitätsmerkmal. Andererseits, (ja, passiert mir auch) sollte man niemanden mit patzigen Antworten vergraulen.
Ansonsten hat @commodity das schön auf den Punkt gebracht.
Ich für meinen Teil versuche schon, hier möglichst nichts zu posten, wenn ich bis dahin keinen sonderlich guten Tag hatte. Was hilft: Einfach mal nachdenken und nochmal drüber schauen, was man hier so von sich gibt und wie das wirken könnte. Ist ja auch gar nicht immer böse gemeint.
Gruß
@lks
Naja. Die Level haben nur wenig mit Erfahrung zu tun, sondern eher damit wir oft man hier schreibt.
Relativ. Die meisten Dummschwätzer verschwinden nach einiger Zeit ohnehin wieder und von den "hochgelevelten" bekommt man idR schon brauchbare Antworten.
Was die "dummen Fragen" angeht, ist das aus meiner Sicht eine Gratwanderung. Wenn das Forum hier mit billigsten, dauernd wiederkehrenden Fragen von nicht lernwilligen Nutzern geflutet wird, ist das sicher kein Qualitätsmerkmal. Andererseits, (ja, passiert mir auch) sollte man niemanden mit patzigen Antworten vergraulen.
Ansonsten hat @commodity das schön auf den Punkt gebracht.
Jeder hat seine eigenen Stärken, seine eigenen Schwächen, seine eigene Herkunft, seine eigenen Ziele, seine eigenen guten und schlechten Tage. Und das Gros der stillen Mitleser hier wartet bestimmt nicht nur auf die ganz spezifischen Expertenfragen.
Ich für meinen Teil versuche schon, hier möglichst nichts zu posten, wenn ich bis dahin keinen sonderlich guten Tag hatte. Was hilft: Einfach mal nachdenken und nochmal drüber schauen, was man hier so von sich gibt und wie das wirken könnte. Ist ja auch gar nicht immer böse gemeint.
Gruß
2
