hannsgmaulwurf
Goto Top

Wem gehört die geblockte IP Adresse

Hallo zusammen,

in letzter Zeit blockt der URL Filter unserer Antivirussoftware immer wieder den Zugriff von einzelnen Rechnern auf eine bestimmte IP Adresse. Die Mitarbeiter können natürlich nicht sagen, was sie während dieser Zeit gemacht haben bzw. wohin sie gesurft sind.
Nach der IP googlen, nslookup usw. bringen keine konkrete Website hervor, sondern nur die Info, dass die Site scheinbar von "Telefonica Germany Online Services GmbH" gehostet wird.
Die IP direkt über http aufzurufen, bring nur die Startseite von (Welcome to nginx!), einem Webserver.
Gibt es eine Möglichkeit herauszufinden, was den Aufruf dieser konkreten IP verursacht, also z.B. welche Website ein Banner nachlädt oder so?

Darf ich die besagte IP denn hier öffentlich posten?

Besten Dank für eure Hilfe und einen schönen Tag alle zusammen.

Content-Key: 276565

Url: https://administrator.de/contentid/276565

Ausgedruckt am: 28.03.2024 um 08:03 Uhr

Mitglied: aqui
aqui 06.07.2015 aktualisiert um 14:52:52 Uhr
Goto Top
Hast du es mal auf http://utrace.de versucht ?
Traceroute zeigt dir genau wo die IP physisch liegt.
Wenn du mehr wissen willst lass nmap auf das Teil los:
Netzwerk Management Server mit Raspberry Pi
Mitglied: SeaStorm
SeaStorm 06.07.2015 um 14:50:41 Uhr
Goto Top
guck doch in der Browserhistory nach.
Zu dem Zeitpunkt wo der Scanner losheult, sollte sich im Browserverlauf ja was finden lassen.

Sieht man im Log denn nicht die Domain? idR wird nicht wirklich die IP selbst aufgerufen, sondern die entsprechende Domain.

sende bitte mal die IP und alles was der Scanner dazu ausspuckt per PM
Mitglied: Lochkartenstanzer
Lochkartenstanzer 06.07.2015 aktualisiert um 15:07:11 Uhr
Goto Top
Zitat von @hannsgmaulwurf:

Darf ich die besagte IP denn hier öffentlich posten?

Natürlich. Wer sollte Dich daran hindern?

Hier werden fast täglich IP-Adressen gepostet.

lks

PS:

8.8.8.8
8.8.4.4
172.31.17.1
216.58.209.99
217.194.228.13
23.36.201.171
usw.
Mitglied: brammer
brammer 06.07.2015 um 15:04:26 Uhr
Goto Top
Hallo,

hinter der Firma "Telefonica Germany Online Services GmbH" steckt "hosteurope-solutions.de

Wenn du dir deren Referenz Liste anschaust:
http://www.hosteurope-solutions.de/unternehmen/referenzen

kannst du dir aussuchen welche Werbetreibende Firma dahinter versuch ein Banner nachzuladen....

Die IP Adresse hier zu posten finde ich unproblematisch, da es sich bei IP Adressen ja nicht um gehime Daten handelt.

brammer
Mitglied: Lochkartenstanzer
Lochkartenstanzer 06.07.2015 aktualisiert um 15:13:16 Uhr
Goto Top
Zitat von @brammer:

kannst du dir aussuchen welche Werbetreibende Firma dahinter versuch ein Banner nachzuladen....

Oder malware die vesucht sich beim C&C-Server zu melden. face-smile

lks
Mitglied: hannsgmaulwurf
hannsgmaulwurf 06.07.2015 aktualisiert um 15:25:21 Uhr
Goto Top
Hallo zusammen und vielen Dank für eure zahlreichen und schnellen Antworten!!!

@aqui: Per utrace.de bin ich auf "Telefonica Germany Online Services GmbH" gekommen. Und durch deinen Vorschlag mit nmap auf dem Raspi viel mir wieder der Kabel-Hai ein... Danke dafür!! face-smile

Und zwar habe ich den betroffenen PC nur kurz mit dem Wireshark beobachten (Filter http) und zack tauchte eine fast identische IP auf.

Es handelte sich immer um die IP 62.138.109.50, konkret um geblockte Aufrufe wie diesen:
http://62.138.109.50/lp?&tag=0&time=&eventid=&callback=PushStreamManager_0_onmessage_1436187876814&_=1436187876814

Ich habe herausgefunden, dass wetter.com (u.a.?) die IP 62.138.109.50 hat und dementsprechend wohl auch die o.g. IP (also das geblockte Werbebanner oder was auch immer da geöffnet werden soll und blockiert wird) zu dieser "Bude" gehört face-smile

Nochmals besten Dank für die vielen schnellen Antworten und Hilfestellungen!!
Mitglied: Lochkartenstanzer
Lochkartenstanzer 06.07.2015 um 15:28:16 Uhr
Goto Top
Zitat von @hannsgmaulwurf:

Es handelte sich immer um die IP 62.138.109.50, konkret um geblockte Aufrufe wie diesen:
http://62.138.109.50/lp?&tag=0&time=&eventid=&callback=PushStreamManager_0_onmessage_1436187876814&_=1436187876814

Ich habe herausgefunden, dass wetter.com (u.a.?) die IP 62.138.109.50 hat und dementsprechend wohl auch die o.g. IP (also das
geblockte Werbebanner oder was auch immer da geöffnet werden soll und blockiert wird) zu dieser "Bude" gehört
face-smile

Whois sagt host-europe GmbH.

lks.

Wird ein Ad- oder malware-server sein. face-smile

lks
Mitglied: hannsgmaulwurf
hannsgmaulwurf 06.07.2015 um 15:36:57 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Whois sagt host-europe GmbH.
Den whois Eintrag habe ich ja auch schnell rausgefunden, aber die hosten ja den kompletten Nummernkreis und ich wollte wissen, wozu diese spezielle IP aus diesem Nummernkreis gehört......

lks.
??? LOL verstehe ich ja noch... face-smile

Wird ein Ad- oder malware-server sein. face-smile
Denke eher irgendein Werbebanner oder Popup von Wetter.com
Mitglied: Lochkartenstanzer
Lochkartenstanzer 06.07.2015 um 16:13:06 Uhr
Goto Top
Zitat von @hannsgmaulwurf:

Denke eher irgendein Werbebanner oder Popup von Wetter.com

Popups sind Malware!

lks
Mitglied: aqui
aqui 06.07.2015 um 16:15:47 Uhr
Goto Top
LKS = LochKartenStanzer face-wink

Könnte durchaus wetter.com sein, die haben Hostadressen in der Range:

rechner$ dig wetter.com

; <<>> DiG 9.8.3-P1 <<>> wetter.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37206
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;wetter.com. IN A

;; ANSWER SECTION:
wetter.com. 143 IN A 62.138.109.37

;; Query time: 87 msec
;; WHEN: Mon Jul 6 16:07:24 2015
;; MSG SIZE rcvd: 44
Mitglied: hannsgmaulwurf
hannsgmaulwurf 06.07.2015 aktualisiert um 16:39:13 Uhr
Goto Top
Ich habe mir den Rechner jetzt mal genauer angeschaut.

netstat -a -b -n hat ergeben, dass es allerdings nicht nur ein BROWSER ist, der auf die besagte IP zugreift, sondern auch die Prozesse OUTLOOK und SYSTEM machen zig Ports auf, siehe unten.
Im BROWSER (Chrome) war tatsächlich noch die Seite wetter.com geöffnet. BROWSER geschlossen = alle wartenden Verbindungen von OUTLOOK und SYSTEM (s.u.) bleiben bestehen.
Erst nachdem OUTLOOK auch komplett geschlossen wurde (es waren mehrere Instanzen wie Posteingang, Gesendete Objekte sowie mehre Kalender und Mails offen), verschwanden alle wartenden Verbindungen, also auch die vom SYSTEM.
Interessant ist auch, dass Outlook irgendwie doch eine Verbindung zur besagten IP herstellen konnte (siehe ganz unten)....

Hat jemand eine Idee was das ist und/oder was zu tun ist?
Liegt es vielleicht einfach nur daran, dass die Website wetter.com dauerhaft im Chrome geöffnet war?

 [System]
  TCP    192.168.YYY.XXX:51841    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51844    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51847    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51850    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51853    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51856    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51859    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51862    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51865    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51868    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51871    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51874    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51877    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51880    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51883    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51886    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51889    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51892    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51895    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51898    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51901    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51904    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51907    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51910    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51913    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51916    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51919    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51922    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51925    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51928    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51931    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51934    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51937    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51940    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51947    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51950    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51954    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51958    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51962    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51966    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51970    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51974    62.138.109.50:80       WARTEND
 [OUTLOOK.EXE]
  TCP    192.168.YYY.XXX:51980    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51983    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51986    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51989    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51992    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51995    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:51998    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52001    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52004    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52007    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52010    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52013    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52016    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52019    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52022    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52025    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52028    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52031    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52034    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52037    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52040    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52043    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52046    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52049    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52052    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52055    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52058    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52061    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52064    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52067    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52070    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52073    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52076    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52079    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52082    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52085    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52088    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52091    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52094    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52097    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52100    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52103    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52106    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52109    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52112    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52115    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52118    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52121    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52124    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52127    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52130    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52133    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52136    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52139    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52142    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52145    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52148    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52151    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52154    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52157    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52160    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52163    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52166    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52169    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52172    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52175    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52178    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52181    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52184    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52187    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52190    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52193    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52196    62.138.109.50:80       WARTEND
  TCP    192.168.YYY.XXX:52199    62.138.109.50:80       WARTEND
 [OUTLOOK.EXE]
  TCP    192.168.YYY.XXX:52211    62.138.109.50:80       HERGESTELLT
Mitglied: Lochkartenstanzer
Lochkartenstanzer 06.07.2015 aktualisiert um 16:20:10 Uhr
Goto Top
Zitat von @hannsgmaulwurf:

netstat -a -b -n hat ergeben, dass es allerdings kein Browser ist, der auf die besagte IP zugreift, sondern das System
und Outlook, siehe unten. Sehr merkwürdig...

Entweder Malware face-smile oder "WYSIWYG-Mails ind HTML, die automatsich nachlöaden. oder Werbung in Mails face-smile

lks

PS: Üblichweise soltle man MUAs so konfigurieren, daß die außer dem Mailserver nichts andere kontaktieren können.
PPS: Stell Deine Outlooks auf "Text-Only" um und schon soltle Ruhe sein. face-smile
Mitglied: SeaStorm
SeaStorm 06.07.2015 um 16:38:07 Uhr
Goto Top
Outlook 2013 ( evtl auch 2010?) hat ja diese Wetteranzeige im Kalender.
Vermutlich kommt es davon.
Mitglied: hannsgmaulwurf
hannsgmaulwurf 06.07.2015 um 16:44:37 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Entweder Malware face-smile oder "WYSIWYG-Mails ind HTML, die automatsich nachlöaden. oder Werbung in Mails face-smile
Werbung in Mails habe ich mal ausgeschlossen, habe mir alle offenen Mails angesehen. Nur firmeninterne Sachen.

PS: Üblichweise soltle man MUAs so konfigurieren, daß die außer dem Mailserver nichts andere kontaktieren
können.
Ja ja die ewige Diskussion - Bei der Arbeit soll man nur arbeiten..... face-smile

PPS: Stell Deine Outlooks auf "Text-Only" um und schon soltle Ruhe sein. face-smile
Das werde ich mal im Hinterkopf behalten, danke!!


Zitat von @SeaStorm:

Outlook 2013 ( evtl auch 2010?) hat ja diese Wetteranzeige im Kalender.
Vermutlich kommt es davon.
Sehr interessanter Tipp, vielen Dank!! Was ich so beim schnellen Recherchieren herausfinden konnte ist, dass das von dir genannte Plugin erst ab 2013 verfügbar ist.
Mitglied: fognet
fognet 07.07.2015 um 21:05:17 Uhr
Goto Top