Netscan detected...

[VAsH]

Hey Leute,

Ich habe da ein wirklich nerviges Problem... ich habe einen Rootserver bei Hetzner am Laufen und nutze eine IP-Adresse aus dem kostenlosen Subnetz für einen Virtual PC, der mit WinXP läuft. Auf diesem hoste ich einen Gameserver und ein kleines Programm, welches die Stats durch einen kleinen integrierten Webserver zur Verfügung stellt.

Dies lief auch für mehr als 3 Monate sehr gut, bis Hetzner mit plötzlich die Subnetz-IP gesperrt hat.

Hier mal ein Auszug von der Mail von Hetzner:

##########################################################################
#               Netscan detected from host    78.46.xxx.xx               #
##########################################################################


time                protocol src_ip src_port          dest_ip dest_port
---------------------------------------------------------------------------
Tue Jan  5 13:40:06 2010 TCP    78.46.xxx.xx 3958  =>  172.124.193.96 445
Tue Jan  5 13:40:05 2010 TCP    78.46.xxx.xx 4025  =>    175.44.24.46 445
Tue Jan  5 13:40:08 2010 TCP    78.46.xxx.xx 4094  =>  175.89.203.113 445
Tue Jan  5 13:40:06 2010 TCP    78.46.xxx.xx 3977  =>    176.93.72.49 445
Tue Jan  5 13:40:06 2010 TCP    78.46.xxx.xx 3970  => 176.121.227.118 445
Tue Jan  5 13:40:05 2010 TCP    78.46.xxx.xx 3936  =>   176.125.41.69 445
Tue Jan  5 13:40:06 2010 TCP    78.46.xxx.xx 3952  =>    177.8.121.28 445
Tue Jan  5 13:40:03 2010 TCP    78.46.xxx.xx 3871  =>    177.23.73.69 445
Tue Jan  5 13:40:06 2010 TCP    78.46.xxx.xx 4071  =>   177.121.21.51 445
Tue Jan  5 13:40:08 2010 TCP    78.46.xxx.xx 4093  =>    184.23.37.19 445
Tue Jan  5 13:40:03 2010 TCP    78.46.xxx.xx 3981  =>    184.70.70.34 445
Tue Jan  5 13:40:06 2010 TCP    78.46.xxx.xx 3981  =>    184.70.70.34 445
Tue Jan  5 13:40:03 2010 TCP    78.46.xxx.xx 3986  =>  184.108.212.30 445
Tue Jan  5 13:40:06 2010 TCP    78.46.xxx.xx 3986  =>  184.108.212.30 445
Tue Jan  5 13:40:05 2010 TCP    78.46.xxx.xx 3926  =>    190.99.88.37 445
Tue Jan  5 13:40:06 2010 TCP    78.46.xxx.xx 4055  =>    191.5.216.18 445
Tue Jan  5 13:40:03 2010 TCP    78.46.xxx.xx 4006  =>    191.33.0.107 445
Tue Jan  5 13:40:06 2010 TCP    78.46.xxx.xx 4006  =>    191.33.0.107 445
Tue Jan  5 13:40:05 2010 TCP    78.46.xxx.xx 3905  =>    191.73.26.37 445
Tue Jan  5 13:40:05 2010 TCP    78.46.xxx.xx 3909  =>   196.92.46.104 445
Tue Jan  5 13:40:08 2010 TCP    78.46.xxx.xx 4090  => 196.111.191.125 445
Tue Jan  5 13:40:06 2010 TCP    78.46.xxx.xx 4075  =>   196.127.24.39 445
Tue Jan  5 13:40:05 2010 TCP    78.46.xxx.xx 3889  =>  197.36.180.126 445
Tue Jan  5 13:40:03 2010 TCP    78.46.xxx.xx 4007  =>    197.44.84.49 445
Tue Jan  5 13:40:06 2010 TCP    78.46.xxx.xx 4007  =>    197.44.84.49 445
Tue Jan  5 13:40:05 2010 TCP    78.46.xxx.xx 4027  =>  197.54.232.108 445
Tue Jan  5 13:40:03 2010 TCP    78.46.xxx.xx 3845  =>   198.24.175.93 445
Tue Jan  5 13:40:03 2010 TCP    78.46.xxx.xx 3853  =>  201.125.251.19 445
Tue Jan  5 13:40:06 2010 TCP    78.46.xxx.xx 4053  =>  205.32.212.118 445
Tue Jan  5 13:40:06 2010 TCP    78.46.xxx.xx 4036  =>  205.52.223.119 445
Tue Jan  5 13:40:06 2010 TCP    78.46.xxx.xx 4061  =>    207.116.12.2 445
Tue Jan  5 13:40:05 2010 TCP    78.46.xxx.xx 3892  =>   218.99.116.14 445
Tue Jan  5 13:40:03 2010 TCP    78.46.xxx.xx 3985  =>  223.57.145.103 445
Tue Jan  5 13:40:06 2010 TCP    78.46.xxx.xx 3985  =>  223.57.145.103 445

Ich habe daraufhin den Port 445 deaktiviert und auch per Portscans getested, ob dieser noch aktiv ist und er war es nicht. Port 445 war von außen nicht mehr ansprechbar. Dann habe ich eine andere Subnetz-IP von Hetzner genommen und dem VPC zugewiesen und nach ca. 10 Minuten kam sofort wieder eine E-Mail, wo auch diese IP gesperrt wurde. Was hat das zu bedeuten? Obwohl der Port 445 gesperrt war, gab es diese "Netscans".... wie kann das sein?

Ich habe außerdem noch etwas nachgeforscht und herausgefunden, dass diese IP's zu denen mein VPC "Kontakt aufgenommen" hatte, die meisten von diversen Internetregistrierungsstellen stammen. Zum Beispiel von der "Internet Assigned Numbers Authority" (IANA).

Was geht denn hier vor? Ich weiß im Moment echt nicht, wie ich das beheben soll.

 

[Roger Wilco]

Ich habe daraufhin den Port 445 deaktiviert und auch per Portscans getested, ob dieser noch aktiv ist und er war es nicht. Port 445 war von außen nicht mehr ansprechbar. Dann habe ich eine andere Subnetz-IP von Hetzner genommen und dem VPC zugewiesen und nach ca. 10 Minuten kam sofort wieder eine E-Mail, wo auch diese IP gesperrt wurde. Was hat das zu bedeuten? Obwohl der Port 445 gesperrt war, gab es diese "Netscans".... wie kann das sein?

Du verstehst das falsch. Dein System wurde kompromittiert und führt jetzt Portscans bei anderen Systemen durch. Wenn du Port 445/tcp eingehend bei dir sperrst, bringt das gar nichts!

Du nimmst jetzt dein System vom Netz (bzw. sperrst alle ausgehenden Verbdingungen und lässt nur einen Zugriff für dich offen) und säuberst es erstmal.

 

[wstuermer]

Hi,

es bringt dir nichts, wenn Du auf deinem System den Port 445 deaktivierst. Dein System versucht sich an diverse andere Systeme auf Port 445 zu verbinden.
Wenn man sich nun vor Augen führt, was auf Port 445 normalerweise läuft (SMB-Freigaben) und die Timestamps deiner Zugriffsversuche betrachtet, tut sich der Verdacht auf, dass dein System kompromittiert ist.

Das solltest du daher als allererstes prüfen (und zwar nicht mit den Bordmitteln, die dir dein System noch zur Verfügung stellt, sondern mit einem sauberen Rescuesystem).


-W

 

[VAsH]

Und das heißt was genau? Virus? Malware? Irgendwas in der Art?

Bringt es nichts, wenn ich mal ein sauberes AV-Programm drüberlaufen lasse? Windows Update?

 

[wstuermer]

Bringt es nichts, wenn ich mal ein sauberes AV-Programm drüberlaufen lasse? Windows Update?

Nein! Wie willst Du sicherstellen, dass dein kompromittiertes System nicht in die Installationsroutine eingreift?

Du solltest das System schleunigst vom Netz trennen, bevor es noch weiteren Schaden (der u.U. auf dich zurückkommt) anrichtet.

 

[VAsH]

Also VPC löschen und einen neuen installieren inkl. neuester Windows Updates und direkt von Anfang an: AV-Programm.

Den Aufwand wollte ich mir eigtl. ersparen....

 

[svenr]

Ich würd mir die kompromittierte VM vorher noch sichern und schaun wo der Fehler war, evtl lässt sich das ja noch nachvollziehen... am besten local in nem sauberen Umfeld ohne Netzanbindung. Damit du nicht in 3 Tagen mit dem gleichen Problem da stehst.

Gruß Sven

 

[VAsH]

Leider habe ich keine Ahnung wo ich nach was suchen soll.... sowas hatte ich noch nie zuvor.

 

[Whistler]

Du must Port 445 ausgehend sperren. Das geht entweder in der Windows-VM mit der Firewall (unsicher) oder im Wirtssystem.

In jedem Fall würde ich die VM "heimholen" und in gesicherter Umgebung weiterspielen - und die VM bei Hetzner erstmal stoppen.

 

[VAsH]

Wie kann ich denn den Port 445 unter Windows XP ausgehend sperren?

 

[Pijay]

Nur um es noch mal zu verdeutlichen:

Dein System ist (sehr wahrscheinlich) kompromittiert! D.h. du hast jemanden zu gast der sich aktuell nur auf scannenkonzentriert. Wenn du den Port blockst kann sich das ändern.

Bitte sieh der Wahrheit ins Auge und trenne das System final vom Internet.

 

[VAsH]

Ist schon geschehen. Aber ich würde trotzdem gerne wissen, wie man unter Windows XP generell ausgehende Ports blocken kann.

 

[Fr33z3m4n]

Windows firewall vlt. ?
Oder andere Firewalls, welche diese Funktion für dich übernehmen.

 

[SimonZ]

Windows firewall vlt. ?

Die Windows Firewall? Das lustige Easter Egg von Microsoft? Ne, mal im Ernst, viel mehr als sinnlos CPU verbraten kann die nicht und außerdem kann die keine Ports ausgehend sperren:

Die Windows-Firewall verwirft unaufgefordert eingehende Verbindungen und fragt beim Start von Programmen, die Server-Dienste anbieten, bei Benutzern, die über Administratorrechte verfügen, nach, ob eingehende Verbindungen zu den von diesen Programmen geöffneten Ports erlaubt werden sollen.

Quelle: Wikipedia.de

Oder andere Firewalls, welche diese Funktion für dich übernehmen.

Hier könnte was zu Portsperren ausgehend stehen. Hab mir aber den Thread nicht komplett durchgelesen.

Simon

 

[blupp1]

Sofern Windows XP Pro -> Ip Sicherheitsrichtlinien.

 

[VAsH]

Danke für Eure Hilfe, das hilft echt weiter.

Ich muss erwähnen, dass ich ein ziemlicher Idiot bin. =/

Habe meine letzte freie Subnetz-IP mit einem dummen "Test" verbraten.... jetzt habe ich keine mehr für meine neue frisch aufgesetzte VM. Jetzt muss ich auf Hetzner warten, dass die mir meine IPs wieder freischalten. Schon ärgerlich. >.>