Was könnte am Port 40959 so interessant sein ?

  • Thread starter Thread starter Hosenträger
  • Start date Start date
H

Hosenträger

Guest
Seit Jahren beobachte ich im Log der Firewall eine regelmässige Häufung von Anfragen auf den Port 40959. Die Firewall macht, was sie machen soll, sie blockt.

Normale Portscans, Versuche auf bekannten Ports oder random Port-Angriffe sind ja üblich. Aber dieser Port 40959 kommt regelmässig vor und in gelegentlichen Wellen dann sehr häufig, zumindest so häufig, dass es mir deutlich auffällt. Die Anfragen kommen von unterschiedlichen IPs. Für einen DDoS Angriff ist es allerdings viel zu wenig.

Das läuft nun seit Jahren so und langsam nimmt es mich doch wunder, was das sein könnte.
 
Könnte natürlich sein, aber dann haben die Halunken doch recht viel Geduld, die IP ist ja fix für uns seit vielen Jahren.

Keine Ahnung, was diese Hacker für einen IQ haben. Trotzdem binden ja solche Aktionen auch deren Ressourcen.
 
Welches Protokoll wird da verwendet und welche Größe haben die Pakete?
Wenn UDP und 105 Bytes Payload: Das könnte DHT sein, was von Torrent-Clients genutzt wird.
Auch wenn ihr selbst keine Torrents im Netz zieht, so gibt es da draußen Tracker, die zum Zwecke der plausiblen Abstreitbarkeit nach Zufallsprinzip IP-Adressen errechnen und bei Anfragen mit untermischen.

Falls das nicht passt: Zeichne doch einfach mal ein paar Pakete dieser Art auf und schaue nach, was drin steht ;-)
 
Keine Ahnung, was diese Hacker für einen IQ haben. Trotzdem binden ja solche Aktionen auch deren Ressourcen.

Eher nicht. Oft verwenden solche Hacker ja Bot-Netze, d.h. es werden nur fremde Resourcen gebunden.
Denkbar wären ja auch irgendwelche Gameserver, die diesen Port gerne mal verwenden. Oder es wird versucht, zu prüfen, ob eine FIrewall läuft, die DROP vernwendet. Ohne Firewall bei nicht genutzem Port sieht die Antwort anders aus...
 
Erst mal herzlichen Dank für den Input, das hat bei mir jetzt doch den Ehrgeiz geweckt, da mal etwas mehr Zeit zu investieren.

Die Anfragen sind UDP und ca. 100 Bytes Payload. Die Daten fangen immer mit d1:ad2:id20: an und das ist offenbar typisch für das DHT Protocol von Bittorrent.

@LordGurke hat also wiedermal voll ins Ziel geschossen ;)

Den Sinn hab ich aber noch nicht so ganz verstanden. Soll das eine Art Verschleierungstaktik sein, um die echten Nodes in der Masse untergehen zu lassen?

Es wundert mich halt, dass dies vor ein paar Jahren auf einmal angefangen hat und bis heute jeden Tag eine signifikante Anzahl Fehlermeldungen (drop) im Log hinterlässt. Und es ist ja eigentlich nur immer der Port 40959. Die Source IPs sind praktisch bei jedem Eintrag eine andere.
 
Den Sinn hab ich aber noch nicht so ganz verstanden. Soll das eine Art Verschleierungstaktik sein, um die echten Nodes in der Masse untergehen zu lassen?
Genau.

Um sich das Leben einfach zu machen, haben einige Abmahnanwälte die DHT- und Tracker-gelieferten IP-Listen im Istzustand zum Verklagen benutzt, da es sehr aufwendig ist durch echtes Downloaden von jedem Teilnehmer zu beweisen dass sie die Datei auch tatsächlich verteilen.
Die Gegenlösung war, einfach beliebige IP's dazwischen zu legen. Es reduziert die Aufbaugeschwindigkeit neuer Teilnehmer etwas da es jede Menge Timeouts geben wird, aber dafür ist die IP-Liste als solche unbrauchbar um die Peers zu überwachen.

Hier ein (älterer) Artikel zum Thema:
 
Klar, mit Bittorent, eMule, Kademlia etc. hast du schnell Freunde von der Content-Industrie, die du lieber nicht hättest :)

Aber ca. 5000 dieser Anfragen pro Tag und nur auf diesen Port? Und wenn ich mir die Quell-IPs so anschaue, würde ich die am liebsten grad alle sperren. Hauptsächlich aus Ländern mit, sagen wir mal, geringer Reputation in Sachen Security.

Irgendwie seltsam, finde ich.
 
Last edited by a moderator:
:D

Also die letzten IPs, die ich geprüft habe, waren aus Indien, Russland, China, Brasilien, Island, Thailand, Taiwan und auch US.

So aus dem Stand würde ich sagen, typische Hacker-Bot-Netze.
 
So aus dem Stand würde ich sagen, typische Hacker-Bot-Netze.
In zumindest einigen dieser Länder sind Torrent-Clients in Internetcafés vorinstalliert und man kann Wunschaufträge für Downloads beim Internetcafé nebenan abgeben und kriegt eine DVD am nächsten Tag. Quasi Thepiratebay Prime ;)
Die Verteilung ist also absolut nicht verwunderlich, auch wenn mittlerweile nicht nur Filme sondern auch Botnet-Steuerungen über DHT/Derivate verbreitet werden. Anmerkung: Die USA waren frühe "Vorreiter" in Torrent-Verbreitung aufgrund der frühen Verbreitung von Kabelanschlüssen mit üppigen oder teilweise symmetrischem Uplink in städtischen Gegenden.

würde ich die am liebsten grad alle sperren
Da der Port eh unbelegt ist, leg einfach eine Drop-Regel an und gut ist. Würde ich eh bei unbenutzten Ports als Standard empfehlen statt Reject wenn man im Internet unterwegs ist. Ausnahme bspw unbenutzte Mailports, da sonst einige "intelligente" Clients sich zu Timeout langweilen.


eMule, Kademlia
Hach... den Namen habe ich schon EWIG nicht mehr gehört! Super Werkzeug um (legale) private Dateien zu teilen als public-ftp schon gestorben aber offene Filehoster noch nicht geboren waren :cool:


Anekdote am Rand:
wenn du einem deutschen farbnamigen Telekom(munikationsanbieter) Anbieter eine Liste mit vermutlich viren-verseuchten Kunden-IPs schickst welche vom Command&Control Server gedumpt wurde, ist die Antwort dass man sich darum des Aufwands wegen nicht kümmern könne.
Beim Senden einer Liste von Kunden-IPs welche "illegal downloaden" ist der Aufwand plötzlich deutlich weniger relevant für diesen Anbieter.

[EDIT]
Ich muss ehrlich zugeben dass du dir hier mehr Gedanken um verweigerte Verbindungen auf einem unbenutzten Ports zu machen scheinst als ich mir generell um das gesamte Grundrauschen auf meinen Maschinen. Allein wenn ich binnen Sekunden nach Aktivierung einer jahrelang ungerouteten IP Bruteforce-Versuche feststellen kann, resigniere ich dahingehend etwas.
 
Die "unsichersten" Länder sind immer die Länder, wo sich jeder Idiot für wenig (Taschen)Geld viel Rechenleistung mieten/kaaufen kann.
Keines der von Dir genannten Länder fällt darunter, abgesehen von US und Island.

Deine Länder bringen die meisten und besten Hacker (gut und böse) hervor, sind aber deswegen nicht "unsicherer" als andere Länder, im Gegenteil.

Aber egal...
 
Ich hatte damals im Ausland nach Möglichkeiten fürs Hosting gesucht. Selbst in Russland sind die Server teuer im Vergleich zu unseren.
Hier können sich die Scriptkiddies mit 5 € einen Server mieten. Ich war ziemlich überrascht, wie billig die Deutschen Hoster sind.
 
Ja, das Hosting in Deutschland ist ganz billig. Es könnte auch billiger als 5 Euro sein, wenn man sich auf viel Speicherplatz und Datenbanken verzichtet. Auch das Cloud Server ist billig und könnte einfach mit 5 Euro angeschafft werden.
 
Back
Top