Verbinden zu IP Adresse

[frindly]

Hallo,
mein Router zeigt massenhaft abgeblockte Verbindungsversuche von IP Adressen an. Kann ich irgendwie mehr über die Rechner erfahren oder mich Testweise mit denen Verbinden?

[TRex]

Was genau bekommst du von denen angezeigt und was erhoffst du dir von der Verbindung in die andere Richtung?

[frindly]

Angezeigt bekomme ich ...

Monday April 07, 2008 18:12:53 Unrecognized attempt blocked from 83.135.146.79:65436 to 83.135.129.58 TCP:135

und erhoffen.... vieleicht zu wissen wer für den Rechner verantwortlich ist.
Wenn es bei mir an der Tür Klopft, will ich doch wissen wer es ist und schau aus dem FEnster

[TRex]

Port 135 ist RPC, war vielleicht ein Blaster, Sasser oder ähnliche Windowsviren...

[frindly]

hallo,
aha. hmmm
ich dachte mir schon das es ein automatischer angriff ist...
wollte halt nur mal wissen wer bei mir anklopft. anscheinend ist der rechner ja verseucht...
warum sind diese ports denn noch nicht von providern gesperrt??? ich meine man könnte ja die standartports bei einer installation offen lasssen (8080, 21 etc) und wer mehr braucht, gibt dem provider bescheid. das brauchen ja nur die wenigsten....
hmm
ich dachte mit nmap oder so kann man das abgreifen. sowas wie essential nettools gibt es für linux nicht oder?

[mistersixt]

Was willst Du denn "abgreifen"?

Es ist aber nicht die Aufgabe eines Providers, Ports zu sperren, Du fragst ja auch nicht die Stadt oder die Polizei, schon den Anfang der Strasse oder sogar am Ortsschild Leute zu kontrollieren, damit kein Bösewicht zu Deinem Haus kommt, Du musst schon selber an Deiner eigenen Haustür das Gute von dem Bösen trennen !

Gruss, mistersixt.

[frindly]

hallo,
normalerweise mach ich mir da keine gedanken... aber gestern abend hab ich die log files von meinem router gelöscht und nach wenigen minuten waren die wieder voll mit den verbindungsversuchen...
es muss also sehr viele leute gebenen, die noch infizierte rechner haben... mich würd mal interessieren, aus welcher ecke das kommt.
ich meine, wenn in einer viertel stunde 20 leute an meiner haustür fühlen ob die auch zu ist, dann werd ich auch neugierig....
wenn providermässig die ports gesperrt würden, dann würden doch viele würmer auf trockenen gelegt oder?
ich meine, die meisten surfen nur, oder prüfen emails. wenn jemand mehr ports brauch könnt man sie einfach beantragen. immer noch besser, wie die blaster welle damals... das würd doch auch viel traffic sparen oder???

[bytezero]

es muss also sehr viele leute gebenen, die noch infizierte rechner haben

Ja,aber wer sagt Dir denn,das diese Scan´s unbewusst geschehen ?

wenn providermässig die ports gesperrt würden, dann würden doch viele würmer auf trockenen gelegt oder?

Nicht nur Würmer,sondern auch gewünschte und !notwendige! Port-Verbindungen.Ausserdem sind Ports > 1024 mehr oder weniger frei wählbar,dann müsstest du ALLES > 1024 sperren.Das wiederum bedeutet,das du alle Verbindungen unter Generalverdacht stellst (Schäuble-Syndrom ??)....macht also nicht wirklich Sinn.

Solange Dein Router ungewollte Verbindungsversuche blockt (= Normalfall;solange du keine Ports weiterleitest und keine DMZ eingerichtet hast) ist doch alles im grünen Bereich,darüber nachzudenken ist Zeitverschwendung.

Kann ich irgendwie mehr über die Rechner erfahren oder mich Testweise mit denen Verbinden?

Genau das probieren diese Scan´s bei Dir,damit stellst Du Dich auf dieselbe Stufe : "Was Du nicht willst,was man Dir tut,das füge keinen anderen zu !"

[frindly]

ok
der router blockt alles ab.
soweit ich weiss hat mein debian keine firewall installiert. wenn ich den router einfach weglassen würde, welche folgen hätte das ? *gedankenexperiment*

[mistersixt]

Dann solltest Du mit dem Paketfilter "iptables" den PC von aussen absichern (neben den üblichen Verdächtigen, nur die wirklich notwendigen Dienste laufen zu lassen und immer die aktuellen Sicherheitsupdates einzuspielen). Nichts anderes macht der Router.

Gruss, mistersixt.