Zugriffe auf Port 59869 ?

Re(5): Zugriffe auf Port 59869 ?

mIstA — Wed, 03 Sep 2003 05:21:29 GMT

Zu TCP 81: ist mein Pseudo(?)-Proxy-Tool "Naviscope"

Dann gibts wohl keinen Grund, warum er von außen erreichbar sein soll, oder?

Und wenn ich auf die Seite geh is alles BLOCKED (Standardscan).

Schön!    Aber dabei werden sicher auch nur einige Ports geprüft, oder?! Port 81 vermutlich eher nicht.
Andererseits bist mit 2 SW-Firewalls wohl eh auf der sicheren Seite, vor allem wenn diese alles blocken, was Windows so aufmacht!

Inzwischen haben aber die Zugriffssversuche wieder aufgehört,

Na, dann paßts eh!

Vielleicht haben die Rückscans, was damit zu tun?

Welche Rückscans? Die Absenderadressen, von denen Du ursprünglich geschrieben hast, gibts ohnehin nicht!

Hab mir nämlich wieder das alte "NeoTraceExpress" vom 98er installiert,
es funktioniert sogar mit XP + w2k3 *freu*.

Na ja, warum auch nicht?! - Ein 'traceroute' kannst auch via Eingabeauffordeung machen, der entsprechende Befehl heißt: tracert

Re(5): Zugriffe auf Port 59869 ?

mIstA — Wed, 03 Sep 2003 04:48:16 GMT

aber wozu öffnet man sie dann überhaupt?

Gute Frage aber Windows gibt mir keine Antwort darauf...

Bevor ich mir da zu jedem Port den zuständigen Dienst suche, abdrehe und hoffe, daß Windows nicht anderer Meinung ist , block ich sie lieber auf der Firewall!

Re(5): Zugriffe auf Port 59869 ?

reccos — Mon, 01 Sep 2003 16:10:21 GMT

also wenn dort blocked steht bei allen ports, dann ist das in ordnung oder gibt es dann noch immer probleme?

Re(4): Zugriffe auf Port 59869 ?

Yellow Puppet — Mon, 01 Sep 2003 13:26:35 GMT

"listening" bedeutet daß hinter diesem Port eine Anwendung auf eine Verbindung wartet. Der Port kann z.B. nur für den lokalen Rechner, für das eigene Netzwerk oder fürs gesamte Internet geöffnet werden. Letzteres sollte genau bedacht werden da jeder offene Port einen potentiellen Angriffspunkt darstellt.

Wenn jemand einen Portscan deines Rechners macht sieht er diese offenen Ports - außer sie sind durch eine Firewall geblockt (aber wozu öffnet man sie dann überhaupt?).

Re(4): Zugriffe auf Port 59869 ?

^L^ — Mon, 01 Sep 2003 12:45:37 GMT

Hey, super die Seite - Danke!

Zu TCP 81: ist mein Pseudo(?)-Proxy-Tool "Naviscope"

Und wenn ich auf die Seite geh is alles BLOCKED (Standardscan).

http://scan.sygate.com/stealthscan.html

Inzwischen haben aber die Zugriffssversuche wieder aufgehört,
Vielleicht haben die Rückscans, was damit zu tun?
Hab mir nämlich wieder das alte "NeoTraceExpress" vom 98er installiert,
es funktioniert sogar mit XP + w2k3 *freu*.

Die Windowsfirewall hab i jetzt "strenger" eingestellt,
bin in Kombination mit @Guard unterwegs,
(i weiss recht alt...i finds immer noch genial)

salve
^L^

Re(3): Zugriffe auf Port 59869 ?

reccos — Mon, 01 Sep 2003 06:26:37 GMT

so ähnlich schaut es bei mir auch aus, nur dass noch mehr auf listening sind.

hat das was gravierendes zu bedeuten?

Re(3): Zugriffe auf Port 59869 ?

mIstA — Sun, 31 Aug 2003 20:52:47 GMT

aber da sind ja allerhand Offene

Die 127.0.0.1:xxxx Einträge (localhost IP-Adresse) sind sowieso nur am lokalen Rechner erreichbar.

TCP 81 ... vermutlich ein Webserver
TCP 445 ... MS-Netzwerk (Netbios-'Nachfolger')

UDP 500 ... IPsec Key-Daemon

Zu den übrigen habe ich auf die schnelle nicht wirklich etwas gefunden, aber eigentlich ists eh eine recht kurze Liste.

Hängt der Rechner so direkt im Internet? Dann solltest zumindest den Port 445 auf der Windows Firewall für Zugriffe von außen sperren, um Zugriffe auf Freigaben zu unterbinden!

Nachtrag [Re(4): Zugriffe auf Port 59869 ?]

mIstA — Sun, 31 Aug 2003 20:19:33 GMT

Genau betrachtet gibts das Listening natürlich nur bei den TCP-Ports und bezieht sich auf den Verbindungsstatus; wobei Listening bzw. Abhören meint, daß derzeit keine Verbindung hergestellt ist.

Da UDP keinen dezidierten 'Verbindungsaufbau' kennt, gibts dort auch keine nähere Statusinformation dazu.

Re(3): Zugriffe auf Port 59869 ?

mIstA — Sun, 31 Aug 2003 20:08:08 GMT

Eben daß ein Programm auf diesem Port 'horcht', also auf eintreffende Pakete bzw. Verbindungen wartet!

Re(2): Zugriffe auf Port 59869 ?

^L^ — Sun, 31 Aug 2003 16:52:51 GMT

>netstat -an

Aktive Verbindungen

  Proto  Lokale Adresse         Remoteadresse          Status
  TCP    0.0.0.0:81             0.0.0.0:0              ABHÖREN
  TCP    0.0.0.0:445            0.0.0.0:0              ABHÖREN
  TCP    127.0.0.1:3001         0.0.0.0:0              ABHÖREN
  TCP    127.0.0.1:3002         0.0.0.0:0              ABHÖREN
  TCP    127.0.0.1:3003         0.0.0.0:0              ABHÖREN
  UDP    0.0.0.0:500            *:*
  UDP    0.0.0.0:3005           *:*
  UDP    0.0.0.0:3010           *:*
  UDP    0.0.0.0:3011           *:*
  UDP    0.0.0.0:3012           *:*
  UDP    0.0.0.0:4500           *:*
  UDP    127.0.0.1:3323         *:*

hmm...nix zum konkreten Port...aber da sind ja allerhand Offene

Aber des sagt ja noch nix, oder? (mir jedenfalls ... )

Re(2): Zugriffe auf Port 59869 ?

reccos — Sun, 31 Aug 2003 12:49:58 GMT

was heisst das, wenn listening dabei steht?

Re(3): Zugriffe auf Port 59869 ?

Silence! — Sun, 31 Aug 2003 07:25:28 GMT

ok.. solls ja auch geben, dass google nicht bekannt ist oder so....

Re: Zugriffe auf Port 59869 ?

mIstA — Sun, 31 Aug 2003 06:06:32 GMT

Bei allen zurückverfolgten IP's kommt: Host unreachable

Das allein sagt leider recht wenig; daß ein 'traceroute' nicht bis zum Ziel kommt ist sicher nichts allzu seltenes. (z.B. von einer Firewall vor dem eigentlichen Ziel geblockt)
Außerdem gibts zumindet 2 verschiedene Varianten ein solches traceroute auszuführen, insofern wäre http://www.atnet.at/tools/query.php  auch noch eine Seite, die hierbei die andere Variante verwendet. (zum Test bei beiden mal orf.at probieren )

Allerdings scheint in dem Fall ja gar keine Info über die Adresse auffindbar zu sein (hattest Du 'network whois record' auch angekreuzt ); auch scheint das 'traceroute' schon sehr früh abzubrechen
Darum vermute ich, daß es sich um nicht existente (also gefälschte) Absenderadressen handelt (wenn zumindest das 123.xxx.yyy.zzzz annähernd richtig von Dir angegeben ist bzw. für alle Adressen von 96.0.0.0 bis 126.255.255.255 ist es jedenfalls so )

Hat wer von Euch eine Idee was das sein könnte?
(Trojaner wurde keiner gefunden.)

Möglicherweise eine Art 'Steuersignale' für einen Trojaner o. ä. (den Du ja gar nicht 'haben' mußt   ); könnte aber eventuell auch ein Angriffsversuch auf einen Dienst, der üblicherweise auf diesem Port lauscht, sein.

Schau mal zur Sicherheit auch noch, ob auch tatsächlich kein Dienst auf diesem Port aktiv ist, dann kann auch nichts auf diese Signale reagieren.
(Start -> Ausführen -> cmd - um ein Eingabeaufforderungsfenster zu öffnen, dann netstat -an eingeben und in der Spalte 'lokale Adresse' nach der Portnummer :59869 Ausschau halten)

Wenn Du dabei nichts findest und auch keine Viren/Trojaner/Spyware gefunden werden, besteht zumindest keine akute Gefahr; kannst den Port aber sicherheitshalber trotzdem auf der (Windows)-Firewall explizit sperren. - Damit a Ruh' ist!

Re(2): Zugriffe auf Port 59869 ?

^L^ — Sat, 30 Aug 2003 20:14:43 GMT

Danke, auf DIE Idee bin i natürlich a scho kommen
war aber nix schlüssiges dabei.

Re: Zugriffe auf Port 59869 ?

Silence! — Sat, 30 Aug 2003 19:26:37 GMT

weis nicht so genau ob das weiterhilft...
https://startpage.com/do/search?hl=de&ie=UTF-8&oe=UTF-8&q=%22Port+59869%22&btnG=Google+Suche&meta=

Zugriffe auf Port 59869 ?

^L^ — Sat, 30 Aug 2003 18:37:41 GMT

Seit etwa 2 Tagen hab ich massive Zugriffe auf Port 59869,
von verschieden IP-Adressen.
(XP bzw. w2k3 und ADSL-Internetverbindung)

Bei allen zurückverfolgten IP's kommt: Host unreachable
z.B.:

http://centralops.net/co/DomainDossier.vbs.asp

Address lookup
lookup failed 123.53.65.---
  No data

Traceroute
Tracing route to 123.53.65.--- [123.53.65.---]

hop rtt rtt rtt   ip address fully qualified domain name
1 0 0 0   216.46.228.241 port-216-3073265-dal16509b-drtn.devices.datareturn.com
2 0 0 0   64.29.192.237 daa.g901.disb.datareturn.com
3 0 0 0   64.29.192.226 daa.g921.ispb.datareturn.com
4 Host unreachable

Hat wer von Euch eine Idee was das sein könnte?
(Trojaner wurde keiner gefunden.)

Gruss
^L^