Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Spamhaus CBL und PBL einträge - Traffic zum DINSA, Ministry of Defence

Decstasy
in Security

Empfohlene Antworten

Veröffentlicht

Hallo zusammen,

ich bin verzweifelt und weiß langsam nicht mehr weiter. Ein Kollege von mir ist offensichtlich Mitglied eines Botnetz geworden und hat einige Interessante Verbindungen auf seinem PC offen die u.a. laut whois mit dem DINSA, Ministry of Defence in GB kommunizieren.

Fangen wir aber lieber mal von vorne an...

Er wollte eine E-Mail senden & bekam folgendes: 

Fehler (0x800CCC69) beim Ausführen der Aufgabe "webmaster@seelenkreativ.de - Nachrichten werden gesendet": " Antwort des Servers: 550 please see http://www.spamhaus.org/query/bl?ip=95.91.245.65"
Bei nährerer Betrachtung vom Spamhaus, gab es folgende Mitteilung(en): 
This IP is infected with, or is NATting for a machine infected with Win32/Zbot (Microsoft).

This was detected by a TCP/IP connection from 95.91.245.65 on port 58599 going to IP address 87.255.51.229 (the sinkhole) on port 80.

The botnet command and control domain for this connection was "dnmaking.net".

This detection corresponds to a connection at 2013-04-25 13:53:50 (GMT - this timestamp is believed accurate to within one second).
Zu beachten ist, dass es seine IP ist, die dort explizit geblockt wird; das aber nur bei der CBL Liste vom Spamhaus. Bei der PBL ist es ein ganzer Bereich vom Kabel DeutschlandNetz. (95.90.0.0/15 is listed on the Policy Block List (PBL)) Das Antivirenprogramm Sophos & Kaspersky lieferten dazu keine Bedrohungen. Interessant sind die Auszüge vom netstat, dort geht hervor, dass der Rechner mit Russland, China etc. kommuniziert... Aber viel cooler ist die IP 25.166.208.159, und zwar unter folgenden Ports: 137, 138, 139, 1900 & 63845. Das mag im ersten Moment ja normal erscheinen, aber was zum Kuckuck kommuniziert sein NetBIOS mit der eben genannten IP? Ich bin in dieser Angelegenheit etwas überfragt und hoffe, Ihr könnt mir bzw. meinem Kollegen helfen. Hier einmal der WHOIS der IP: 
root@srv01:~# whois 25.166.208.159


#

# ARIN WHOIS data and services are subject to the Terms of Use

# available at: https://www.arin.net/whois_tou.html

#



#

# Query terms are ambiguous.  The query is assumed to be:

#     "n 25.166.208.159"

#

# Use "?" to get help.

#


#

# The following results may also be obtained via:

# http://whois.arin.net/rest/nets;q=25.166.208.159?showDetails=true&showARIN=false&ext=netref2

#


NetRange:       25.0.0.0 - 25.255.255.255

CIDR:           25.0.0.0/8

OriginAS:

NetName:        RIPE-ERX-25

NetHandle:      NET-25-0-0-0-1

Parent:

NetType:        Early Registrations, Maintained by RIPE NCC

Comment:        These addresses have been further assigned to users in the RIPE NCC region.  Contact information can be found in the RIPE database at http://www.ripe.net/whois

RegDate:        1985-01-28

Updated:        2013-01-14

Ref:            http://whois.arin.net/rest/net/NET-25-0-0-0-1


OrgName:        RIPE Network Coordination Centre

OrgId:          RIPE

Address:        P.O. Box 10096

City:           Amsterdam

StateProv:

PostalCode:     1001EB

Country:        NL

RegDate:

Updated:        2011-09-24

Ref:            http://whois.arin.net/rest/org/RIPE


ReferralServer: whois://whois.ripe.net:43


OrgAbuseHandle: RNO29-ARIN

OrgAbuseName:   RIPE NCC Operations

OrgAbusePhone:  +31 20 535 4444

OrgAbuseEmail:  hostmaster@ripe.net

OrgAbuseRef:    http://whois.arin.net/rest/poc/RNO29-ARIN


OrgTechHandle: RNO29-ARIN

OrgTechName:   RIPE NCC Operations

OrgTechPhone:  +31 20 535 4444

OrgTechEmail:  hostmaster@ripe.net

OrgTechRef:    http://whois.arin.net/rest/poc/RNO29-ARIN



#

# ARIN WHOIS data and services are subject to the Terms of Use

# available at: https://www.arin.net/whois_tou.html

#




Found a referral to whois.ripe.net:43.


% This is the RIPE Database query service.

% The objects are in RPSL format.

%

% The RIPE Database is subject to Terms and Conditions.

% See http://www.ripe.net/db/support/db-terms-conditions.pdf


% Note: this output has been filtered.

%       To receive output for a database update, use the "-B" flag.


% Information related to '25.0.0.0 - 25.255.255.255'


inetnum:        25.0.0.0 - 25.255.255.255

netname:        UK-MOD-19850128

descr:          DINSA, Ministry of Defence

country:        GB

org:            ORG-DMoD1-RIPE

admin-c:        MN1891-RIPE

tech-c:         MN1891-RIPE

status:         ALLOCATED PA

mnt-by:         RIPE-NCC-HM-MNT

mnt-lower:      UK-MOD-MNT

mnt-domains:    UK-MOD-MNT

mnt-routes:     UK-MOD-MNT

source:         RIPE # Filtered


organisation:   ORG-DMoD1-RIPE

org-name:       DINSA, Ministry of Defence

org-type:       LIR

address:        Not Published

                Not Published Not Published

                United Kingdom

phone:          +44 (0)30 677 00816

admin-c:        MN1891-RIPE

mnt-ref:        UK-MOD-MNT

mnt-ref:        RIPE-NCC-HM-MNT

mnt-by:         RIPE-NCC-HM-MNT

source:         RIPE # Filtered


person:         Mathew Newton

address:        C4 Architecture

address:        UK Ministry of Defence

phone:          +44 (0)30 677 00816

abuse-mailbox:  hostmaster@mod.uk

nic-hdl:        MN1891-RIPE

source:         RIPE # Filtered

mnt-by:         UK-MOD-MNT


% Information related to '25.0.0.0/8AS5378'


route:          25.0.0.0/8

descr:          INS-MOD-NET

descr:          INSnet core/customer route

descr:          Address Space owned by MOD

descr:          see whois.arin.net

member-of:      RS-AS5378

origin:         AS5378

mnt-by:         AS5378-MNT

source:         RIPE # Filtered


% This query was served by the RIPE Database Query Service version 1.60.2 (WHOIS4)
und ein Auszug vom betroffenen Rechner: 
C:\Users\**ZENSIERT**>netstat -atn


Aktive Verbindungen


  Proto. Lokale Adresse         Remoteadresse          Status          PID

Abladungsstatus


  TCP    0.0.0.0:135            0.0.0.0:0              ABHÖREN         InHost


  TCP    0.0.0.0:445            0.0.0.0:0              ABHÖREN         InHost


  TCP    0.0.0.0:1110           0.0.0.0:0              ABHÖREN         InHost


  TCP    0.0.0.0:5357           0.0.0.0:0              ABHÖREN         InHost


  TCP    0.0.0.0:12321          0.0.0.0:0              ABHÖREN         InHost


  TCP    0.0.0.0:49152          0.0.0.0:0              ABHÖREN         InHost


  TCP    0.0.0.0:49153          0.0.0.0:0              ABHÖREN         InHost


  TCP    0.0.0.0:49154          0.0.0.0:0              ABHÖREN         InHost


  TCP    0.0.0.0:49156          0.0.0.0:0              ABHÖREN         InHost


  TCP    0.0.0.0:49157          0.0.0.0:0              ABHÖREN         InHost


  TCP    0.0.0.0:49158          0.0.0.0:0              ABHÖREN         InHost


  TCP    25.166.208.159:139     0.0.0.0:0              ABHÖREN         InHost


  TCP    127.0.0.1:1110         127.0.0.1:50190        HERGESTELLT     InHost


  TCP    127.0.0.1:1110         127.0.0.1:50192        HERGESTELLT     InHost


  TCP    127.0.0.1:1110         127.0.0.1:50202        HERGESTELLT     InHost


  TCP    127.0.0.1:1110         127.0.0.1:50217        HERGESTELLT     InHost


  TCP    127.0.0.1:1110         127.0.0.1:50224        HERGESTELLT     InHost


  TCP    127.0.0.1:1110         127.0.0.1:50226        HERGESTELLT     InHost


  TCP    127.0.0.1:1110         127.0.0.1:50616        WARTEND         InHost


  TCP    127.0.0.1:1110         127.0.0.1:50619        WARTEND         InHost


  TCP    127.0.0.1:1110         127.0.0.1:50622        FIN_WARTEN_2    InHost


  TCP    127.0.0.1:5939         0.0.0.0:0              ABHÖREN         InHost


  TCP    127.0.0.1:5939         127.0.0.1:50193        HERGESTELLT     InHost


  TCP    127.0.0.1:5939         127.0.0.1:50227        HERGESTELLT     InHost


  TCP    127.0.0.1:25639        0.0.0.0:0              ABHÖREN         InHost


  TCP    127.0.0.1:50189        127.0.0.1:50191        HERGESTELLT     InHost


  TCP    127.0.0.1:50190        127.0.0.1:1110         HERGESTELLT     InHost


  TCP    127.0.0.1:50191        127.0.0.1:50189        HERGESTELLT     InHost


  TCP    127.0.0.1:50192        127.0.0.1:1110         HERGESTELLT     InHost


  TCP    127.0.0.1:50193        127.0.0.1:5939         HERGESTELLT     InHost


  TCP    127.0.0.1:50202        127.0.0.1:1110         HERGESTELLT     InHost


  TCP    127.0.0.1:50217        127.0.0.1:1110         HERGESTELLT     InHost


  TCP    127.0.0.1:50223        127.0.0.1:50225        HERGESTELLT     InHost


  TCP    127.0.0.1:50224        127.0.0.1:1110         HERGESTELLT     InHost


  TCP    127.0.0.1:50225        127.0.0.1:50223        HERGESTELLT     InHost


  TCP    127.0.0.1:50226        127.0.0.1:1110         HERGESTELLT     InHost


  TCP    127.0.0.1:50227        127.0.0.1:5939         HERGESTELLT     InHost


  TCP    127.0.0.1:50622        127.0.0.1:1110         SCHLIESSEN_WARTEN    InHo

st

  TCP    192.168.0.11:139       0.0.0.0:0              ABHÖREN         InHost


  TCP    192.168.0.11:50203     37.252.248.73:5938     HERGESTELLT     InHost


  TCP    192.168.0.11:50218     176.9.89.139:5938      HERGESTELLT     InHost


  TCP    192.168.0.11:50618     195.122.169.18:80      WARTEND         InHost


  TCP    192.168.0.11:50621     195.122.169.18:80      WARTEND         InHost


  TCP    192.168.0.11:50623     88.198.18.71:80        SCHLIESSEN_WARTEN    InHo

st

  TCP    [::]:135               [::]:0                 ABHÖREN         InHost


  TCP    [::]:445               [::]:0                 ABHÖREN         InHost


  TCP    [::]:1110              [::]:0                 ABHÖREN         InHost


  TCP    [::]:5357              [::]:0                 ABHÖREN         InHost


  TCP    [::]:12321             [::]:0                 ABHÖREN         InHost


  TCP    [::]:49152             [::]:0                 ABHÖREN         InHost


  TCP    [::]:49153             [::]:0                 ABHÖREN         InHost


  TCP    [::]:49154             [::]:0                 ABHÖREN         InHost


  TCP    [::]:49156             [::]:0                 ABHÖREN         InHost


  TCP    [::]:49157             [::]:0                 ABHÖREN         InHost


  TCP    [::]:49158             [::]:0                 ABHÖREN         InHost


  UDP    0.0.0.0:123            *:*


  UDP    0.0.0.0:500            *:*


  UDP    0.0.0.0:981            *:*


  UDP    0.0.0.0:3702           *:*


  UDP    0.0.0.0:3702           *:*


  UDP    0.0.0.0:3702           *:*


  UDP    0.0.0.0:3702           *:*


  UDP    0.0.0.0:4500           *:*


  UDP    0.0.0.0:5355           *:*


  UDP    0.0.0.0:51438          *:*


  UDP    0.0.0.0:53095          *:*


  UDP    0.0.0.0:55414          *:*


  UDP    0.0.0.0:61448          *:*


  UDP    25.166.208.159:137     *:*


  UDP    25.166.208.159:138     *:*


  UDP    25.166.208.159:1900    *:*


  UDP    25.166.208.159:63845   *:*


  UDP    127.0.0.1:1900         *:*


  UDP    127.0.0.1:48001        *:*


  UDP    127.0.0.1:63847        *:*


  UDP    192.168.0.11:137       *:*


  UDP    192.168.0.11:138       *:*


  UDP    192.168.0.11:1900      *:*


  UDP    192.168.0.11:63846     *:*


  UDP    [::]:123               *:*


  UDP    [::]:500               *:*


  UDP    [::]:980               *:*


  UDP    [::]:3702              *:*


  UDP    [::]:3702              *:*


  UDP    [::]:3702              *:*


  UDP    [::]:3702              *:*


  UDP    [::]:4500              *:*


  UDP    [::]:5355              *:*


  UDP    [::]:51439             *:*


  UDP    [::]:55415             *:*


  UDP    [::1]:1900             *:*


  UDP    [::1]:63844            *:*


  UDP    [fe80::7d00:392e:f700:dbc5%10]:1900  *:*


  UDP    [fe80::7d00:392e:f700:dbc5%10]:63843  *:*


  UDP    [fe80::e4eb:28a1:4121:e4cb%17]:546  *:*


  UDP    [fe80::e4eb:28a1:4121:e4cb%17]:1900  *:*


  UDP    [fe80::e4eb:28a1:4121:e4cb%17]:63842  *:*

Vielen Dank für Eure Hilfe!

LG Decstasy

P.S.: Ich habe das unterschwellige Gefühl, etwas übersehen zu haben und mich hier jetzt ein wenig blamiere - aber ich hoffe mal das Gegenteil. :old

Blub, kann gerade nicht editieren, also möge man mir den Doppelpost verzeihen.

Zu der 95.91.245.65 sagt spamhaus übrigens auch folgendes, eventuell relevant.

Important: If you are using any normal email software (such as Outlook, Entourage, Thunderbird, Apple Mail, etc.) and you are being blocked by this Spamhaus PBL listing when you try to send email, the reason is simply that you need to turn on "SMTP Authentication" in your email program settings. For help with SMTP Authentication or ways to quickly fix this problem

Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.

Zur Themenliste gehen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.