Decstasy Geschrieben 28. April 2013 Teilen Geschrieben 28. April 2013 Hallo zusammen, ich bin verzweifelt und weiß langsam nicht mehr weiter. Ein Kollege von mir ist offensichtlich Mitglied eines Botnetz geworden und hat einige Interessante Verbindungen auf seinem PC offen die u.a. laut whois mit dem DINSA, Ministry of Defence in GB kommunizieren. Fangen wir aber lieber mal von vorne an... Er wollte eine E-Mail senden & bekam folgendes: Fehler (0x800CCC69) beim Ausführen der Aufgabe "webmaster@seelenkreativ.de - Nachrichten werden gesendet": " Antwort des Servers: 550 please see http://www.spamhaus.org/query/bl?ip=95.91.245.65" Bei nährerer Betrachtung vom Spamhaus, gab es folgende Mitteilung(en): This IP is infected with, or is NATting for a machine infected with Win32/Zbot (Microsoft). This was detected by a TCP/IP connection from 95.91.245.65 on port 58599 going to IP address 87.255.51.229 (the sinkhole) on port 80. The botnet command and control domain for this connection was "dnmaking.net". This detection corresponds to a connection at 2013-04-25 13:53:50 (GMT - this timestamp is believed accurate to within one second). Zu beachten ist, dass es seine IP ist, die dort explizit geblockt wird; das aber nur bei der CBL Liste vom Spamhaus. Bei der PBL ist es ein ganzer Bereich vom Kabel DeutschlandNetz. (95.90.0.0/15 is listed on the Policy Block List (PBL)) Das Antivirenprogramm Sophos & Kaspersky lieferten dazu keine Bedrohungen. Interessant sind die Auszüge vom netstat, dort geht hervor, dass der Rechner mit Russland, China etc. kommuniziert... Aber viel cooler ist die IP 25.166.208.159, und zwar unter folgenden Ports: 137, 138, 139, 1900 & 63845. Das mag im ersten Moment ja normal erscheinen, aber was zum Kuckuck kommuniziert sein NetBIOS mit der eben genannten IP? Ich bin in dieser Angelegenheit etwas überfragt und hoffe, Ihr könnt mir bzw. meinem Kollegen helfen. Hier einmal der WHOIS der IP: root@srv01:~# whois 25.166.208.159 # # ARIN WHOIS data and services are subject to the Terms of Use # available at: https://www.arin.net/whois_tou.html # # # Query terms are ambiguous. The query is assumed to be: # "n 25.166.208.159" # # Use "?" to get help. # # # The following results may also be obtained via: # http://whois.arin.net/rest/nets;q=25.166.208.159?showDetails=true&showARIN=false&ext=netref2 # NetRange: 25.0.0.0 - 25.255.255.255 CIDR: 25.0.0.0/8 OriginAS: NetName: RIPE-ERX-25 NetHandle: NET-25-0-0-0-1 Parent: NetType: Early Registrations, Maintained by RIPE NCC Comment: These addresses have been further assigned to users in the RIPE NCC region. Contact information can be found in the RIPE database at http://www.ripe.net/whois RegDate: 1985-01-28 Updated: 2013-01-14 Ref: http://whois.arin.net/rest/net/NET-25-0-0-0-1 OrgName: RIPE Network Coordination Centre OrgId: RIPE Address: P.O. Box 10096 City: Amsterdam StateProv: PostalCode: 1001EB Country: NL RegDate: Updated: 2011-09-24 Ref: http://whois.arin.net/rest/org/RIPE ReferralServer: whois://whois.ripe.net:43 OrgAbuseHandle: RNO29-ARIN OrgAbuseName: RIPE NCC Operations OrgAbusePhone: +31 20 535 4444 OrgAbuseEmail: hostmaster@ripe.net OrgAbuseRef: http://whois.arin.net/rest/poc/RNO29-ARIN OrgTechHandle: RNO29-ARIN OrgTechName: RIPE NCC Operations OrgTechPhone: +31 20 535 4444 OrgTechEmail: hostmaster@ripe.net OrgTechRef: http://whois.arin.net/rest/poc/RNO29-ARIN # # ARIN WHOIS data and services are subject to the Terms of Use # available at: https://www.arin.net/whois_tou.html # Found a referral to whois.ripe.net:43. % This is the RIPE Database query service. % The objects are in RPSL format. % % The RIPE Database is subject to Terms and Conditions. % See http://www.ripe.net/db/support/db-terms-conditions.pdf % Note: this output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '25.0.0.0 - 25.255.255.255' inetnum: 25.0.0.0 - 25.255.255.255 netname: UK-MOD-19850128 descr: DINSA, Ministry of Defence country: GB org: ORG-DMoD1-RIPE admin-c: MN1891-RIPE tech-c: MN1891-RIPE status: ALLOCATED PA mnt-by: RIPE-NCC-HM-MNT mnt-lower: UK-MOD-MNT mnt-domains: UK-MOD-MNT mnt-routes: UK-MOD-MNT source: RIPE # Filtered organisation: ORG-DMoD1-RIPE org-name: DINSA, Ministry of Defence org-type: LIR address: Not Published Not Published Not Published United Kingdom phone: +44 (0)30 677 00816 admin-c: MN1891-RIPE mnt-ref: UK-MOD-MNT mnt-ref: RIPE-NCC-HM-MNT mnt-by: RIPE-NCC-HM-MNT source: RIPE # Filtered person: Mathew Newton address: C4 Architecture address: UK Ministry of Defence phone: +44 (0)30 677 00816 abuse-mailbox: hostmaster@mod.uk nic-hdl: MN1891-RIPE source: RIPE # Filtered mnt-by: UK-MOD-MNT % Information related to '25.0.0.0/8AS5378' route: 25.0.0.0/8 descr: INS-MOD-NET descr: INSnet core/customer route descr: Address Space owned by MOD descr: see whois.arin.net member-of: RS-AS5378 origin: AS5378 mnt-by: AS5378-MNT source: RIPE # Filtered % This query was served by the RIPE Database Query Service version 1.60.2 (WHOIS4) und ein Auszug vom betroffenen Rechner: C:\Users\**ZENSIERT**>netstat -atn Aktive Verbindungen Proto. Lokale Adresse Remoteadresse Status PID Abladungsstatus TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN InHost TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN InHost TCP 0.0.0.0:1110 0.0.0.0:0 ABHÖREN InHost TCP 0.0.0.0:5357 0.0.0.0:0 ABHÖREN InHost TCP 0.0.0.0:12321 0.0.0.0:0 ABHÖREN InHost TCP 0.0.0.0:49152 0.0.0.0:0 ABHÖREN InHost TCP 0.0.0.0:49153 0.0.0.0:0 ABHÖREN InHost TCP 0.0.0.0:49154 0.0.0.0:0 ABHÖREN InHost TCP 0.0.0.0:49156 0.0.0.0:0 ABHÖREN InHost TCP 0.0.0.0:49157 0.0.0.0:0 ABHÖREN InHost TCP 0.0.0.0:49158 0.0.0.0:0 ABHÖREN InHost TCP 25.166.208.159:139 0.0.0.0:0 ABHÖREN InHost TCP 127.0.0.1:1110 127.0.0.1:50190 HERGESTELLT InHost TCP 127.0.0.1:1110 127.0.0.1:50192 HERGESTELLT InHost TCP 127.0.0.1:1110 127.0.0.1:50202 HERGESTELLT InHost TCP 127.0.0.1:1110 127.0.0.1:50217 HERGESTELLT InHost TCP 127.0.0.1:1110 127.0.0.1:50224 HERGESTELLT InHost TCP 127.0.0.1:1110 127.0.0.1:50226 HERGESTELLT InHost TCP 127.0.0.1:1110 127.0.0.1:50616 WARTEND InHost TCP 127.0.0.1:1110 127.0.0.1:50619 WARTEND InHost TCP 127.0.0.1:1110 127.0.0.1:50622 FIN_WARTEN_2 InHost TCP 127.0.0.1:5939 0.0.0.0:0 ABHÖREN InHost TCP 127.0.0.1:5939 127.0.0.1:50193 HERGESTELLT InHost TCP 127.0.0.1:5939 127.0.0.1:50227 HERGESTELLT InHost TCP 127.0.0.1:25639 0.0.0.0:0 ABHÖREN InHost TCP 127.0.0.1:50189 127.0.0.1:50191 HERGESTELLT InHost TCP 127.0.0.1:50190 127.0.0.1:1110 HERGESTELLT InHost TCP 127.0.0.1:50191 127.0.0.1:50189 HERGESTELLT InHost TCP 127.0.0.1:50192 127.0.0.1:1110 HERGESTELLT InHost TCP 127.0.0.1:50193 127.0.0.1:5939 HERGESTELLT InHost TCP 127.0.0.1:50202 127.0.0.1:1110 HERGESTELLT InHost TCP 127.0.0.1:50217 127.0.0.1:1110 HERGESTELLT InHost TCP 127.0.0.1:50223 127.0.0.1:50225 HERGESTELLT InHost TCP 127.0.0.1:50224 127.0.0.1:1110 HERGESTELLT InHost TCP 127.0.0.1:50225 127.0.0.1:50223 HERGESTELLT InHost TCP 127.0.0.1:50226 127.0.0.1:1110 HERGESTELLT InHost TCP 127.0.0.1:50227 127.0.0.1:5939 HERGESTELLT InHost TCP 127.0.0.1:50622 127.0.0.1:1110 SCHLIESSEN_WARTEN InHo st TCP 192.168.0.11:139 0.0.0.0:0 ABHÖREN InHost TCP 192.168.0.11:50203 37.252.248.73:5938 HERGESTELLT InHost TCP 192.168.0.11:50218 176.9.89.139:5938 HERGESTELLT InHost TCP 192.168.0.11:50618 195.122.169.18:80 WARTEND InHost TCP 192.168.0.11:50621 195.122.169.18:80 WARTEND InHost TCP 192.168.0.11:50623 88.198.18.71:80 SCHLIESSEN_WARTEN InHo st TCP [::]:135 [::]:0 ABHÖREN InHost TCP [::]:445 [::]:0 ABHÖREN InHost TCP [::]:1110 [::]:0 ABHÖREN InHost TCP [::]:5357 [::]:0 ABHÖREN InHost TCP [::]:12321 [::]:0 ABHÖREN InHost TCP [::]:49152 [::]:0 ABHÖREN InHost TCP [::]:49153 [::]:0 ABHÖREN InHost TCP [::]:49154 [::]:0 ABHÖREN InHost TCP [::]:49156 [::]:0 ABHÖREN InHost TCP [::]:49157 [::]:0 ABHÖREN InHost TCP [::]:49158 [::]:0 ABHÖREN InHost UDP 0.0.0.0:123 *:* UDP 0.0.0.0:500 *:* UDP 0.0.0.0:981 *:* UDP 0.0.0.0:3702 *:* UDP 0.0.0.0:3702 *:* UDP 0.0.0.0:3702 *:* UDP 0.0.0.0:3702 *:* UDP 0.0.0.0:4500 *:* UDP 0.0.0.0:5355 *:* UDP 0.0.0.0:51438 *:* UDP 0.0.0.0:53095 *:* UDP 0.0.0.0:55414 *:* UDP 0.0.0.0:61448 *:* UDP 25.166.208.159:137 *:* UDP 25.166.208.159:138 *:* UDP 25.166.208.159:1900 *:* UDP 25.166.208.159:63845 *:* UDP 127.0.0.1:1900 *:* UDP 127.0.0.1:48001 *:* UDP 127.0.0.1:63847 *:* UDP 192.168.0.11:137 *:* UDP 192.168.0.11:138 *:* UDP 192.168.0.11:1900 *:* UDP 192.168.0.11:63846 *:* UDP [::]:123 *:* UDP [::]:500 *:* UDP [::]:980 *:* UDP [::]:3702 *:* UDP [::]:3702 *:* UDP [::]:3702 *:* UDP [::]:3702 *:* UDP [::]:4500 *:* UDP [::]:5355 *:* UDP [::]:51439 *:* UDP [::]:55415 *:* UDP [::1]:1900 *:* UDP [::1]:63844 *:* UDP [fe80::7d00:392e:f700:dbc5%10]:1900 *:* UDP [fe80::7d00:392e:f700:dbc5%10]:63843 *:* UDP [fe80::e4eb:28a1:4121:e4cb%17]:546 *:* UDP [fe80::e4eb:28a1:4121:e4cb%17]:1900 *:* UDP [fe80::e4eb:28a1:4121:e4cb%17]:63842 *:* Vielen Dank für Eure Hilfe! LG Decstasy P.S.: Ich habe das unterschwellige Gefühl, etwas übersehen zu haben und mich hier jetzt ein wenig blamiere - aber ich hoffe mal das Gegenteil. :old Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
rny Geschrieben 29. April 2013 Teilen Geschrieben 29. April 2013 (bearbeitet) Zufällig Hamachi auf dem PC ? Therefore we’ll be changing every Hamachi node’s address to the 25/8 space. http://b.logme.in/2012/11/07/changes-to-hamachi-on-november-19th/ Bearbeitet 29. April 2013 von rny Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
rny Geschrieben 29. April 2013 Teilen Geschrieben 29. April 2013 Blub, kann gerade nicht editieren, also möge man mir den Doppelpost verzeihen. Zu der 95.91.245.65 sagt spamhaus übrigens auch folgendes, eventuell relevant. Important: If you are using any normal email software (such as Outlook, Entourage, Thunderbird, Apple Mail, etc.) and you are being blocked by this Spamhaus PBL listing when you try to send email, the reason is simply that you need to turn on "SMTP Authentication" in your email program settings. For help with SMTP Authentication or ways to quickly fix this problem Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Decstasy Geschrieben 29. April 2013 Autor Teilen Geschrieben 29. April 2013 Vielen Dank für Eure Hilfe! Ja da ist Hamashi installiert; das Hamashi das 25/8 benutzt war mir nicht aufgefallen - vielen Dank jedenfalls! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.