Jump to content
Melde dich an, um diesem Inhalt zu folgen  

Port 34443

Empfohlene Beiträge

Kennt von Euch jemanden einen Trojaner auf Port 34443? In der Linux-Firewall wurde protokolliert, daß der W2K-Server versuchte einen Broadcast (255.255.255.255) auf Port 34443 aufzubauen.

Ich hab keine Ahnung und auch nichts gefunden was das gewesen sein könnte.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi.

Also für diesne Port kenne ich keinen.

Ich kenne aber ein paar die um diesen Port herum fungieren.

Hier:

33911 Trojan Spirit 2001 a

34324 BigGluck , Tiny Telnet Server

34555 Trinoo (Windows)

35555 Trinoo (Windows)

Vielleicht wurde er modifiziert oder vielleicht kann man einstellen auf welchen Port angegriffen werden soll.

Auf jeden Fall sind das die Trojaner die ich gefunden habe die um diese Zahl herum fimmeln ;o)

Gruß

Hexdump

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ok, das ist schon klar. In der Regel sind das NetBios Meldungen. Die gehen aber nur an das Netz indem der Windows-Rechner ist, nicht an 255.255.255.255. Dazu kommt, daß der Rechner das erst seit ein paar Tagen macht - irgendwelche neue Software wurde aber nicht installiert. :confused:

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@ funkybeat: Also, ich bin ja nun nicht gerade das, was man den Sicherheitsexperten im Bereich PC nennt, aber es kann ja wohl nicht sein, dass ein Server urplötzlich versucht, auf irgendwelchen Ports Verbindungen zu öffnen, und Du sagst "Nimm esnicht so ernst"... Also, das finde ich (trotz echt dickem Fell und sonnigem Gemüt) ein wenig herb... (Soll jetzt nicht böse klingen, ich war jetzt echt nur ein wenig baff..., vielleicht weisst Du da einfach mehr als ich...)

Wenn Softwaremässig nichts verändert wurde und noch nie vorher eine Aktivität auf diesem Port zu vermelden war, dann kann da irgendwas nicht stimmen, denn auch wenn Windows wirklich mal planlos ein der Gegend rumbroadcastet, dann sicher nicht ganz zufällig auf dem Port, oder...? Ich persönlich würde mir aber echt mal ernsthafte Gedanken über eine vernünftige Virenschutzsoftware machen, falls noch nicht vorhanden... Habt Ihr eine, wenn ja, was?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ein Broadcast ist kein Versuch, eine Verbindung aufzubauen, eher ein 'Hallo, da bin ich' nach dem Gießkannenprinzip.

Ins Internet gehen Broadcasts auch nicht, weil sie nicht geroutet werden (können).

Die Daten, die mit dem Broadcast rumgeschickt werden, bleiben also innerhalb des Netzes.

(für Korrekturen an obigem bin ich offen <g>)

Hock dich doch mal mit nem Sniffer an das Netz und guck, ob ein Rechner drauf antwortet, wer alles mit dem W2K-Server auf welchen Ports kommuniziert.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ein guter Sniffer kann auch gut filtern.

Wenn die Firewall den broadcast intern wegschmeisst sollte das doch keinen dial on demand auslösen.

Noch dazu, da broadcasts nicht geroutet werden können, kann eigentlich kein Paket an den pppd geschickt werden, was den zum wählen veranlassen würde...

kann ich mir nicht vorstellen

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Es wurde auch keine Einwahl ausgelöst - die Firewall hat, wie Du erwähnt hast das Paket ja verworfen.

Unter Win kenne ich zwar keinen Packetsniffer, dafür aber einige unter Unix. Das die Filtern können weiß ich auch. Das nächste Problem ist, daß ich auf dem Server kein Sniffer installieren kann. Und auf allen anderen Rechnern finde ich dann nicht raus, welches Programm das Paket erzeugt hat...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Die 255.255.255.255 ist eine Broadcast, die normalerweise - z.B. bei DHCP - verwendet wird, um im lokalen Netzwerk einen Server zu finden. Da diese Broadcast nicht über den nächsten Router drüber geht - wie FunkyBeat richtig bemerkt hat - eignet sich dieses Paket NICHT um irgendwie Unfug zu stiften, weil es das Internet gar nicht erst erreicht.

Was Deine Portnummer angeht, kenne ich diesen Wert nicht und nach der aktuellen Liste der Well Known Ports ist er auch keiner Applikation zugewiesen (und ich habe natürlich auch keinen Trojaner in meiner Liste gefunden, der diesen Port hätte!

GG

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ethereal (http://www.ethereal.com/) gibts auch fuer Windows, einfach installieren und mal in die Paeckchen schauen. Vielleicht steht ja irgeneine sinnvolle Information drin, die Dir einen Tip geben koennte, welche Anwendung dies ist. Ansonsten kannst Du auf der Windows-Maschine nochmal nachsehen, ob irgendein Prozess eine Verbindung geoeffnet hat, die den von Dir genannten Port anspricht.

Nic

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@ funkybeat: OK, ich geb mich geschlagen, bin halt nur der MEinung, dass Aussagen wie "Mach Dir da mal keine Sorgen, wird schon nix sein" unter Umständen ganz schön gefährlcih werden kann... Hm, naja, allerdings nur, wenn derjenige, der das sagt, nicht weiss, wovon er redet...

Du scheinst ees zu wissen, daher: *sorry* :e@sy :D :D :D

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich denke eher, dass es sich hierbei um eine Multicast Adresse handelt, aber den genauen Adressberiech weis ich (noch) nicht. Wie gesagt, ist nur ne Vermutung, aber ich werd mal nachschauen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Original geschrieben von nic_power

Wie kommst Du denn darauf? Multicast-Adressen liegen im Bereich 224.0.0.0 - 239.255.255.255

Nic

Stimmt allerdings, also kann es eigentlich nur ein Broadcast sein, denke ich.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Das weiß ich auch, da fehlt aber eine 4. Muß heißen 34443.

Nochmals zu oben, weiß nicht wehr: ich kann auf dem Windows-Rechner keine Software installieren, ist also schwierig dort einen Sniffer zu installieren.

Wo anders oben. Wirklich Sorgen mache ich mir nicht, ist bloß etwas seltsam. DCHP, BootP und wie sie alle heißen ist nicht installiert. (Also alles rein statisch).

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Nimm an der Diskussion teil

Du kannst jetzt hier posten und Dich später registrieren. Wenn Du bereits über eine Konto verfügst, melde Dich jetzt an, um mit Deinem Konto zu posten.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Clear editor

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Melde dich an, um diesem Inhalt zu folgen  

Fachinformatiker.de, 2020 SE Internet Services

fidelogo_small.png

if_icon-6-mail-envelope-closed_314900.pnSchicken Sie uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App


Get it on Google Play

Kontakt

Hier werben?
Oder senden Sie eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...

Wichtige Information

Fachinformatiker.de verwendet Cookies. Mehr dazu in unserer Datenschutzerklärung