Verbindung vdradmin mit "Robert Hecht Software" zu tun?

bogi32b · 17. Februar 2009

Habe letzte Nacht, nachdem mein Firewall logging endlich wieder funktioniert, den VDR beim vermeintlichen "nach hause telefonieren" erwischt. Wie sonst ist das zu erklären das eine Verbindung zur 62.154.195.166 aufgebaut wurde? Port 7001 <-> 24166, wobei 7001 der Zielport bei mir war oder zumindest es so aussah.

Ripe spuckt diese Info aus:
inetnum: 62.154.195.160 - 62.154.195.167
netname: RHS-HECHT-MAILSERVER-NET
descr: Robert Hecht Software
country: DE
admin-c: RH947-RIPE
tech-c: FP1923-RIPE
status: ASSIGNED PA
mnt-by: DTAG-NIC
source: RIPE # Filtered

person: Robert Hecht
address: Robert Hecht Software
address: Schleifweg 7a
address: D-86405 Meitingen
address: Germany
phone: +49 8271 7524
fax-no: +49 8271 6162
e-mail: hecht@rhsoftware.de
nic-hdl: RH947-RIPE
mnt-by: DTAG-NIC
source: RIPE # Filtered

Hat diese Firma was mit dem VDR zu tun?
Optisch hat das rhsoftware.de vielleicht mit einem VDR zu tun, laüft aber mit Vista...

heinzelrumpel · 17. Februar 2009

Was läuft denn auf deinem Zielport 7001 an Diensten?

bogi32b · 17. Februar 2009

VDRAdmin. Ist ein EasyVDR.

heinzelrumpel · 17. Februar 2009

Hast Du portforwarding auf Port 7001 oder hängt der VDR direkt am Inet?

bogi32b · 17. Februar 2009

Habe erst einen router, der macht pauschal Portforwarding auf meinen IPCop, der wiederrum macht ein Portforwarding auf den Digitainer und erlaubt das nur von ganz bestimmten IP Adressen aus. In die Gegenrichtung ist aber erstmal alles offen. Surfen ist zwar über nen Proxy, der ist aber transparent. Muss ich schon einen VDR in die DMZ stellen?

heinzelrumpel · 17. Februar 2009

Komische Konfig, aber letztendlich hat derjenige, der versucht hat, sich an Port 7001 zu verbinden, eine IP, die zu dieser Firma gehört. Es ist nicht so, dass dein VDR sich ungefragt verbindet.

Hast Du den genauen Logeintrag zur Hand und auch die iptables-Regel, die dazugehört?

bogi32b · 17. Februar 2009

eth1 ist rot=draussen
eth0 ist grün=drin

Code

Feb 17 11:13:55 ipcop kernel: OUTPUT IN=eth1 OUT=eth0 SRC=62.154.195.166 DST=192.168.2.24 LEN=44 TOS=0x00 PREC=0x00 TTL=58 ID=34902 DF PROTO=TCP SPT=24166 DPT=7001 WINDOW=65535 RES=0x00 SYN URGP=0 
Feb 17 11:13:58 ipcop kernel: OUTPUT IN=eth1 OUT=eth0 SRC=62.154.195.166 DST=192.168.2.24 LEN=44 TOS=0x00 PREC=0x00 TTL=58 ID=9559 DF PROTO=TCP SPT=24166 DPT=7001 WINDOW=65535 RES=0x00 SYN URGP=0 
Feb 17 11:14:04 ipcop kernel: OUTPUT IN=eth1 OUT=eth0 SRC=62.154.195.166 DST=192.168.2.24 LEN=44 TOS=0x00 PREC=0x00 TTL=58 ID=36696 DF PROTO=TCP SPT=24166 DPT=7001 WINDOW=65535 RES=0x00 SYN URGP=0 




hier iptables -l dazu falls es hilft:
root@ipcop:~ # iptables -L
Chain BADTCP (2 references)
target     prot opt source               destination
PSCAN      tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG
PSCAN      tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
PSCAN      tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN
PSCAN      tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN,RST
PSCAN      tcp  --  anywhere             anywhere            tcp flags:FIN,SYN/FIN,SYN
NEWNOTSYN  tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN state NEW


Chain CUSTOMFORWARD (1 references)
target     prot opt source               destination


Chain CUSTOMINPUT (1 references)
target     prot opt source               destination


Chain CUSTOMOUTPUT (1 references)
target     prot opt source               destination


Chain DHCPBLUEINPUT (1 references)
target     prot opt source               destination


Chain DMZHOLES (0 references)
target     prot opt source               destination


Chain GUIINPUT (1 references)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request


Chain INPUT (policy DROP)
target     prot opt source               destination
ipac~o     all  --  anywhere             anywhere
BADTCP     all  --  anywhere             anywhere
CUSTOMINPUT  all  --  anywhere             anywhere
GUIINPUT   all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
IPSECVIRTUAL  all  --  anywhere             anywhere
OPENSSLVIRTUAL  all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state NEW
DROP       all  --  127.0.0.0/8          anywhere            state NEW
DROP       all  --  anywhere             127.0.0.0/8         state NEW
ACCEPT    !icmp --  anywhere             anywhere            state NEW
DHCPBLUEINPUT  all  --  anywhere             anywhere
IPSECPHYSICAL  all  --  anywhere             anywhere
OPENSSLPHYSICAL  all  --  anywhere             anywhere
WIRELESSINPUT  all  --  anywhere             anywhere            state NEW
REDINPUT   all  --  anywhere             anywhere
XTACCESS   all  --  anywhere             anywhere            state NEW
LOG        all  --  anywhere             anywhere            limit: avg 10/min burst 5 LOG level warning prefix `INPUT '


Chain FORWARD (policy DROP)
target     prot opt source               destination
ipac~fi    all  --  anywhere             anywhere
ipac~fo    all  --  anywhere             anywhere
BADTCP     all  --  anywhere             anywhere
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
CUSTOMFORWARD  all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
IPSECVIRTUAL  all  --  anywhere             anywhere
OPENSSLVIRTUAL  all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state NEW
DROP       all  --  127.0.0.0/8          anywhere            state NEW
DROP       all  --  anywhere             127.0.0.0/8         state NEW
ACCEPT     all  --  anywhere             anywhere            state NEW
WIRELESSFORWARD  all  --  anywhere             anywhere            state NEW
REDFORWARD  all  --  anywhere             anywhere
PORTFWACCESS  all  --  anywhere             anywhere            state NEW
LOG        all  --  anywhere             anywhere            limit: avg 10/min burst 5 LOG level warning prefix `OUTPUT '


Chain IPSECPHYSICAL (1 references)
target     prot opt source               destination


Chain IPSECVIRTUAL (2 references)
target     prot opt source               destination


Chain LOG_DROP (0 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere            limit: avg 10/min burst 5 LOG level warning
DROP       all  --  anywhere             anywhere


Chain LOG_REJECT (0 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere            limit: avg 10/min burst 5 LOG level warning
REJECT     all  --  anywhere             anywhere            reject-with icmp-port-unreachable


Chain NEWNOTSYN (1 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere            limit: avg 10/min burst 5 LOG level warning prefix `NEW not SYN? '
DROP       all  --  anywhere             anywhere


Chain OPENSSLPHYSICAL (1 references)
target     prot opt source               destination


Chain OPENSSLVIRTUAL (2 references)
target     prot opt source               destination


Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ipac~i     all  --  anywhere             anywhere
CUSTOMOUTPUT  all  --  anywhere             anywhere


Chain PORTFWACCESS (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  194.1.1.100      digitainer.localdomain tcp dpt:afs3-callback
ACCEPT     tcp  --  217.1.1.13        digitainer.localdomain tcp dpt:afs3-callback
ACCEPT     tcp  --  194.1.1.100      debian.localdomain  tcp dpt:afs3-callback
ACCEPT     tcp  --  217.1.1.13        debian.localdomain  tcp dpt:afs3-callback


Chain PSCAN (5 references)
target     prot opt source               destination
LOG        tcp  --  anywhere             anywhere            limit: avg 10/min burst 5 LOG level warning prefix `TCP Scan? '
LOG        udp  --  anywhere             anywhere            limit: avg 10/min burst 5 LOG level warning prefix `UDP Scan? '
LOG        icmp --  anywhere             anywhere            limit: avg 10/min burst 5 LOG level warning prefix `ICMP Scan? '
LOG        all  -f  anywhere             anywhere            limit: avg 10/min burst 5 LOG level warning prefix `FRAG Scan? '
DROP       all  --  anywhere             anywhere


Chain REDFORWARD (1 references)
target     prot opt source               destination


Chain REDINPUT (1 references)
target     prot opt source               destination


Chain WIRELESSFORWARD (1 references)
target     prot opt source               destination


Chain WIRELESSINPUT (1 references)
target     prot opt source               destination


Chain XTACCESS (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             192.168.1.254       tcp dpt:ident
ACCEPT     tcp  --  194.1.1.100      192.168.1.254       tcp dpt:microsoft-ds
ACCEPT     tcp  --  217.1.1.13        192.168.1.254       tcp dpt:microsoft-ds


Chain ipac~fi (1 references)
target     prot opt source               destination
           all  --  anywhere             anywhere
           all  --  anywhere             anywhere


Chain ipac~fo (1 references)
target     prot opt source               destination
           all  --  anywhere             anywhere
           all  --  anywhere             anywhere


Chain ipac~i (1 references)
target     prot opt source               destination
           all  --  anywhere             anywhere
           all  --  anywhere             anywhere


Chain ipac~o (1 references)
target     prot opt source               destination
           all  --  anywhere             anywhere
           all  --  anywhere             anywhere
root@ipcop:~ #

Alles anzeigen

heinzelrumpel · 18. Februar 2009

sieht so aus, als ob du ipcop auf dem Router verwendest.

Würde das ganze aber nicht als Einbruchsversuch überbewerten. Es hat lediglich einen Versuch gegeben, auf diesen Port zu connecten. Zum Glück wirst du ja ein Passwor für vdradmin vergeben haben, sodass niemand an deinen Timern rumfummeln kann.

Razorblade · 18. Februar 2009

Zitat

Original von bogi32b
Habe letzte Nacht, nachdem mein Firewall logging endlich wieder funktioniert, den VDR beim vermeintlichen "nach hause telefonieren" erwischt.

Wenn der VDR "nach Hause telefoniert" hätte, wäre die Verbindung wohl von innen nach außen, in Deinem Log ist es aber genau andersherum.
Ich vermute eher zufällige Scanaktivität, das ist zwar unschön, passiert aber ständig und beweist mal wieder wie wichtig es ist, seine Systeme ordentlich abzusichern. Automatischen Scripten die nach offenen Proxies, Standardlogins via SSH/Telnet etc suchen ist es erstmal egal "wer" man ist und ob es dort etwas interessantes gibt, es geht nur darum "offene" Systeme zu finden (und dann möglicherweise für weitere Aktivitäten zu mißbrauchen)...

Und warum gerade auf Port 7001? Warum nicht, jedenfalls versuchen es einige:
http://www.dshield.org/port.html?port=7001

Gruß,
Razor

gda · 18. Februar 2009

Das kann doch auch vollkommen harmlos sein. Wenn der "Angreifer", vor der
Zwangstrennung durch seinen Internet-Provider, die IP-Adresse hatte, die du
nach deiner Zwangstrennung bekommen hast, dann dauert es ja oft noch einen Augenblick bis Dienste wie dyndns.org die neue Adresse veröffentlicht haben. Der "Angreifer" wollte also eventuell nur auf seinen eigenen Rechner zugreifen, hat aber stattdessen deinen erwischt. Du kannst ja mal prüfen, wann bei dir die Zwangstrennung war, oder hast du eine feste IP?

Gerald

bogi32b · 18. Februar 2009

Zitat

Original von heinzelrumpel

sieht so aus, als ob du ipcop auf dem Router verwendest.

Würde das ganze aber nicht als Einbruchsversuch überbewerten. Es hat lediglich einen Versuch gegeben, auf diesen Port zu connecten. Zum Glück wirst du ja ein Passwor für vdradmin vergeben haben, sodass niemand an deinen Timern rumfummeln kann.

Es ist passwortgesichert und es können nur 2 IP´s drauf zugreifen:
Chain PORTFWACCESS (1 references)
target prot opt source destination
ACCEPT tcp -- 194.1.1.100 digitainer.localdomain tcp dpt:afs3-callback
ACCEPT tcp -- 217.1.1.13 digitainer.localdomain tcp dpt:afs3-callback
ACCEPT tcp -- 194.1.1.100 debian.localdomain tcp dpt:afs3-callback
ACCEPT tcp -- 217.1.1.13 debian.localdomain tcp dpt:afs3-callback

an dem LOG auszug kann ich aber keinen DROP erkennen, deshalb machte es mich stutzig. OUTPUT aus dem Grünen interface ist für mich eher das das Paket rausgegangen ist. Andererseits kann es aber heissen das es dort hätte rausgehen sollen, aber geloggt wurde weil es eben NICHT rausgegangen ist sondern abgefangen wurde. Die andere Möglichkeit ist das es ein Antwortpaket war.
Mit der Zwangstrennung hat das aber nichts zu tun, denn die ist zu einer ganz anderen Zeit gewesen.

Razorblade · 18. Februar 2009

Guck doch einfach an welcher Stelle etwas mit "OUTPUT" geloggt wird: In der FORWARD Chain, direkt vor dem (default) drop...

SHF · 19. Februar 2009

Ich bin bei Firewalls zwar echt kein Experte, aber einiges erscheint mir da echt merkwürdig:

Code

ACCEPT     all  --  anywhere             anywhere            state NEW
DROP       all  --  127.0.0.0/8          anywhere            state NEW
DROP       all  --  anywhere             127.0.0.0/8         state NEW
ACCEPT     all  --  anywhere             anywhere            state NEW

Sind die beiden "DROP"s nicht sinnlos?

Code

ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
[...]
ACCEPT     all  --  anywhere             anywhere            state NEW
[...]
LOG        all  --  anywhere             anywhere            limit: avg 10/min burst 5 LOG level warning prefix `OUTPUT '

Ausserdem wundert mich was für Pakete es denn überhaupt bis zum LOG schaffen.

Verbindung vdradmin mit "Robert Hecht Software" zu tun?

Jetzt mitmachen!

Teilen