Frage zu Router Log

X5-599

inaktiv
Thread Starter
Mitglied seit
30.09.2007
Beiträge
7.687
Ort
In einer Wohnung
Hoffe bin damit hier richtig.


Ich habe vor etwa einem Monat mal zum Spass eingestellt dass mir mein Router das Protokoll, wenn es voll ist, per Email zustellen soll.
Es ist ein D-LINK DIR-855 und darin werden einige Sachen Protokolliert.

Anfangs habe ich das vielleicht jede Woche einmal zugestellt bekommen.
Mittlerweile bekomme ich es täglich und seit gestern abend habe ich etwa 20 Stück bekommen.

Ich habe keine Ahnung vom Lesen dieses Protokolls.

Meine Frage daher, wenn ich es hier einstelle, könnte mir jemand sagen wieso ich soviele bekomme?
Was also der Auslöser für das füllen des Protokolls ist?



Und noch was, ich wollte gerade auf den Router per IP zugreifen und das abstellen, ich komme nicht mehr rein. Dabei habe ich vor ca. einem Monat auch das Passwort in ein komplexes mit gross-/klein-Buchstaben und Zahlen geändert.
Vielleicht vertippe ich mich auch, denn ich kann mir nicht vorstellen dass dies jemand geknackt hat?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Danke für die Antwort, aber das ist es nicht.
Mittlerweile habe ich selber nachgeforscht und jemand gefunden der mir ein paar Antworten gab.

Es hat sich zwischenzeitlich massiv verschlimmert.


Kurzum, vergisst was bisher hier stand, hier ist das neue Problem (wobei es mit dem Startthread zu tun hat)


Bitte verschieben falls hier falsch.


Folgendes ist die Ausgangslage, hier in kompletter Form. Mache am Ende noch eine Kurz Zusammenfassung für diejenige, die nicht alles Lesen möchten.


Vor ca. 1 Monat habe ich sämtliche Passwörter am DIR-855 geändert. Dabei habe ich auch das Router Log aktiviert. Jedesmal wenn es voll ist, wird es mir per Email zugestellt.
Bisher bekam ich vielleicht einmal die Woche ein Log File.
Seit gestern habe ich nun schon etwa 40 Log Files erhalten.

Ich wollte über die IP des Routers auf die Weboberfläche, doch nach Eingabe des Passworts kam die Meldung es wäre falsch. Hatte aber ein komplexes aus gross- und klein- Buchstaben sowie Zahlen erstellt. Könnte auch ein Zufall sein dass ich es damals vielleicht falsch aufgeschrieben habe.


Habe einen Reset ausgeführt und alles nochmals neu eingestellt.

Dabei habe ich aber die DDNS Verbindung und Portweiterleitung weggelassen. Wobei diese Adresse nur mein Kumpel kannte damit er Zugriff auf mein NAS hat. Sonst wusste niemand davon.

Trotzdem habe ich noch immer die Einträge im Log.

Die IP die bis heut Nachmittag am meisten auffiel habe ich gesucht und den Betreiber angeschrieben. Der meint aber es würde nicht von ihm auf mich zugegriffen werden sondern es fände ein ddos Angriff von mir auf ihn statt.

Da der Router ein Display hat, habe ich alle Netzerkkabel abgezogen. Es war also nur das Kabel vom Router zum Modem drin und die Einträge gingen weiter.

Nur haben sich seither die IPs geändert.

HiJackThis fand nichts.
Kaspersky ist noch am suchen.
Wobei kann ja nicht an meinem Rechner liegen wenn die Einträge weiter gehen wenn er gar nicht angeschlossen ist.




Kurzform

- seit gestern rund 40 Logs per Email erhalten
- alle Netzwerkkabel vom Router abgezogen, einträge gingen weiter
- HiJackThis fand nichts, Kaspersky läuft noch
- Passwort am Router falsch, wurde erst kürzlich in ein komplexes geändert
- Reset durchgeführt und neu konfiguriert


Hier mal ein Auszug aus dem Log:

[INFO] Mon Dec 14 13:56:59 2009 Senden der Protokoll-E-Mail, wenn Protokoll voll
[INFO] Mon Dec 14 13:56:59 2009 Blockiertes ankommendes TCP Paket von 212.224xx.xx:80 nach xx.xx65.73:1063, SYN:ACK hat zwar empfangen, aber es gab keine aktive Verbindung
[INFO] Mon Dec 14 13:56:58 2009 Blockiertes ankommendes TCP Paket von 212.224xx.xx:80 nach xx.xx65.73:1086, SYN:ACK hat zwar empfangen, aber es gab keine aktive Verbindung
[INFO] Mon Dec 14 13:56:58 2009 Blockiertes ankommendes TCP Paket von 212.224xx.xx:80 nach xx.xx65.73:1239, SYN:ACK hat zwar empfangen, aber es gab keine aktive Verbindung
[INFO] Mon Dec 14 13:56:58 2009 Blockiertes ankommendes TCP Paket von 212.224xx.xx:80 nach xx.xx65.73:1240, SYN:ACK hat zwar empfangen, aber es gab keine aktive Verbindung
[INFO] Mon Dec 14 13:56:57 2009 Blockiertes ankommendes TCP Paket von 212.224xx.xx:80 nach xx.xx65.73:1089, SYN:ACK hat zwar empfangen, aber es gab keine aktive Verbindung
[INFO] Mon Dec 14 13:56:56 2009 Blockiertes ankommendes TCP Paket von 212.224xx.xx:80 nach xx.xx65.73:1090, SYN:ACK hat zwar empfangen, aber es gab keine aktive Verbindung
[INFO] Mon Dec 14 13:56:54 2009 Blockiertes ankommendes TCP Paket von 212.224xx.xx:80 nach xx.xx65.73:1242, SYN:ACK hat zwar empfangen, aber es gab keine aktive Verbindung
[INFO] Mon Dec 14 13:56:54 2009 Blockiertes ankommendes TCP Paket von 212.224xx.xx:80 nach xx.xx65.73:1156, SYN:ACK hat zwar empfangen, aber es gab keine aktive Verbindung
[INFO] Mon Dec 14 13:56:52 2009 Blockiertes ankommendes TCP Paket von 212.224xx.xx:80 nach xx.xx65.73:1252, SYN:ACK hat zwar empfangen, aber es gab keine aktive Verbindung
[INFO] Mon Dec 14 13:56:52 2009 Blockiertes ankommendes TCP Paket von 212.224xx.xx:80 nach xx.xx65.73:1245, SYN:ACK hat zwar empfangen, aber es gab keine aktive Verbindung
[INFO] Mon Dec 14 13:56:47 2009 Blockiertes ankommendes TCP Paket von 212.224xx.xx:80 nach xx.xx65.73:1180, SYN:ACK hat zwar empfangen, aber es gab keine aktive Verbindung
[INFO] Mon Dec 14 13:56:47 2009 Blockiertes ankommendes TCP Paket von 212.224xx.xx:80 nach xx.xx65.73:1086, SYN:ACK hat zwar empfangen, aber es gab keine aktive Verbindung
[INFO] Mon Dec 14 13:56:46 2009 Blockiertes ankommendes TCP Paket von 212.224xx.xx:80 nach xx.xx65.73:1197, SYN:ACK hat zwar empfangen, aber es gab keine aktive Verbindung
[INFO] Mon Dec 14 13:56:44 2009 Blockiertes ankommendes TCP Paket von 212.224xx.xx:80 nach xx.xx65.73:1211, SYN:ACK hat zwar empfangen, aber es gab keine aktive Verbindung
[INFO] Mon Dec 14 13:56:44 2009 Blockiertes ankommendes TCP Paket von 212.224xx.xx:80 nach xx.xx65.73:1141, SYN:ACK hat zwar empfangen, aber es gab keine aktive Verbindung
[INFO] Mon Dec 14 13:56:42 2009 Blockiertes ankommendes TCP Paket von 212.224xx.xx:80 nach xx.xx65.73:1189, SYN:ACK hat zwar empfangen, aber es gab keine aktive Verbindung
[INFO] Mon Dec 14 13:56:40 2009 Blockiertes ankommendes TCP Paket von 212.224xx.xx:80 nach xx.xx65.73:1236, SYN:ACK hat zwar empfangen, aber es gab keine aktive Verbindung




Kann mir hier jemand helfen was das ist?

Ich denke es liegt nicht an meinem Netzwerk.
Der Typ welcher für die IP 212.224.xxxxx zuständig ist, meint aber es komme von meinem Rechner. Doch eben wie wenn dieser gar nicht angeschlossen ist.

Um 18:57 Uhr habe ich alle Netzwerkkabel abgezogen.
Um 19:17 Uhr habe ich den Rechner wieder angeschlossen.
Hier das Log vom Router von dieser Zeit

[WARN] Mon Dec 14 19:17:40 2009 Einem Netzwerkcomputer (xxx) wurde die IP-Adresse von 192.168.1.100 zugewiesen.
[INFO] Mon Dec 14 19:11:08 2009 Blockierte ankommende TCP Verbindungsaufforderung von xx.xx145.124:3341 nach xx.xx71.193:135
[INFO] Mon Dec 14 19:11:07 2009 Blockierte ankommende TCP Verbindungsaufforderung von xx.xx136.37:2242 nach xx.xx71.193:139
[INFO] Mon Dec 14 19:11:05 2009 Blockierte ankommende TCP Verbindungsaufforderung von xx.xx145.124:3341 nach xx.xx71.193:135
[INFO] Mon Dec 14 19:10:51 2009 Blockierte ankommende TCP Verbindungsaufforderung von xx.xx137.29:9141 nach xx.xx71.193:139
[INFO] Mon Dec 14 19:09:02 2009 Blockierte ankommende TCP Verbindungsaufforderung von xx.xx136.37:39316 nach xx.xx71.193:139
[INFO] Mon Dec 14 19:07:44 2009 Blockiertes ankommendes TCP Paket von 187.137.15.10:1066 nach xx.xx71.193:21402, RST:ACK hat zwar empfangen, aber es gab keine aktive Verbindung
[INFO] Mon Dec 14 19:05:01 2009 Blockierte ankommende TCP Verbindungsaufforderung von 77.56.79.166:2184 nach xx.xx71.193:135
[INFO] Mon Dec 14 19:04:58 2009 Die obige Meldung wurde 1-mal wiederholt.
[INFO] Mon Dec 14 19:04:07 2009 Blockierte ankommende TCP Verbindungsaufforderung von xx.xx137.29:39093 nach xx.xx71.193:139
[INFO] Mon Dec 14 19:03:58 2009 Blockierte ankommende TCP Verbindungsaufforderung von 61.55.137.133:6000 nach xx.xx71.193:53
[INFO] Mon Dec 14 19:02:42 2009 Blockierte ankommende TCP Verbindungsaufforderung von 187.137.15.10:1066 nach xx.xx71.193:21402
[INFO] Mon Dec 14 19:02:33 2009 Die obige Meldung wurde 2-mal wiederholt.
[INFO] Mon Dec 14 19:02:17 2009 Blockierte ankommende TCP Verbindungsaufforderung von xx.xx136.37:15554 nach xx.xx71.193:139
[INFO] Mon Dec 14 18:56:18 2009 Administratorabmeldung



Ach ja, ich habe die IP von mir und die meist auftauchende IP mit xx.xx ersetzt.
 
Hast du eine dynamische IP?

Flash mal eine neue Firmware auf den Router.
 
Ich finde die Logs sehen nicht besonders auffällig aus. Was genau ist eigentlich das Problem?

Mirko
 
Neuste Firmware ist drauf.

IP hat sich heute geändert. Also habe keine statische IP und obwohl sich heute die IP vom Provider geändert hat, gehen die Einträge weiter.
 
Firmware "Reinigung", falls die aktuelle manipuliert ist, könnte das Problem sein.
 
Wird er nachgucken ob der Dienst dahinter verwundbar ist oder nur mit den Initialpasswörtern ausgerüstet ist. Wenn eines von beiden zutrifft, wird er sich wohl Zugang zu deinem Rechner beschaffen.

Und genau das ist das Problem weshalb ich sage die Logs sehen keinesfalls normal aus.

Was also kann ich dagegen tun?
 
Und genau das ist das Problem weshalb ich sage die Logs sehen keinesfalls normal aus.

Was also kann ich dagegen tun?

Also für mich sieht dein Logfile absolut gewöhnlich aus. Wenn ich in mein auth-Logfile vom SSH-Server gucke, finde ich da mehrmals die Minute Einträge von Leuten die sich dort einloggen wollen.

Machen kannst im Prinzip nicht viel. Halt alle Ports schließen die du nichts brauchst, keine Standardports für deine Dienste verwenden, starke Passwörter, Software aktuell halten und Dienste so konfigurieren, dass sie wenig Infos nach außen geben (also bei falschem Login nicht die ganze Lebensgeschichte inkl. Versionnummern preisgeben beispielsweise).
 

Ähnliche Themen

Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh