Log-Overflow im DIR-615

[wenders]

Hallo,

ich habe in meiner neuen (noch unbewohnten) Wohnung vor einigen Tagen Flat-Deluxe (26/1) installiert bekommen. Heute habe ich den geschenkten Router DIR-615 am Kabelmodem THG 540K angeschlossen und nach bestem Wissen und Gewissen konfiguriert. Um die Fernverwaltung aus der alten Wohnung aus zu gewährleisten, habe ich den Haken bei Remote Management aktivieren gesetzt. Den eingehenden Datenverkehr habe ich per Filterregel stark begrenzt, indem ich nur den IP-Bereich meines Providers zulasse. Die Weboberfläche ist passwortgeschützt. Dynamic DNS habe ich ebenfalls konfiguriert.

Die Fernverwaltung klappt auch hervorragend. Allerdings ist mir im Log aufgefallen, dass dort extrem viele Einträge mit folgendem Inhalt auftauchen:

[INFO] Sun Mar 15 23:22:09 2009 Blockierte ankommende TCP Verbindungsaufforderung von 91.67.194.179:2853 nach 91.67.xxx.xxx:1433
[INFO] Sun Mar 15 23:22:05 2009 Blockierte ankommende TCP Verbindungsaufforderung von 91.67.194.179:2433 nach 91.67.xxx.xxx:5800
[INFO] Sun Mar 15 23:22:01 2009 Blockierte ankommende TCP Verbindungsaufforderung von 91.67.198.36:2712 nach 91.67.xxx.xxx:445
[INFO] Sun Mar 15 23:21:58 2009 Die obige Meldung wurde 1-mal wiederholt.
[INFO] Sun Mar 15 23:21:47 2009 Blockierte ankommende TCP Verbindungsaufforderung von 91.66.189.220:4877 nach 91.67.xxx.xxx:445
[INFO] Sun Mar 15 23:21:45 2009 Blockierte ankommende TCP Verbindungsaufforderung von 91.66.189.220:4751 nach 91.67.xxx.xxx:445
[INFO] Sun Mar 15 23:21:44 2009 Blockierte ankommende TCP Verbindungsaufforderung von 91.66.189.220:4877 nach 91.67.xxx.xxx:445
[INFO] Sun Mar 15 23:21:42 2009 Blockierte ankommende TCP Verbindungsaufforderung von 91.66.189.220:4751 nach 91.67.xxx.xxx:445
[INFO] Sun Mar 15 23:20:49 2009 Blockierte ankommende TCP Verbindungsaufforderung von 91.67.194.179:1536 nach 91.67.xxx.xxx:445
[INFO] Sun Mar 15 23:20:48 2009 Blockierte ankommende TCP Verbindungsaufforderung von 91.67.194.179:1478 nach 91.67.xxx.xxx:445
[INFO] Sun Mar 15 23:20:46 2009 Blockierte ankommende TCP Verbindungsaufforderung von 91.67.194.179:1536 nach 91.67.xxx.xxx:445
[INFO] Sun Mar 15 23:20:45 2009 Blockierte ankommende TCP Verbindungsaufforderung von 91.67.194.179:1478 nach 91.67.xxx.xxx:445
[INFO] Sun Mar 15 23:17:17 2009 Blockierte ankommende TCP Verbindungsaufforderung von 91.66.180.165:1285 nach 91.67.xxx.xxx:445
[INFO] Sun Mar 15 23:17:14 2009 Die obige Meldung wurde 1-mal wiederholt.
[INFO] Sun Mar 15 23:16:29 2009 Blockierte ankommende TCP Verbindungsaufforderung von 91.67.198.36:2095 nach 91.67.xxx.xxx:445
[INFO] Sun Mar 15 23:16:26 2009 Die obige Meldung wurde 1-mal wiederholt.
[INFO] Sun Mar 15 23:13:34 2009 Eingehendes UDP-Paket blockiert von 60.15.177.163:36004 bis 91.67.xxx.xxx:1026
etc...........


91.67.xxx.xxx stellt meine momentane IP dar. Innerhalb von 4 Stunden haben sich über 500 INFO-Einträge im Log angesammelt (man beachte den kurzen Zeitabstand zwischen den Einträgen). Das interessante ist, dass am Router gar kein Rechner am LAN hängt. WLAN ist komplett deaktiviert.

Wie kommen diese fremden Zugriffe zustande und wie kann ich sie dauerhaft abstellen? Ich bin bei weitem kein Netzwerk-Profi (aber auch kein blutiger Anfänger mehr) -- ihr müsst mir bitte sagen, welche Angaben ihr noch benötigt. Merci.

Gruß,
wenders

[fLoo]

Dat ist einfach nur nen Wurm der Versucht auf Port 445 sein Unheil anzurichten. Musst Du Dich nicht weiter drum kümmern, bei mir siehts net anders aus

EDIT // Beispiel hinzugefügt

Code: Alles auswählen

[INFO]	Mon Mar 16 00:20:34 2009	Zulässige Konfigurations-Authentifizierung von IP-Adresse 192.168.0.195
[INFO]	Mon Mar 16 00:20:04 2009	Blockierte ankommende TCP Verbindungsaufforderung von 77.21.254.164:2362 nach 77.21.1.XYZ:445
[INFO]	Mon Mar 16 00:20:01 2009	Die obige Meldung wurde 1-mal wiederholt.
[INFO]	Mon Mar 16 00:17:30 2009	Blockierte ankommende TCP Verbindungsaufforderung von 121.156.65.30:7317 nach 77.21.1.XYZ:22
[INFO]	Mon Mar 16 00:17:00 2009	Blockierte ankommende TCP Verbindungsaufforderung von 77.21.202.6:1047 nach 77.21.1.XYZ:445
[INFO]	Mon Mar 16 00:16:57 2009	Die obige Meldung wurde 1-mal wiederholt.
[INFO]	Mon Mar 16 00:16:16 2009	Blockierte ankommende TCP Verbindungsaufforderung von 77.21.244.30:2241 nach 77.21.1.XYZ:445
[INFO]	Mon Mar 16 00:16:13 2009	Die obige Meldung wurde 1-mal wiederholt.
[INFO]	Mon Mar 16 00:14:04 2009	Blockierte ankommende TCP Verbindungsaufforderung von 77.21.162.36:1669 nach 77.21.1.XYZ:445
[INFO]	Mon Mar 16 00:14:01 2009	Die obige Meldung wurde 1-mal wiederholt.
[INFO]	Mon Mar 16 00:14:00 2009	Blockierte ankommende TCP Verbindungsaufforderung von 77.21.244.30:4848 nach 77.21.1.XYZ:445
[INFO]	Mon Mar 16 00:13:57 2009	Die obige Meldung wurde 1-mal wiederholt.
[INFO]	Mon Mar 16 00:13:47 2009	Blockierte ankommende TCP Verbindungsaufforderung von 77.21.244.30:3509 nach 77.21.1.XYZ:445
[INFO]	Mon Mar 16 00:13:44 2009	Die obige Meldung wurde 1-mal wiederholt.
[INFO]	Mon Mar 16 00:13:15 2009	Blockierte ankommende TCP Verbindungsaufforderung von 77.21.56.195:3931 nach 77.21.1.XYZ:445
[INFO]	Mon Mar 16 00:13:12 2009	Die obige Meldung wurde 1-mal wiederholt.
[INFO]	Mon Mar 16 00:11:05 2009	Blockierte ankommende TCP Verbindungsaufforderung von 77.21.56.195:1555 nach 77.21.1.XYZ:445
[INFO]	Mon Mar 16 00:11:02 2009	Die obige Meldung wurde 1-mal wiederholt.
[INFO]	Mon Mar 16 00:10:32 2009	Blockierte ankommende TCP Verbindungsaufforderung von 77.21.56.195:3833 nach 77.21.1.XYZ:445
[INFO]	Mon Mar 16 00:10:29 2009	Die obige Meldung wurde 1-mal wiederholt.
[INFO]	Mon Mar 16 00:10:24 2009	Blockierte ankommende TCP Verbindungsaufforderung von 77.21.202.6:4285 nach 77.21.1.XYZ:445
[INFO]	Mon Mar 16 00:10:21 2009	Die obige Meldung wurde 1-mal wiederholt.
[INFO]	Mon Mar 16 00:08:19 2009	Blockierte ankommende TCP Verbindungsaufforderung von 77.21.35.225:4045 nach 77.21.1.XYZ:445
[INFO]	Mon Mar 16 00:08:16 2009	Die obige Meldung wurde 2-mal wiederholt.
[INFO]	Mon Mar 16 00:06:46 2009	Blockierte ankommende TCP Verbindungsaufforderung von 77.21.35.225:3836 nach 77.21.1.XYZ:445
[INFO]	Mon Mar 16 00:06:44 2009	Die obige Meldung wurde 1-mal wiederholt.
[INFO]	Mon Mar 16 00:06:42 2009	Blockierte ankommende TCP Verbindungsaufforderung von 77.21.26.151:1752 nach 77.21.1.XYZ:445
[INFO]	Mon Mar 16 00:06:39 2009	Die obige Meldung wurde 1-mal wiederholt.
[INFO]	Mon Mar 16 00:05:31 2009	Blockierte ankommende TCP Verbindungsaufforderung von 77.21.244.30:2712 nach 77.21.1.XYZ:445
[INFO]	Mon Mar 16 00:05:28 2009	Die obige Meldung wurde 1-mal wiederholt.
[INFO]	Mon Mar 16 00:03:48 2009	Blockierte ankommende TCP Verbindungsaufforderung von 77.21.244.30:3452 nach 77.21.1.XYZ:445
[INFO]	Mon Mar 16 00:03:45 2009	Die obige Meldung wurde 1-mal wiederholt.
[INFO]	Mon Mar 16 00:00:11 2009	Blockierte ankommende TCP Verbindungsaufforderung von 89.182.71.215:58963 nach 77.21.1.XYZ:50217
[INFO]	Mon Mar 16 00:00:02 2009	Die obige Meldung wurde 2-mal wiederholt.
[INFO]	Sun Mar 15 23:59:49 2009	Blockierte ankommende TCP Verbindungsaufforderung von 77.21.244.30:4474 nach 77.21.1.XYZ:445
[INFO]	Sun Mar 15 23:59:46 2009	Die obige Meldung wurde 1-mal wiederholt.
[INFO]	Sun Mar 15 23:53:28 2009	Blockierte ankommende TCP Verbindungsaufforderung von 77.21.244.30:2835 nach 77.21.1.XYZ:445
[INFO]	Sun Mar 15 23:53:25 2009	Die obige Meldung wurde 1-mal wiederholt.
[INFO]	Sun Mar 15 23:53:21 2009	Blockierte ankommende TCP Verbindungsaufforderung von 77.21.244.30:1780 nach 77.21.1.XYZ:445
[INFO]	Sun Mar 15 23:53:18 2009	Die obige Meldung wurde 1-mal wiederholt.
[INFO]	Sun Mar 15 23:44:32 2009	Blockierte ankommende TCP Verbindungsaufforderung von 77.21.26.151:1267 nach 77.21.1.XYZ:445
[INFO]	Sun Mar 15 23:44:29 2009	Die obige Meldung wurde 1-mal wiederholt.
[INFO]	Sun Mar 15 23:36:47 2009	Blockierte ankommende TCP Verbindungsaufforderung von 201.240.60.205:53430 nach 77.21.1.XYZ:445

77.21.1.XYZ ist in dem Fall meine IP.

[wenders]

Danke für die prompte Antwort und für die Beruhigung.

Es ist aber nicht nur Port 445 betroffen, sondern auch viele andere. Haben andere User hier ebenfalls mit diesem Wurm zu kämpfen und sehen das als eher harmlos an? Und was kann passieren, wenn der Wurm es schafft, doch noch durchzuschlüpfen?

[Thyrael]

Das ist normales Hintergrundrauschen, soetwas findet man bei jedem Anbieter, mal mehr mal weniger. Ich hatte an meinem Alice Anschluss innerhalb weniger Stunden mehr als 2000 solcher Einträge im Log meines DIR-655, hier bei KD bin ich echt überrascht wie wenig solcher Einträge nun bei mir auflaufen. Unterbinden kann man das nicht. Es sind halt infizierte Rechner die ungeschützt im Internet hängen und nun versuchen andere Rechner zu infizieren, die Anfragen werden allerdings vom Router abgeblockt und gelangen nicht in dein Netzwerk.

[wenders]

Danke dir auch für deine informativen Ausführungen. Meine alte Fritz!Box zeichnet Ereignisse nicht so detailliert auf, wie der D-Link. Von diesem sog. Hintergrundrauschen wusste ich nichts -- krass!

[brandax]

Einspruch.

Die Verbindungsanforderungen kommen alle vom gleichen Adressbereich. Das normale Hintergrundrauschen setzt sich aber aus vielen verschiedenen Adressbereichen zusammen. Das ist definitiv was anderes.

Sieht bei mir übrigens genau so aus. Dazu kommt dann noch das wirklich normale Hintergrundrauschen von vielen verschiedenen Adressebereichen.

[Thyrael]

Naja sind halt "Zombies" aus dem gleichen Segment.

[brandax]

Naja sind halt "Zombies" aus dem gleichen Segment.

Wäre aber schon ein sehr merkwürdiger Zufall, wenn die Zombies alle zufällig aus dem gleichen Segment sind, oder?

Im Normalfall sind diese Anfragen sehr gemischt.

[Thyrael]

Es kommt drauf an, hier bei mir sind sie teils gemischt und teils aus dem gleichen Segment. Allerdings habe ich nun einen Router mit DD-WRT Firmware gefunden der den 32MBit Durchsatz schafft (Buffalo WHR-G125), da tauchen solche "Vorkommnisse" im Log eh nicht auf, zum Glück.

[brandax]

da tauchen solche "Vorkommnisse" im Log eh nicht auf, zum Glück.

Ja das ist auch eine Möglichkeit