26. January 2010: Digitales Anklopfen

Dass das Internet voller böser Menschen ist, bezweifelt ja mittlerweile niemand mehr. Gestern Abend bin ich zufällig auf einen neuerlichen Ansturm dieser Gruppe gestoßen. Eher zufällig, denn beim begutachten einer kleinen Bandbreiten-Statistik habe ich festgestellt, dass viele (sehr viele) Daten fließen obwohl kein Rechner an ist.

Port-Scan

Vorgestern gegen 20:00h hat es angefangen Рund erst gegen Mitternacht aufgehört. Nur um dann 14 Stunden später wieder anzufangen und bis dato nicht mehr auf zu hören. Das dazugehörige Verbindungsprotokoll weist die unterschiedlichsten Ports auf, aber man scheint sich von unten nach oben durch-zuarbeiten. Die Vermutung liegt nah, dass es sich dabei um einen Portscan mittels Botnet handelt Рwohl dem, der eine Firewall hat! Hier ein kleiner Auszug:

P SHost SPort DHost DPort QoS
UDP 98.243.114.146 44698 my_host (vlan1) 13989 Low
UDP 86.99.40.148 34185 my_host (vlan1) 13989 Low
TCP 71.68.96.135 60260 my_host (vlan1) 61456 Low
UDP 98.148.62.215 36126 my_host (vlan1) 13989 Low
TCP 64.12.24.34 5190 my_host (vlan1) 49261 Low
UDP 189.60.13.108 5620 my_host (vlan1) 13989 Low
UDP 208.114.36.253 47502 my_host (vlan1) 13989 Low
UDP 71.57.211.118 15711 my_host (vlan1) 13989 Low
TCP 64.12.8.93 5190 my_host (vlan1) 49258 Low
TCP 68.81.125.25 6415 my_host (vlan1) 61294 Low
UDP 65.55.158.116 3544 my_host (vlan1) 53283 Low
TCP 24.79.8.42 3701 my_host (vlan1) 56033 Low
TCP 69.235.134.90 9585 my_host (vlan1) 56001 Low
UDP 90.203.190.82 2800 my_host (vlan1) 13989 Low
UDP 67.82.27.105 8224 my_host (vlan1) 13989 Low
UDP 82.243.61.53 34095 my_host (vlan1) 13989 Low
UDP 69.144.216.97 25070 my_host (vlan1) 13989 Low
TCP 65.54.81.24 80 my_host (vlan1) 57724 High
UDP 24.144.203.229 32643 my_host (vlan1) 13989 Low
TCP 98.110.25.129 34278 my_host (vlan1) 56022 Low
TCP 65.55.182.111 80 my_host (vlan1) 56040 High
TCP 68.173.253.21 51024 my_host (vlan1) 55996 Low

Oder ein wenig graphischer:


View Scanners in a larger map