26. Januar 2010: Digitales Anklopfen

Dass das Internet voller böser Menschen ist, bezweifelt ja mittlerweile niemand mehr. Gestern Abend bin ich zufällig auf einen neuerlichen Ansturm dieser Gruppe gestoßen. Eher zufällig, denn beim begutachten einer kleinen Bandbreiten-Statistik habe ich festgestellt, dass viele (sehr viele) Daten fließen obwohl kein Rechner an ist.

Vorgestern gegen 20:00h hat es angefangen – und erst gegen Mitternacht aufgehört. Nur um dann 14 Stunden später wieder anzufangen und bis dato nicht mehr auf zu hören. Das dazugehörige Verbindungsprotokoll weist die unterschiedlichsten Ports auf, aber man scheint sich von unten nach oben durch-zuarbeiten. Die Vermutung liegt nah, dass es sich dabei um einen Portscan mittels Botnet handelt – wohl dem, der eine Firewall hat! Hier ein kleiner Auszug:

P	SHost	SPort	DHost	DPort	QoS
UDP	98.243.114.146	44698	my_host (vlan1)	13989	Low
UDP	86.99.40.148	34185	my_host (vlan1)	13989	Low
TCP	71.68.96.135	60260	my_host (vlan1)	61456	Low
UDP	98.148.62.215	36126	my_host (vlan1)	13989	Low
TCP	64.12.24.34	5190	my_host (vlan1)	49261	Low
UDP	189.60.13.108	5620	my_host (vlan1)	13989	Low
UDP	208.114.36.253	47502	my_host (vlan1)	13989	Low
UDP	71.57.211.118	15711	my_host (vlan1)	13989	Low
TCP	64.12.8.93	5190	my_host (vlan1)	49258	Low
TCP	68.81.125.25	6415	my_host (vlan1)	61294	Low
UDP	65.55.158.116	3544	my_host (vlan1)	53283	Low
TCP	24.79.8.42	3701	my_host (vlan1)	56033	Low
TCP	69.235.134.90	9585	my_host (vlan1)	56001	Low
UDP	90.203.190.82	2800	my_host (vlan1)	13989	Low
UDP	67.82.27.105	8224	my_host (vlan1)	13989	Low
UDP	82.243.61.53	34095	my_host (vlan1)	13989	Low
UDP	69.144.216.97	25070	my_host (vlan1)	13989	Low
TCP	65.54.81.24	80	my_host (vlan1)	57724	High
UDP	24.144.203.229	32643	my_host (vlan1)	13989	Low
TCP	98.110.25.129	34278	my_host (vlan1)	56022	Low
TCP	65.55.182.111	80	my_host (vlan1)	56040	High
TCP	68.173.253.21	51024	my_host (vlan1)	55996	Low

Oder ein wenig graphischer:

View Scanners in a larger map