BlackBoard (http://www.black-board.net/index.php)
- Computerecke (http://www.black-board.net/board.php?boardid=30)
-- Netzwerke/Telekommunikation (http://www.black-board.net/board.php?boardid=2)
--- Seltsame Infos ausm Router (http://www.black-board.net/thread.php?threadid=17186)

Geschrieben von Roughneg am 09.05.2004 um 11:06:

  Seltsame Infos ausm Router

Hi, ich habe in der Log Datei von meinem Roter seltsame informationen drin stehen. er startet auch dauernd neu bzw beendet die verbindung. Kann man auf einem Router nen Virus, Trojaner, Wurm oder ähnliches haben?

Zitat:

09-05-2004 10:34:41 : FILTER:icmp request detected from Wan port
09-05-2004 10:34:41 : ICMP request detected from IP:80.138.205.19
09-05-2004 10:35:34 : FILTER:icmp request detected from Wan port
09-05-2004 10:35:34 : ICMP request detected from IP:80.138.205.153
09-05-2004 10:36:27 : FILTER:icmp request detected from Wan port
09-05-2004 10:36:27 : ICMP request detected from IP:80.225.118.28
09-05-2004 10:39:34 : FILTER:icmp request detected from Wan port
09-05-2004 10:39:34 : ICMP request detected from IP:80.138.62.76
09-05-2004 10:43:40 : FILTER:icmp request detected from Wan port
09-05-2004 10:43:40 : ICMP request detected from IP:80.138.83.142
09-05-2004 10:45:51 : FILTER:icmp request detected from Wan port
09-05-2004 10:45:51 : ICMP request detected from IP:80.138.205.153
09-05-2004 10:47:07 : FILTER:icmp request detected from Wan port
09-05-2004 10:47:07 : ICMP request detected from IP:80.138.205.19
09-05-2004 10:48:44 : FILTER:icmp request detected from Wan port
09-05-2004 10:48:44 : ICMP request detected from IP:80.138.124.233
09-05-2004 10:49:09 : FILTER:icmp request detected from Wan port
09-05-2004 10:49:09 : ICMP request detected from IP:80.138.25.177
09-05-2004 10:50:31 : FILTER:icmp request detected from Wan port
09-05-2004 10:50:31 : ICMP request detected from IP:80.138.252.143
09-05-2004 10:51:56 : FILTER:icmp request detected from Wan port
09-05-2004 10:51:56 : ICMP request detected from IP:80.138.205.153
09-05-2004 10:55:53 : PPP: LCP Receive Terminate request
09-05-2004 10:55:53 : PPP: IPCP lowerdown
09-05-2004 10:55:54 : PPP: Idle time out!
09-05-2004 10:55:54 : PPP: LCP close
09-05-2004 10:55:54 : PPPoE: PPP disconnect...
09-05-2004 10:55:54 : PPPoE: Receive PADO packet
09-05-2004 10:55:54 : PPPoE: Send PADR packet
09-05-2004 10:55:55 : PPPoE:Receive PADS packet
09-05-2004 10:55:55 : Start PPP connecting
09-05-2004 10:55:55 : PPP: LCP lowerup
09-05-2004 10:55:55 : PPP: LCP open
09-05-2004 10:55:55 : PPP : lcp_reqci MRU cishort 1492
09-05-2004 10:55:55 : PPP: IPCP lowerup
09-05-2004 10:55:55 : PPP: IPCP open
09-05-2004 10:55:55 : PPP : Peer has sent NAKCIADDR
09-05-2004 10:55:55 : PPP : Peer has sent NAKCIPDNSADDR
09-05-2004 10:55:55 : PPP : Peer has sent NAKCIPDNSADDR
09-05-2004 10:55:55 : [DNS] DNS 1 : 217.237.150.33
09-05-2004 10:55:55 : [DNS] DNS 2 : 194.25.2.129
09-05-2004 10:55:55 : DNS: Got Dynamic DNS server address = 217.237.150.33
09-05-2004 10:55:55 : DNS: resolvInit New Dynamic DNS server OK
09-05-2004 10:56:44 : DDNS: Server Name [ members.dyndns.org ]
09-05-2004 10:56:44 : DDNS: Domain Name [ xxx.xxx.xx ]
09-05-2004 10:56:44 : DDNS: IP Address [ xx.xxx.xxx.xxx ]
09-05-2004 10:56:44 : DDNS: Update information!
09-05-2004 10:56:44 : DDNS: Update successful!
09-05-2004 10:58:25 : FILTER:icmp request detected from Wan port
09-05-2004 10:58:25 : ICMP request detected from IP:80.138.68.212
09-05-2004 10:59:30 : FILTER:icmp request detected from Wan port
09-05-2004 10:59:30 : ICMP request detected from IP:80.119.8.80
09-05-2004 11:00:39 : FILTER:icmp request detected from Wan port
09-05-2004 11:00:39 : ICMP request detected from IP:80.138.100.231
09-05-2004 11:00:53 : FILTER:icmp request detected from Wan port
09-05-2004 11:00:53 : ICMP request detected from IP:80.138.29.5
09-05-2004 11:01:31 : FILTER:icmp request detected from Wan port
09-05-2004 11:01:31 : ICMP request detected from IP:80.138.86.69
09-05-2004 11:02:52 : FILTER:icmp request detected from Wan port
09-05-2004 11:02:52 : ICMP request detected from IP:80.138.68.212


Ich find das halt recht seltsam

Gruß Roughneg


Geschrieben von Akeman am 09.05.2004 um 12:19:

 

ich habe auch mal probleme damit gehabt das mein router mich immer rausgeschmissen hat doch dann habe ich das dsl modem und den router vom strom getrennt und wieder angeschlossen, dann hat alles wieder funktioniert!
und soweit ich weiß gibt es keine viren für router!


Geschrieben von Sturmsaeufer am 09.05.2004 um 12:22:

 

es kann natürlich sein das irgendwer deinen Router gehackt hat, das geht aber sonst glaub ich auch net das es viren etc. für Router gibt!
MfG
Sturmsaeufer
P.S: hast du schonmal deine Einstellungen überprüft?


Geschrieben von gandalf am 09.05.2004 um 12:25:

 

Ich sehe da nichts ungewöhnliches. ICMP ist das Protokoll über das Ping läuft, also pingt jemand über WAN Deinen Router an und dieses Ping wird dann von der anscheinend aktivierten Firewall geschluckt und ins Daten-Nirvana geschickt.Die Pings erstrecken sich auch über einen langen Zeitraum, Dein Router wird also nicht "zu tode gepingt".
Einzig das hier finde ich auch interessant:
Zitat:
09-05-2004 10:55:53 : PPP: LCP Receive Terminate request

Das sieht fast danach aus, als ob jemand Deinen Router runterfahren würde. Hast Du das Passwort an dem Router mal umgestellt? Oder ist dort immer noch das werkseitig voreingestellte Passwort drin? Ich könnte mir vorstellen, dass der Neustart des Routers von jemandem gesteuert wird.
Um was für einen Router handelt es sich denn bei dem Teil hier?

Gruss

gandalf


Geschrieben von fmann am 09.05.2004 um 13:01:

 

Könnt das Sasser sein ???? Ich habe kein Log von einen Angriff von Sasser bisher gesehen, aber möglich wäre es schon.

cu fmann


Geschrieben von Sturmsaeufer am 09.05.2004 um 13:04:

 

Aber dann müsste sich Sasser ja irgendwie in den Router bzw. in den Client (also den PC) eingeklingt haben aber ich denke mal das Roughneg ein Antiviren Tool hat. aber möglich wäre es, das stimmt!
MfG
Sturmsaeufer


Geschrieben von Roughneg am 09.05.2004 um 14:58:

 

also das werkseitige passwort hab ich schon am ersten tag geändert. das neue passwort ist nicht zu hacken, da es sich um eine Buchstaben und zahlenkombination handelt die 25stellig ist. Die firewall is aktiviert im router und abgesehen von meinem laptop auch auf jedem einzelnen PC im Haushalt läuft Norton internet security

Das mich jemand anpingt bekomme ich in ner speziellen security log gezeigt. das hier ist die standart log auf der nur die inet daten immer stehen nach nem 24 stunden kick (zumindest wars immer so) aber nun seht ihr ja selbst was da noch so für nen mist drin steht.

Der Router ist von Billion. Typ: 640AE

ich werd demnächst mal die firmware aktualisieren und schauen ob es dannnach wieder alles beim alten ist.


Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH