Erhalte laufend ICMP packete aus dubioser Quelle

[Sigi]

Hallo,

was mir seit geraumer Zeit auffällt: kaum bin ich im Netz unterwegs, meldet die Firewall:

Someone on address ad-srv.net [81.30.148.1] wants to send ICMP packet to your machine
Someone on address hal9000.redintelligence.net [5.9.34.14] wants to send ICMP packet to your machine

Die beiden wechseln sich ständig ab, die Firewall meldet meist jeweils 3 Anfragen hintereinander. Meine Firewall blockiert diese Anfragen. Im Netz kann ich weder zu ad-srv.net noch zu hal9000.redintelligence.net was verwertbares finden.

Rühre ich mich nicht, dann ist Ruhe.
Weiss jemand, wer das ist und was da vor sich geht ?

Gruss Sigi

 

[Helios]

Hi Sigi,

beide Seiten scheinen auf den ersten Blick sauber zu sein. Beziehe mal eine neue IP für dein System. virustotal meldet auch keine Auffälligkeiten. Oder falls du eine Hardwarefirewall hast, blockiere die beiden IPs.

IP: 81.30.148.1
Domain Name: AD-SRV.NET
Registrar: TUCOWS DOMAINS INC.
Whois Server: whois.tucows.com
Referral URL: http://domainhelp.opensrs.net
Name Server: NS.NAMESPACE4YOU.COM
Name Server: NS2.NAMESPACE4YOU.COM
Status: clientTransferProhibited
Status: clientUpdateProhibited
Updated Date: 06-jul-2013
Creation Date: 24-jan-2009
Expiration Date: 24-jan-2014


IP: 5.9.34.14:
Domain Name: REDINTELLIGENCE.NET
Registrar: MESH DIGITAL LIMITED
Whois Server: whois.meshdigital.com
Referral URL: http://www.meshdigital.com
Name Server: NS.NAMESPACE4YOU.DE
Name Server: NS2.NAMESPACE4YOU.DE
Status: clientDeleteProhibited
Status: clientTransferProhibited
Status: clientUpdateProhibited
Updated Date: 14-may-2013
Creation Date: 24-may-2012
Expiration Date: 24-may-2014

Starting Nmap 6.40 ( http://nmap.org ) at 2013-10-17 11:08 Mitteleuropäische Sommerzeit

NSE: Loaded 110 scripts for scanning.

NSE: Script Pre-scanning.

Initiating Ping Scan at 11:08

Scanning 81.30.148.1 [4 ports]

Completed Ping Scan at 11:08, 0.59s elapsed (1 total hosts)

Initiating Parallel DNS resolution of 1 host. at 11:08

Completed Parallel DNS resolution of 1 host. at 11:08, 0.06s elapsed

Initiating SYN Stealth Scan at 11:08

Scanning ad-srv.net (81.30.148.1) [1000 ports]

Discovered open port 25/tcp on 81.30.148.1

Discovered open port 443/tcp on 81.30.148.1

Discovered open port 80/tcp on 81.30.148.1

Completed SYN Stealth Scan at 11:09, 50.02s elapsed (1000 total ports)

Initiating Service scan at 11:09

Scanning 3 services on ad-srv.net (81.30.148.1)

Completed Service scan at 11:10, 31.23s elapsed (3 services on 1 host)

Initiating OS detection (try #1) against ad-srv.net (81.30.148.1)

Retrying OS detection (try #2) against ad-srv.net (81.30.148.1)

Initiating Traceroute at 11:10

Completed Traceroute at 11:10, 6.03s elapsed

NSE: Script scanning 81.30.148.1.

Initiating NSE at 11:10

Completed NSE at 11:10, 5.50s elapsed

Nmap scan report for ad-srv.net (81.30.148.1)

Host is up (0.095s latency).

Not shown: 997 filtered ports

PORT STATE SERVICE VERSION

25/tcp open smtp

|_smtp-commands: zhbdzmsp-nwas13 says EHLO to 178.199.240.150:16276, AUTH=LOGIN, AUTH LOGIN, 8BITMIME, PIPELINING, SIZE 26214400,

80/tcp open http Apache httpd

|_http-methods: No Allow or Public header in OPTIONS response (status code 499)

|_http-title: Site doesn't have a title (image/gif).

443/tcp open ssl/http Apache httpd

|_http-methods: No Allow or Public header in OPTIONS response (status code 200)

| http-robots.txt: 1 disallowed entry

|_/

|_http-title: Site doesn't have a title (text/html).

| ssl-cert: Subject: commonName=*.ad.ad-srv.net/organizationName=*.ad.ad-srv.net

| Issuer: commonName=Go Daddy Secure Certification Authority/organizationName=GoDaddy.com, Inc./stateOrProvinceName=Arizona/countryName=US

| Public Key type: rsa

| Public Key bits: 2048

| Not valid before: 2011-04-12T09:23:58+00:00

| Not valid after: 2014-04-12T09:23:58+00:00

| MD5: ebac bfb3 6f03 0049 c0c9 ce93 b6f1 8141

|_SHA-1: 8ca6 9f37 d9f6 1484 231f 7f3c d790 e18f 103c cd36

|_ssl-date: 2013-10-17T09:10:24+00:00; -4s from local time.

1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :

SF-Port25-TCP:V=6.40%I=7%D=10/17%Time=525FA95E%P=i686-pc-windows-windows%r

SFNULL,4A,"220\x20zhbdzmsp-nwas13\.bluewin\.ch\x20ESMTP\x20Service\x20\(

SF:Swisscom\x20Schweiz\x20AG\)\x20ready\r\n")%r(Hello,6A,"220\x20zhbdzmsp-

SF:nwas13\.bluewin\.ch\x20ESMTP\x20Service\x20\(Swisscom\x20Schweiz\x20AG\

SF\x20ready\r\n500\x205\.5\.2\x20unrecognized\x20command\r\n")%r(Help,6A

SF:,"220\x20zhbdzmsp-nwas11\.bluewin\.ch\x20ESMTP\x20Service\x20\(Swisscom

SF:\x20Schweiz\x20AG\)\x20ready\r\n500\x205\.5\.2\x20unrecognized\x20comma

SF:nd\r\n");

Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port

Device type: specialized

Running (JUST GUESSING): AVtech embedded (89%)

Aggressive OS guesses: AVtech Room Alert 26W environmental monitor (89%)

No exact OS matches for host (test conditions non-ideal).

Network Distance: 16 hops

TCP Sequence Prediction: Difficulty=260 (Good luck!)

IP ID Sequence Generation: Randomized



TRACEROUTE (using port 443/tcp)

HOP RTT ADDRESS

1 ... 15

16 155.00 ms ad-srv.net (81.30.148.1)



NSE: Script Post-scanning.

Read data files from: C:\Program Files (x86)\Nmap

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 114.65 seconds

Raw packets sent: 3166 (144.416KB) | Rcvd: 200 (9.524KB)

Starting Nmap 6.40 ( http://nmap.org ) at 2013-10-17 11:13 Mitteleuropäische Sommerzeit

NSE: Loaded 110 scripts for scanning.

NSE: Script Pre-scanning.

Initiating Ping Scan at 11:13

Scanning 5.9.34.14 [4 ports]

Completed Ping Scan at 11:13, 0.59s elapsed (1 total hosts)

Initiating Parallel DNS resolution of 1 host. at 11:14

Completed Parallel DNS resolution of 1 host. at 11:14, 0.06s elapsed

Initiating SYN Stealth Scan at 11:14

Scanning hal9000.redintelligence.net (5.9.34.14) [1000 ports]

Discovered open port 25/tcp on 5.9.34.14

Discovered open port 80/tcp on 5.9.34.14

Discovered open port 443/tcp on 5.9.34.14

Discovered open port 22/tcp on 5.9.34.14

Completed SYN Stealth Scan at 11:14, 46.47s elapsed (1000 total ports)

Initiating Service scan at 11:14

Scanning 4 services on hal9000.redintelligence.net (5.9.34.14)

Completed Service scan at 11:15, 31.25s elapsed (4 services on 1 host)

Initiating OS detection (try #1) against hal9000.redintelligence.net (5.9.34.14)

Initiating Traceroute at 11:15

Completed Traceroute at 11:15, 9.06s elapsed

NSE: Script scanning 5.9.34.14.

Initiating NSE at 11:15

Completed NSE at 11:16, 28.86s elapsed

Nmap scan report for hal9000.redintelligence.net (5.9.34.14)

Host is up (0.20s latency).

Not shown: 996 filtered ports

PORT STATE SERVICE VERSION

22/tcp open ssh OpenSSH 5.8p1-hpn13v10 (protocol 2.0)

| ssh-hostkey: 1024 a5:5e:45:f0:23:46:b8:02:5a:88:e2:71:63:52:d5:a9 (DSA)

| 2048 b3:b4:87:43:d1:59:ec:28:a5:6b:13:a8:c1:09:4f:51 (RSA)

|_256 50:05:d7:4c:3e:b2:73:30:67:10:17:69:4d:81:06:08 (ECDSA)

25/tcp open smtp

|_smtp-commands: zhbdzmsp-nwas13 says EHLO to 178.199.240.150:16485, SIZE 26214400, AUTH=LOGIN, AUTH LOGIN, PIPELINING, 8BITMIME,

80/tcp open http Apache httpd

|_http-methods: No Allow or Public header in OPTIONS response (status code 200)

| http-robots.txt: 1 disallowed entry

|_/

|_http-title: Site doesn't have a title (text/html).

443/tcp open ssl/http Apache httpd

|_http-methods: No Allow or Public header in OPTIONS response (status code 200)

| http-robots.txt: 1 disallowed entry

|_/

|_http-title: Site doesn't have a title (text/html).

| ssl-cert: Subject: commonName=*.hal9000.redintelligence.net/organizationName=*.hal9000.redintelligence.net

| Issuer: commonName=Go Daddy Secure Certification Authority/organizationName=GoDaddy.com, Inc./stateOrProvinceName=Arizona/countryName=US

| Public Key type: rsa

| Public Key bits: 2048

| Not valid before: 2012-06-22T11:48:16+00:00

| Not valid after: 2014-06-22T11:48:16+00:00

| MD5: 5772 bb75 9976 bc47 4725 5fdb 8af4 8a5e

|_SHA-1: 065a 5fca 2c28 197e 86ca c0e2 dba0 c40b e9ae d975

|_ssl-date: 2013-10-17T09:15:32+00:00; -4s from local time.

1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :

SF-Port25-TCP:V=6.40%I=7%D=10/17%Time=525FAA90%P=i686-pc-windows-windows%r

SFNULL,4A,"220\x20zhbdzmsp-nwas11\.bluewin\.ch\x20ESMTP\x20Service\x20\(

SF:Swisscom\x20Schweiz\x20AG\)\x20ready\r\n")%r(Hello,6A,"220\x20zhbdzmsp-

SF:nwas11\.bluewin\.ch\x20ESMTP\x20Service\x20\(Swisscom\x20Schweiz\x20AG\

SF\x20ready\r\n500\x205\.5\.2\x20unrecognized\x20command\r\n")%r(Help,6A

SF:,"220\x20zhbdzmsp-nwas11\.bluewin\.ch\x20ESMTP\x20Service\x20\(Swisscom

SF:\x20Schweiz\x20AG\)\x20ready\r\n500\x205\.5\.2\x20unrecognized\x20comma

SF:nd\r\n");

Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port

Device type: general purpose

Running: Linux 2.6.X

OS CPE: cpe:/o:linux:linux_kernel:2.6

OS details: Linux 2.6.18 - 2.6.22

Uptime guess: 21.205 days (since Thu Sep 26 06:21:03 2013)

Network Distance: 28 hops

TCP Sequence Prediction: Difficulty=254 (Good luck!)

IP ID Sequence Generation: All zeros



TRACEROUTE (using port 443/tcp)

HOP RTT ADDRESS

1 ... 27

28 158.00 ms hal9000.redintelligence.net (5.9.34.14)



NSE: Script Post-scanning.

Initiating NSE at 11:16

Completed NSE at 11:16, 0.00s elapsed

Read data files from: C:\Program Files (x86)\Nmap

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 136.89 seconds

Raw packets sent: 3160 (141.656KB) | Rcvd: 176 (8.345KB)

LG Uwe

 

[Sigi]

Beziehe mal eine neue IP für dein System.

Hallo Uwe,

ich beziehe mehrere male pro Tag eine neue IP-Adresse, da ich den Router bei Nichtnutzung abschalte. Die IP-Adressen dieser beiden dubiosen Seiten variieren übrigens ständig, eben hatte ad.ad-srv.net [176.9.141.15]. Die Adressen zu blockieren wird also wenig bringen. Die [176.9.141.15] kam eben, als ich die Vorschau meines Beitrages hier sehen wollte. Es schaut mir offensichtlich jemand auf die Finger ...

Auch habe ich vor Tagen ein jungfräuliches Image geladen (das noch keinen Interntkontakt hatte), sobald ich im Netz unterwegs bin, meldet die Firewall wieder Anfragen aus diesen beiden Ecken. Für mich sieht das so aus, als ob jemand an einem Netzknoten sitzt und schaut, wer unterwegs ist - und dann eben Anfragen sendet. Würde mich interessieren, wieso.

Gruss Sigi

 

[schoerg]

Langeweile? Würde mir keine Sorgen machen nur weil mich jemand anpingt.

 

[mccs]

Um da genaueres rauszufinden, wäre z.B. wireshark eine Empfehlung. Filter setzen und dann im Log schauen, was da passierte. Erste Info per Wikipedia. Wenn ich mich richtig errinnere, wäre der Aufruf: "not icmp.resp_in and icmp.type==8" die Wahl. - Ohne Gewähr!
LG mccs

 

[moronoxyd]

Rühre ich mich nicht, dann ist Ruhe.
Weiss jemand, wer das ist und was da vor sich geht ?

Ignorieren.
Wenn die Firewall das meldet, hat sie es ja offensichtlich blockiert.
Gedanken sollte man sich eher um die Dinge machen, die unerkannt durchkommen...

Um da genaueres rauszufinden, wäre z.B. wireshark eine Empfehlung. Filter setzen und dann im Log schauen, was da passierte. Erste Info per Wikipedia. Wenn ich mich richtig errinnere, wäre der Aufruf: "not icmp.resp_in and icmp.type==8" die Wahl. - Ohne Gewähr!

Und wie soll ein Rechner im lokalen Netz diese Pakete auswerten, wenn der Router (ich gehe mal davon aus, daß der TE die Routerfirewall meint) die Pakete bereits ausfiltert?

 

[yatpu]

ich vermute, dass die nicht gezielt dir auf die finger schauen, sondern einfach immer wieder bestimmte ip-ranges durchpingen.

 

[Helios]

Scheint mir eher, dass sich eine dubiose Software, insbesondere eine Adware, auf deinem Rechner eingenistet hat. Wireshark ist übrigens, falls du keinen anderen Netzwerkmonitor installiert hast oder ein solcher in deiner Sicherheitslösung bereits integriert ist, einen Versuch wert, um den, falls vorhanden, entsprechenden Prozess aufzuspüren.

Durch die stetigen ICMP-Anfragen wird natürlich auch deine Internetverbindung belastet. Würde der Sache ebenfalls auf den Grund gehen wollen.

LG Uwe

 

[Gummiente]

ich vermute, dass die nicht gezielt dir auf die finger schauen, sondern einfach immer wieder bestimmte ip-ranges durchpingen.

Wie kommen die Pakete am Router vorbei zu einem spezifischen Rechner? Typischerweise versteckt sich das eigene Netzwerk hinter der IP Adresse des Routers?

 

[schoerg]

Wie kommen die Pakete am Router vorbei zu einem spezifischen Rechner? Typischerweise versteckt sich das eigene Netzwerk hinter der IP Adresse des Routers?

Auch hinter einem Router kann man eine öffentliche IP haben.

 

[mccs]

Suchen und finden

Wenn man rausfinden möchte, wer da ungewollt auf seinem PC was will, muss man schon mal den Firewall ausschalten, damit man es sieht. Die Kenntnis der fragenden IP's und Ports ist zur Analyse notwendig. Mit diesen Infos kann man dann gezielt nachforschen, welcher Prozess (oder DLL oder Schädling) ursächlich ist.
Den gefundenen Prozess usw. kann man dann per I-Net bei einschlägigen Virenscannern untersuchen lassen.
Interessant wäre auch mal ein Versuch mit der Sysinternals-Suite, z.B. das Programm autoruns.exe. Das zeigt, was beim Starten von Windows alles geladen wird. In Zeilen, wo der Hersteller fehlt oder nicht microsoft ist, mal genauer untersuchen.
Weiter geeignet sind: LoadOrd.exe, RootkitRevealer.exe, procexp.exe, Tcpview.exe...
LG mccs

 

[schoerg]

Es will ja keiner auf seinen PC. Jedenfalls sieht es nicht so aus.

 

[Helios]

Hast du keine solchen oder ähnliche Einstellungen in der Hardwarefirewall respektive Router?

 

[yatpu]

@ gummiente und schoerg:
manche router werden praktisch wie modems betrieben und leiten alle pakete durch. vielleicht hat sigi ja aber auch gar keinen router sondern ein klassisches dsl-modem oder ist einer der gekniffenen mit isdn...

 

[Sigi]

Würde mir keine Sorgen machen nur weil mich jemand anpingt.

Also unter ICMP listet meine Firewall 27 Typen, Ping wären nur einer davon ...

@moronoxyd:
> ... ich gehe mal davon aus, daß der TE die Routerfirewall meint
Der Router hier hat keine Firewall. Ich nutze eine externe Software-Firewall (nicht von winzigweich). Die Firewall muss man komplett selber einrichten, d.h. nach der Installation derselben geht erst mal gar nichts mehr. Ich muss jeder *.exe die Rechte, Adressen und Ports zuweisen. Zusätzlich wird die Checksum der *.exe ermittelt und hinterlegt. Es sind hier keine 10 Programme, die auf das Internet zugreifen dürfen. Damit geht sehr viel nicht, das ist aber so gewollt. Soviel zu meiner Firewall hier.

@Yatpu:
> ich vermute, dass die nicht gezielt dir auf die finger schauen,
> sondern einfach immer wieder bestimmte ip-ranges durchpingen.
Das war früher mal so, dass alle Tage mal eine Meldung von irgendjemand erschien. Mittlerweile erscheinen die Meldungen aber schon, wenn ich hier die 2. Seite aufrufe, oder mir die Vorschau meines Beitrages anzeigen lasse. Und es sind immer dieses beiden: ad-srv.net und hal9000.redintelligence.net.
Was mich besonders irritiert: Solange ich nichts abschicke, passiert auch nichts. Wobei die Meldungen nicht immer erscheinen: Seit ca. 1 Stunde ist Ruhe, offensichtlich wohl schon zu spät. Ein Grund mehr, der Sache auf den Grund gehen zu wollen.

@Helios:
> Scheint mir eher, dass sich eine dubiose Software, insbesondere eine Adware
> auf deinem Rechner eingenistet hat.
Deshalb hatte ich ja auch schon ein jungfräuliches Image aufgespielt, umgehend erscheinen die beiden Meldungen wieder.

Gruss Sigi

 

[schoerg]

Also unter ICMP listet meine Firewall 27 Typen, Ping wären nur einer davon ...

Und warum zeigt dir deine Firewall dann nur "ICMP" an?

Am besten wäre tatsächlich Wireshark um zu sehen was genau da kommt.