ComputerBase Menü
Aktuelles

Easybox 803A: Abbrüche und US IP-Adressen im Router-Log

Bilgeco DE

Bilgeco DE

Ensign
Registriert
Apr. 2015
Beiträge
152
Hallo zusammen,

habe seit nun zwei Tagen ständige Neueinwahlen des Routers verbunden mit Verbindungsabbrüchen, die verschieden oft auftreten. Habe mal im Ereignislog des Routers nachgesehen und einige mir seltsam erscheinende Dinge festgestellt, aber seht selbst im Spoiler. Der Log ist gekürzt und auffällige Stellen habe ich mal rot markiert.

07/31/2019 15:10:56 Vecna Scan 192.48.236.11, 443->> 192.168.2.105, 48188 (from PPPoE1 Inbound)
07/31/2019 10:55:39 If(PPPoE1) PPP connection ok !
07/31/2019 10:55:37 If(PPPoE1) get secondary DNS IP:176.95.16.251
07/31/2019 10:55:37 If(PPPoE1) get primary DNS IP:195.50.140.246
07/31/2019 10:55:37 If(PPPoE1) get IP:178.0.194.52
07/31/2019 10:55:37 If(PPPoE1) start PPP
07/31/2019 10:55:37 If(PPPoE1) receive PADS
07/31/2019 10:55:37 If(PPPoE1) send PADR
07/31/2019 10:55:37 If(PPPoE1) receive PADO
07/31/2019 10:55:37 If(PPPoE1) send PADI
07/31/2019 10:55:36 If(PPPoE2) PPP connection ok !
07/31/2019 10:55:35 If(PPPoE2) get secondary DNS IP:10.64.33.6
07/31/2019 10:55:35 If(PPPoE2) get primary DNS IP:10.64.17.6
07/31/2019 10:55:35 If(PPPoE2) get IP:10.234.115.52
07/31/2019 10:55:34 If(PPPoE2) start PPP
07/31/2019 10:55:34 If(PPPoE2) receive PADS
07/31/2019 10:55:34 If(PPPoE2) send PADR
07/31/2019 10:55:34 If(PPPoE2) receive PADO
07/31/2019 10:55:34 If(PPPoE2) send PADI
07/31/2019 10:55:34 If(PPPoE1) send PADI
07/31/2019 10:55:31 If(PPPoE2) send PADI
07/31/2019 10:55:31 If(PPPoE1) send PADI
07/31/2019 10:55:31 ADSL Media Up !
07/31/2019 10:55:26 sending ACK to 192.168.2.100
07/31/2019 10:55:25 Wireless 84:B5:41:D2:77:BA released
07/31/2019 10:54:33 If(PPPoE2) stop PPP
07/31/2019 10:54:31 ADSL Media Down !
07/31/2019 10:54:31 If(PPPoE2) stop
07/31/2019 10:54:30 [VoIP] SIP account 1 register timeout
07/31/2019 10:54:30 If(PPPoE1) stop PPP
07/31/2019 10:54:29 If(PPPoE1) stop
07/31/2019 10:43:40 If(PPPoE1) PPP connection ok !
07/31/2019 10:43:39 If(PPPoE1) get secondary DNS IP:176.95.16.251
07/31/2019 10:43:39 If(PPPoE1) get primary DNS IP:195.50.140.246
07/31/2019 10:43:39 If(PPPoE1) get IP:94.219.127.47
07/31/2019 10:43:38 If(PPPoE1) start PPP
07/31/2019 10:43:38 If(PPPoE1) receive PADS
07/31/2019 10:43:38 If(PPPoE1) send PADR
07/31/2019 10:43:38 If(PPPoE1) receive PADO
07/31/2019 10:43:38 If(PPPoE1) send PADI
07/31/2019 10:43:37 If(PPPoE2) PPP connection ok !
07/31/2019 10:43:36 If(PPPoE2) get secondary DNS IP:10.64.33.6
07/31/2019 10:43:36 If(PPPoE2) get primary DNS IP:10.64.17.6
07/31/2019 10:43:36 If(PPPoE2) get IP:10.234.60.243
07/31/2019 10:43:35 If(PPPoE2) start PPP
07/31/2019 10:43:35 If(PPPoE2) receive PADS
07/31/2019 10:43:35 If(PPPoE2) send PADR
07/31/2019 10:43:35 If(PPPoE2) receive PADO
07/31/2019 10:43:35 If(PPPoE2) send PADI
07/31/2019 10:43:35 If(PPPoE1) send PADI
07/31/2019 10:43:32 If(PPPoE2) send PADI
07/31/2019 10:43:32 If(PPPoE1) send PADI
07/31/2019 10:43:32 ADSL Media Up !
07/31/2019 10:43:10 sending ACK to 192.168.2.109
07/31/2019 10:42:35 sending ACK to 192.168.2.100
07/31/2019 10:42:22 If(PPPoE2) stop PPP
07/31/2019 10:42:21 ADSL Media Down !
07/31/2019 10:42:21 If(PPPoE2) stop
07/31/2019 10:42:19 [VoIP] SIP account 1 register timeout
07/31/2019 10:42:19 If(PPPoE1) stop PPP
07/31/2019 10:42:19 If(PPPoE1) stop
07/31/2019 10:40:29 sending ACK to 192.168.2.100
07/31/2019 10:40:25 Wireless 84:B5:41:D2:77:BA released
07/31/2019 10:39:20 If(PPPoE1) PPP connection ok !
07/31/2019 10:39:20 If(PPPoE2) PPP connection ok !
07/31/2019 10:39:19 If(PPPoE1) get secondary DNS IP:176.95.16.251
07/31/2019 10:39:19 If(PPPoE1) get primary DNS IP:195.50.140.246
07/31/2019 10:39:19 If(PPPoE1) get IP:188.107.206.147
07/31/2019 10:39:19 If(PPPoE2) get secondary DNS IP:10.64.33.6
07/31/2019 10:39:19 If(PPPoE2) get primary DNS IP:10.64.17.6
07/31/2019 10:39:19 If(PPPoE2) get IP:10.234.200.125
07/31/2019 10:39:19 If(PPPoE2) start PPP
07/31/2019 10:39:19 If(PPPoE2) receive PADS
07/31/2019 10:39:19 If(PPPoE1) start PPP
07/31/2019 10:39:19 If(PPPoE1) receive PADS
07/31/2019 10:39:19 If(PPPoE2) send PADR
07/31/2019 10:39:19 If(PPPoE2) receive PADO
07/31/2019 10:39:19 If(PPPoE1) send PADR
07/31/2019 10:39:19 If(PPPoE1) receive PADO
07/31/2019 10:39:19 If(PPPoE2) send PADI
07/31/2019 10:39:19 If(PPPoE1) send PADI
07/31/2019 10:39:16 If(PPPoE2) send PADI
07/31/2019 10:39:16 If(PPPoE1) send PADI
07/31/2019 10:39:13 If(PPPoE2) send PADI
07/31/2019 10:39:13 If(PPPoE1) send PADI
07/31/2019 10:39:13 ADSL Media Up !
07/31/2019 10:38:17 If(PPPoE2) stop PPP
07/31/2019 10:38:15 ADSL Media Down !
07/31/2019 10:38:15 If(PPPoE2) stop
07/31/2019 10:38:14 [VoIP] SIP account 1 register timeout
07/31/2019 10:38:14 If(PPPoE1) stop PPP
07/31/2019 10:38:13 If(PPPoE1) stop
07/31/2019 10:22:34 NTP Date/Time updated.
07/31/2019 10:21:35 Get system time from NTP server:129.250.35.251.
07/31/2019 09:15:22 If(PPPoE1) PPP connection ok !
07/31/2019 09:15:21 If(PPPoE1) get secondary DNS IP:176.95.16.251
07/31/2019 09:15:21 If(PPPoE1) get primary DNS IP:195.50.140.246
07/31/2019 09:15:21 If(PPPoE1) get IP:94.219.185.139
07/31/2019 09:15:21 If(PPPoE1) start PPP
07/31/2019 09:15:21 If(PPPoE1) receive PADS
07/31/2019 09:15:21 If(PPPoE1) send PADR
07/31/2019 09:15:21 If(PPPoE1) receive PADO
07/31/2019 09:15:21 If(PPPoE1) send PADI
07/31/2019 09:15:19 If(PPPoE2) PPP connection ok !
07/31/2019 09:15:18 If(PPPoE2) get secondary DNS IP:10.64.33.6
07/31/2019 09:15:18 If(PPPoE2) get primary DNS IP:10.64.17.6
07/31/2019 09:15:18 If(PPPoE2) get IP:10.234.122.198
07/31/2019 09:15:18 If(PPPoE2) start PPP
07/31/2019 09:15:18 If(PPPoE2) receive PADS
07/31/2019 09:15:18 If(PPPoE2) send PADR
07/31/2019 09:15:18 If(PPPoE2) receive PADO
07/31/2019 09:15:18 If(PPPoE2) send PADI
07/31/2019 09:15:18 If(PPPoE1) send PADI
07/31/2019 09:15:15 If(PPPoE2) send PADI
07/31/2019 09:15:15 If(PPPoE1) send PADI
07/31/2019 09:15:15 ADSL Media Up !
07/31/2019 09:14:13 If(PPPoE2) stop PPP
07/31/2019 09:14:10 ADSL Media Down !
07/31/2019 09:14:10 If(PPPoE2) stop
07/31/2019 09:14:10 [VoIP] SIP account 1 register timeout
07/31/2019 09:14:10 If(PPPoE1) stop PPP
07/31/2019 09:14:08 If(PPPoE1) stop
07/31/2019 09:08:01 If(PPPoE1) PPP connection ok !
07/31/2019 09:08:00 If(PPPoE1) get secondary DNS IP:176.95.16.251
07/31/2019 09:08:00 If(PPPoE1) get primary DNS IP:195.50.140.246
07/31/2019 09:08:00 If(PPPoE1) get IP:178.0.194.160
07/31/2019 09:08:00 If(PPPoE1) start PPP
07/31/2019 09:08:00 If(PPPoE1) receive PADS
07/31/2019 09:08:00 If(PPPoE1) send PADR
07/31/2019 09:08:00 If(PPPoE1) receive PADO
07/31/2019 09:08:00 If(PPPoE1) send PADI
07/31/2019 09:07:58 If(PPPoE2) PPP connection ok !
07/31/2019 09:07:57 If(PPPoE2) get secondary DNS IP:10.64.33.6
07/31/2019 09:07:57 If(PPPoE2) get primary DNS IP:10.64.17.6
07/31/2019 09:07:57 If(PPPoE2) get IP:10.234.192.94
07/31/2019 09:07:57 If(PPPoE2) start PPP
07/31/2019 09:07:57 If(PPPoE2) receive PADS
07/31/2019 09:07:57 If(PPPoE2) send PADR
07/31/2019 09:07:57 If(PPPoE2) receive PADO
07/31/2019 09:07:57 If(PPPoE2) send PADI
07/31/2019 09:07:57 If(PPPoE1) send PADI
07/31/2019 09:07:54 If(PPPoE2) send PADI
07/31/2019 09:07:54 If(PPPoE1) send PADI
07/31/2019 09:07:53 ADSL Media Up !
07/31/2019 09:06:54 If(PPPoE2) stop PPP
07/31/2019 09:06:52 ADSL Media Down !
07/31/2019 09:06:52 If(PPPoE2) stop
07/31/2019 09:06:51 [VoIP] SIP account 1 register timeout
07/31/2019 09:06:51 If(PPPoE1) stop PPP
07/31/2019 09:06:50 If(PPPoE1) stop
07/31/2019 08:58:18 UDP Loop 184.105.139.69, 19989->> 192.168.2.105, 19 (from PPPoE1 Inbound)
07/31/2019 06:39:08 UDP Loop 104.152.52.24, 46390->> 192.168.2.105, 19 (from PPPoE1 Inbound)
07/31/2019 06:32:35 Probable ASCEND Probe 104.152.52.24, 46390->> 192.168.2.105, 9 (from PPPoE1 Inbound)
07/31/2019 06:29:24 UDP Loop 104.152.52.24, 46390->> 192.168.2.105, 7 (from PPPoE1 Inbound)
07/31/2019 03:56:38 UDP Loop 80.82.77.19, 45176->> 192.168.2.105, 19 (from PPPoE1 Inbound)

07/31/2019 03:48:06 If(PPPoE1) PPP fail : CHAP authentication failure
07/31/2019 03:48:04 If(PPPoE1) receive PADT
07/31/2019 03:48:04 If(PPPoE1) CHAP Username and Password: failed

07/30/2019 23:44:15 UDP Loop 185.94.111.1, 60000->> 192.168.2.105, 19 (from PPPoE1 Inbound)
07/30/2019 23:34:45 Wireless D4:A1:48:CE:97:DE released
07/30/2019 23:29:23 sending ACK to 192.168.2.103
07/30/2019 22:22:46 sending ACK to 192.168.2.109
07/30/2019 22:22:05 NTP Date/Time updated.

Im weggekürzten Teil des Logs wiederholten sich die Fehler ADSL Media Up / Down und [VoIP] SIP account 1 register timeout noch häufiger.

Nun sind mir besonders die UDP Loops und der "Vecna-Scan" aufgefallen. Ich habe die bei diesen Fehlern stehenden IP-Adressen hier (https://whoer.net/de/checkwhois) geprüft und alle gehören entweder zum amerikanischen "Hurricane Electric" oder "Rethem Hosting". Habe beide recherchiert aber werde nicht so schlau drüber, was diese Firmen jetzt genau machen. Letzterer soll ein Domain Hoster sein, soweit ich las.

Seltsamerweise ist die IP 192.168.2.105 die bei den Fehlern genannt wird nicht in meinem DHCP Buch verzeichnet, gehört also keinem der Easybox bekannten Clients. Aber dass sie mal vergeben wurde an was auch immer hier könnte sein, aber warum wird diese nicht aktive IP dann bei den Fehlern genannt?

Und sollte man die Sache mit den US-IP-Adressen im Auge behalten? Auch frage ich mich, was dieser ganz am Ende vom Log auftretende "CHAP authentication failure" ist. Hat da vielleicht jemand Kenntnisse drüber?

Die Firmware jedenfalls ist aktuell, die Leitung lief die letzten fünf Jahre ohne größere Probleme, sowas wie jetzt hatte ich bisher noch nie. Naja, bei der Telekom ist ein neuer Tarif seit einer Woche bestellt, vielleicht werkeln die da jetzt rum ? :D

Danke für's Lesen!

EDIT 1: Die IP-Adresse beim "Vecna-Scan" gehört zu MoPub-Network, einem Werbeunternehmen von Twitter, das ich zwar regelmäßig nutze, aber solch eine Anzeige im Log hatte ich bisher dennoch nie.

EDIT 2: Die IP vom letzten UDP Loop stammt laut oben verlinkter Prüfseite aus Russland.

EDIT 3: Neuer Log-Eintrag:

Smurf 198.108.66.255, 54255 (from PPPoE1 Inbound)

IP-Herkunft: Merit Network, gemeinnützige Organisation die Hochleistungs-Computernetzwerke anbietet.
 
Zuletzt bearbeitet:
Hi Bilgeco,

Hast du schonmal einen Virencheck von einem bootable USB aus gemacht?
Klingt auf alle Fälle spannend.

grüsse
 
Hey,

nein habe ich noch nicht, wüsste auch gerade nicht wie man das von einem Stick aus macht.

Eine Infektion halte ich zumindest an meinem Haupt PC für unwahrscheinlich, da ich dort keine Unregelmäßigkeiten feststellen konnte und seit Monaten keine neue Software installiert habe, auch Downloads wurden kaum getätigt, höchstens Spieleupdates vom entsprechenden Client aus.

Gibt es empfehlenswerte Virenscans die man ausführen sollte? Habe aktiv nur Windows Defender am Laufen.

Werde morgen mal noch Vodafone versuchen zu kontaktieren, um eine eventuelle Störung dererseits ausschließen zu können.

Danke soweit schon mal
 
Habe den Router nun auf Werkseinstellungen zurückgesetzt, um einen Fehler am Router auszuschließen. Seitdem läuft bisher alles wieder rund, auch die Lampen blinken nicht mehr wie wild. Ich werde das mal morgen weiterhin beobachten.

Ich habe auch gemerkt, dass die IP Adresse, die auf .105 endet und die ich oben erwähnte, zu meiner PS4 gehörte. Diese IP wurde im Router in die Demilitarisierte Zone geschoben, auch zusätzliche Ports zu ihr waren geöffnet worden. Das wurde mal vor Ewigkeiten getan glaube ich, wegen Verbindungsproblemen auf der PS4 selbst. Da ihre IP bei nahezu allen Fehlern im Log auftauchte, frage ich mich, welche Rolle die PS4 bei den Dingen gespielt haben könnte, zumal die Konsole auch seit Wochen nicht mehr am Strom hängt. Habe die IP wieder aus der DMZ genommen und die Ports geschlossen.

Kaspersky lasse ich dann mal morgen drüber laufen, sicher ist sicher.

Ich werde dann ein Update geben, wie es sich entwickelt hat.

Vielen Dank @morphispiz
 
dmz würde ich vermeiden, mach lieber die entsprechenden ports der ps4 im Router auf.
Solange du die Windows Update Funktion nicht deaktivierst, brauchst du nur einen Browser-Schutz wie ublock.
Die Kaspersky Sache unbedingt ausführen, so kann eine malware die aktiv mit Windows startet und sich so versteckt, gefunden werden. Ich glaube aber das nichts gefunden wird und einzig die dmz der Grund dafür war.
 
Seit dem Reset lief die Sache schon runder, kein einziger Absturz, bis gerade vor 15 Minuten ein UDP Loop von einer russischen IP registriert wurde. Ist eine von denen, die gestern schon registriert wurden. Router brach alle Verbindungen ab, wählte sich neu ein und läuft jetzt seitdem wieder. Offenbar war die DMZ nicht das einzige Problem.

Lasse Kaspersky später noch drüberlaufen und werde Rückmeldung geben.

edit: Verschiebe das wegen Zeitmangel aufs Wochenende, Rückmeldung kommt aber noch.
 
Zuletzt bearbeitet:
Bezüglich VecnaScan, UDPLoop, AscendProbe:

Es ist für mich sehr plausibel das irgendwelche Computer in der Welt zufällige IP-Adressen ausprobieren und schauen ob sich dort jemand meldet und ein Port offen ist. Von daher immer die Empfehlung die Oberfläche zum Internet so gering wie möglich halten und wenn ein Port offen ist, dann zu wissen warum und die dahinterliegende SW aktuell halten.

Ob für neue Teilnehmer an einem Botnetz, Peer to Peer Anfragen ins Blaue oder andere Zwecke, darüber kann ich nur spekulieren. Wenn hier jemand Insider Wissen hat, würde mich genaueres mal interessieren.
 
@Matusalem Sowas hatte ich auch bereits vermutet. Wäre sehr interessant, wenn da jemand mehr wüsste.

Den Scan werde ich wohl erst demnächst probieren können, leider schaffe ich es nicht meinen USB Stick hier bootfähig zu kriegen. Die Rufus Software bietet mir nicht die korrekte Formatierung an, als ich es einfach mal so probierte und die Boot-Priorität umstellte, kam die Meldung es sei kein geeignetes Boot-Medium angeschlossen.

(edit: ist jetzt erledigt, führe den scan spätestens morgen dann aus)

Wie auch immer ... Seit dem letzten UDP Loop am Donnerstag blieb die Verbindung stabil, auch wenn im Router-Log weitere UDP Loops von der selben IP registriert wurden, führten diese nicht zu weiteren Komplettabstürzen.

@morphispiz Beim Start von Kaspersky kommt immer die Meldung, dass mein Betriebssystem im Ruhemodus ist oder der PC nicht korrekt ausgeschaltet wurde, den Scan kann ich damit leider nicht nutzen. Würde ich trotzdem fortfahren, könnte mein Dateisystem beschädigt werden. Habe es nun mehrmals versucht. Laut Supportseite soll man auch den Schnellstart unter Win deaktivieren, habe ich auch gemacht, Meldung bleibt aber.

Gibt es eventuell Alternativen?
 
Zuletzt bearbeitet:
Nun, seit heute früh häufen sich die Abstürze wieder. Ich habe versucht, Vodafone zu kontaktieren, aber offenbar spricht man dort am Wochenende nur mit einem Computer, habs dann gleich aufgegeben. Auf der Webseite dann einen Rückruf von einem "Netz-Experten" vereinbart, der dann auch angerufen hat, kaum Deutsch konnte und mir empfahl, die Easybox zu resetten und neu einzurichten, was ich schon getan habe. Im Router-Menü stand eben mindestens 10 Minuten "ADSL: Nicht verbunden", aber seine "Messung" würde keine Auffälligkeiten zeigen. Wenn es dann weiterhin nicht gehen würde, solle ich einen Techniker beauftragen, der mich irgendwas mit 150€ kosten würde. Was ein Laden. Naja, vielleicht erreiche ich morgen bei der gewöhnlichen Hotline jemanden.

Bin froh mein Sonderkündigungsrecht bis Ende August nutzen zu können, die neue 50er Leitung bei der Telekom ist schon geordert. Einen Monat muss ich den Wahnsinn höchstens noch aussitzen.

Nachdem ich nun nach Kaspersky auch den Scan von ESET nicht nutzen konnte, weil irgendein Fehler auftrat, lasse ich das erst mal sein.

Die Leitung bleib die letzte Zeit jetzt wieder stabil, auch keine ominösen Logeinträge mehr. Hoffen wir einfach mal, dass es bis zur neuen Leitung so bleibt.

Vielen Dank nochmal für alle Beiträge und Tipps @morphispiz @Matusalem @chrigu @Hayda Ministral
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

X
Komischer Eintrag im Router log der Easybox 803A
Antworten
6
Aufrufe
1.835
XeonB
X
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz