Linux Merkwürdige Server Verbindung Datacamp & extra Routersicherheit

[___JKing___]

Guten Morgen User ComputerBase ,

ich nutze Ubuntu 22.04.04 LTS für das Internet immer von USB mit der Funktion "Ausprobieren" .

(Sollte bedeuten nach jeden STart ist das System auf Werkseinstellungen, es sei denn man könnte auch einen LIVE USB in der EFI oder Systemdatei angreifen und den Boot ändern)

Ich bin im Computerbereich schon über die Jahre ziemlich vertraut , mit Linux allerdings noch eher Neuling. Aktuell ist das ganz große Thema Netzwerk und Computersicherheit.

Dazu wird es noch einge Themen geben . (Bin beruflich auf Windows angewiesen gewesen , denke aber mitlerweile mit Linux fährt man eine bessre Strecke)

Ich würde mich freuen über einen netten kompetenten Austausch mit Allen interessierten fachkundigen Usern ☺

ALSO ZUM EIGENTLICHEN PROBLEM WAS ICH FESTGESTELLT HABE :

Nachdem ich heute morgen "NUR DIE INTERNETNETVERBINDUNG AUFGEBAUT HABE" ohne irgendeine Anwendung gestartet zu haben (Auch keinen Browser) , ist mit unter Netstat aufgefallen ,

das es Verbindungen zu Canoncial Server gibt (Was normal ist) & Verbindungen zu irgendwelchen DATACAMP Servern ! Die IPs kann man ja bekanntlich über diverse Services nachverfolgen.

Hmm soweit erstmal die 1ste Feststellung . Eine recherche über Google usw. hat ergeben, dass solche Verbindungen vom eigenen Rechner aus als potenziel Gefährlich eingestuft sind.

Es sollte sich um eine Remoteverbindung zu irgendeinen Service handeln . Es wäre mir neu das Ubuntu/Canoncial solche verbindungen in seinen System integriert hat .

Fällt dazu jemanden was ein ? (Was auch nicht ganz auszuschließen wäre das die Fritzbox angegriffen wurde und nun den Internetverkehr ebenfalls zu einen Server aufbaut)

Ich habe den Fritzbox-Router auch mal mit NMAP gescannt intern und einige offene Ports entdeckt die eigentlich garnicht von der Fritzbox im normalen Betrieb , ohne Fernverbindung , Telefonie usw. offen sein sollten . "Siehe ebenfalls Screen" .

Dabei ist mir ganz besonder der PORT 59255 aufgefallen. Steht für eine SSL Verbindung offen ?

Mein vorheriger Router war ein ASUS , dieser hatte den Port 18017 geöffnet ☺ Diesen nutzen Hacker oft um in den Router rein zu kommen .

Deswegen hatte ich zur Fritzbox gewechselt. Und wie gesagt es sind keine Dineste auf der Fritzbox aktiv , kein Fernzugriff nichts .

Über die Routersicherheit würde ich mich auch noch gerne austauschen , wenn es geht noch hier in diesen Thema oder es wird dann nach Lösung hier nochmal ein Thema eröffnet.

Ich bedanke mich für die Aufmerksamkeit .

(Würde es hier einen USER geben der mit meiner Zustimmung mal meine IP mit NMAP Scant und den Bericht zur Verfügung stellt ) ?

Vielen Dank

 

[Donnidonis]

Zum Thema FRITZ!Box:
In der UI auf Diagnose -> Sicherheit gehen. Dort sind alle Ports aufgelistet.

 

[___JKing___]

Es sind über den Zugriff auf das FritzBox Portal keine manuellen Portfreigaben oder sonstiges aktiviert !

Auch kein Fernzugriff. Nach meinen aktuellen Recherchen sind Routerhacks mittlerweile ziemlich verbreitet .

( Siehe mal Google "ASUS PORT 18017" )

 

[Donnidonis]

Was hat das mit dem zu tun, was ich gesagt habe? In der von mir genannten Übersicht sind ALLE offenen Ports der FRITZ!box beschrieben. Jedenfalls bei meiner Box.

 

[esb315]

schau mal mit sudo ss -tulpn welche Dienste die Adressen aufrufen. Da lässt sich meist schon was eingrenzen. Ubuntu telefoniert natürlich auch nachhause. Und das nicht nur wegen Updates.

 

[Alexander2]

Da es nur ein System vom USB Stick ist, nimm auch mal was, das nicht von Canonical ist. Also ggf. Suse, Manjaro, Fedora.

Vergleiche. Bei Ubuntu könnte ich mir gut vorstellen, das diese Verbindung die du da gesehen hast mit der Firma zusammenhängt. Ich habe da erstmal nichts recherchiert.

Ubuntu hat auch mal so sachen eingebaut wie automatische weiterleitung aller suchen im Startmenü an Händler zu Werbezwecken/Internetsuchen
Das kam natürlich so garnicht gut an, das das auch standardmäßig an war. Also vergleiche mal wie schon geschrieben.

 

[___JKing___]

In moment siehter der Befehl sudo ss -tulpn so aus :

 

[cbtaste420]

Ubuntu hat Telemetrie eingebaut, kann man deaktivieren.

 

[0x8100]

sudo ss -tulpn

ohne "-l" sonst siehst du nur "listen" ports.

 

[foofoobar]

Fällt dazu jemanden was ein ? (Was auch nicht ganz auszuschließen wäre das die Fritzbox angegriffen wurde und nun den Internetverkehr ebenfalls zu einen Server aufbaut)

Die folgende funktion von netstat: (root/sudo notwendig)

-p, --program
Show the PID and name of the program to which each socket belongs.

BTW: Was stört dich an der von dir markierten Verbindung zu 91.189.91.42?

$ whois 91.189.91.42
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See https://apps.db.ripe.net/docs/HTML-Terms-And-Conditions

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '91.189.88.0 - 91.189.95.255'

% Abuse contact for '91.189.88.0 - 91.189.95.255' is 'abuse@canonical.com'

inetnum: 91.189.88.0 - 91.189.95.255
netname: CANONICAL-CORE
country: GB
org: ORG-CGL14-RIPE
admin-c: CAN-RIPE
tech-c: CAN-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-END-MNT
mnt-by: uk-canonical-1-mnt
mnt-by: CANONICAL-MNT
mnt-routes: CANONICAL-MNT
mnt-domains: CANONICAL-MNT
created: 2007-01-25T15:15:07Z
last-modified: 2023-07-27T09:57:02Z
source: RIPE

$ openssl s_client --connect 91.189.91.42:443
CONNECTED(00000003)
Can't use SSL_get_servername
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA
verify return:1
depth=1 C = US, O = DigiCert Inc, CN = DigiCert TLS RSA SHA256 2020 CA1
verify return:1
depth=0 C = GB, L = London, O = CANONICAL GROUP LIMITED, CN = cdn.snapcraftcontent.com
verify return:1
---
Certificate chain
0 s:C = GB, L = London, O = CANONICAL GROUP LIMITED, CN = cdn.snapcraftcontent.com
i:C = US, O = DigiCert Inc, CN = DigiCert TLS RSA SHA256 2020 CA1
aKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
v:NotBefore: Aug 22 00:00:00 2023 GMT; NotAfter: Aug 22 23:59:59 2024 GMT
1 s:C = US, O = DigiCert Inc, CN = DigiCert TLS RSA SHA256 2020 CA1
i:C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA
aKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
v:NotBefore: Apr 14 00:00:00 2021 GMT; NotAfter: Apr 13 23:59:59 2031 GMT
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIHYzCCBkugAwIBAgIQCoYx289Pq142Q4yFxEzREDANBgkqhkiG9w0BAQsFADBP
MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMSkwJwYDVQQDEyBE
aWdpQ2VydCBUTFMgUlNBIFNIQTI1NiAyMDIwIENBMTAeFw0yMzA4MjIwMDAwMDBa
Fw0yNDA4MjIyMzU5NTlaMGMxCzAJBgNVBAYTAkdCMQ8wDQYDVQQHEwZMb25kb24x
IDAeBgNVBAoTF0NBTk9OSUNBTCBHUk9VUCBMSU1JVEVEMSEwHwYDVQQDExhjZG4u
c25hcGNyYWZ0Y29udGVudC5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEK
AoIBAQC2gws8prVP74URjnOdzKvw/ssEnWXgoF6ezhHHrhxfPjuzsZ+t9i5uxsRj
fODqZ3dRzR1BVbkMQHUK8dSi8tW1c9/4ivQe5s8ll0qQXHH6Ae3QRy5njSG3pyYY
cpSGN4fUa2eH5rmmgZLI+SVYnE00G0Jt69h12BNQdl36mQPGTrDQBk7JdMw8tFmp
pOw/wHOfYn6+iH7pq2bzL+k2BjXfatpx0+XAK/amt4NVeQgKPlW5JpcJ+lbTqYug
IJ5bUmpiXbsraH2v0T6/Gk+rBlT1dIegNq/Rml6GQV++lHyghVem9J8D4n0JJI95
k/TwO4DqmmzN97plB353DDxtu7/7AgMBAAGjggQlMIIEITAfBgNVHSMEGDAWgBS3
a6LqqKqEjHnqtNoPmLLFlXa59DAdBgNVHQ4EFgQUbHKlzd+0+7MJVcOhtxElELux
QOUwgc0GA1UdEQSBxTCBwoIYY2RuLnNuYXBjcmFmdGNvbnRlbnQuY29tgihjYW5v
bmljYWwtYm9zMDEuY2RuLnNuYXBjcmFmdGNvbnRlbnQuY29tgihjYW5vbmljYWwt
bGN5MDEuY2RuLnNuYXBjcmFmdGNvbnRlbnQuY29tgihjYW5vbmljYWwtbGN5MDIu
Y2RuLnNuYXBjcmFmdGNvbnRlbnQuY29tgihjYW5vbmljYWwtbGd3MDEuY2RuLnNu
YXBjcmFmdGNvbnRlbnQuY29tMA4GA1UdDwEB/wQEAwIFoDAdBgNVHSUEFjAUBggr
BgEFBQcDAQYIKwYBBQUHAwIwgY8GA1UdHwSBhzCBhDBAoD6gPIY6aHR0cDovL2Ny
bDMuZGlnaWNlcnQuY29tL0RpZ2lDZXJ0VExTUlNBU0hBMjU2MjAyMENBMS00LmNy
bDBAoD6gPIY6aHR0cDovL2NybDQuZGlnaWNlcnQuY29tL0RpZ2lDZXJ0VExTUlNB
U0hBMjU2MjAyMENBMS00LmNybDA+BgNVHSAENzA1MDMGBmeBDAECAjApMCcGCCsG
AQUFBwIBFhtodHRwOi8vd3d3LmRpZ2ljZXJ0LmNvbS9DUFMwfwYIKwYBBQUHAQEE
czBxMCQGCCsGAQUFBzABhhhodHRwOi8vb2NzcC5kaWdpY2VydC5jb20wSQYIKwYB
BQUHMAKGPWh0dHA6Ly9jYWNlcnRzLmRpZ2ljZXJ0LmNvbS9EaWdpQ2VydFRMU1JT
QVNIQTI1NjIwMjBDQTEtMS5jcnQwCQYDVR0TBAIwADCCAYAGCisGAQQB1nkCBAIE
ggFwBIIBbAFqAHcA7s3QZNXbGs7FXLedtM0TojKHRny87N7DUUhZRnEftZsAAAGK
G4YEjQAABAMASDBGAiEAxQktA6UJkBklSqwjWw9atMjQrdSiKxbjZwz+RMIT3QkC
IQC0tiAd/cieNJWaM+1hwOZLOb/Nm68kivLlkPGMRYDU0AB2AEiw42vapkc0D+Vq
AvqdMOscUgHLVt0sgdm7v6s52IRzAAABihuGBIQAAAQDAEcwRQIgQlsYtVTE4TTs
MlX0ouY9prjlMzmnD4hGQh4C+1mXyt8CIQDfyzXnqc5B3nXF3T9F/p5iXoPICBDZ
wB00B8JkB8noYQB3ANq2v2s/tbYin5vCu1xr6HCRcWy7UYSFNL2kPTBI1/urAAAB
ihuGBFkAAAQDAEgwRgIhANZscMY0fsiZspPV304bMIKOQFALBqan/KkPR4oCoTQY
AiEAynFAG0g0qRiL9fOI2ZWia70f+Nrt2m615CdC831nwikwDQYJKoZIhvcNAQEL
BQADggEBAD7IGA7ZFRdQc74Ak1RLnfazYdCokUyFebFiIozFD6eI5ae75iws1jfF
vjJpTRLzn07Tf2nsxMhHEiOfu+7dv6QMzmNE0obNYo9/HFVEBU3B5eUo8hlnzcTW
EiMBEvStI5vAtJwiYTktIhKalllhu0LPmlHgznsvxKqlh6ZEvndWcmwJbzi0wteL
3qCUjV2SSf66R0YIL/4wX69+l1A9zDnPHGhomVhphWk+BHFQhqcUAuzkVKN4PKnq
7717heyA19qAyTLPEm6ZteOwhizbfa41Vi4zT7wWr0tlzlJh8jb4JZGbBvPFhcFc
A3yQkdUE0SR4jDQtCRM0w0y16VvXKns=
-----END CERTIFICATE-----
subject=C = GB, L = London, O = CANONICAL GROUP LIMITED, CN = cdn.snapcraftcontent.com
issuer=C = US, O = DigiCert Inc, CN = DigiCert TLS RSA SHA256 2020 CA1
---

----- schnipp schnapp -------

 

[Don_2020]

Nimm besser Debian oder MX Linux.

Ubuntu macht halt viele Dinge die mir nicht gefallen (z.B. Telemetrie, Snap-Paketverwaltung).

 

[___JKing___]

Zeigt mir nur die Verbindung zu meinen Router IP und eine Internetseite !

Es wäre sehr interessant mal zu erfahren , weshalb bei der momentan genutzten Fritzbox

Ports geöffnet sind , die für einen normalen Betrieb garnicht nötig sind.

Insbesondere der Port 59255 ist für eine SSL Verbindung geöffnet .

NMAP Scan von Innen .

Würde es einen MITUSER hier geben der mein Netzwerk mal von Außen scant mit NMAP ?

Natürlich mit meiner ausdrücklichen Zustimmung .

Es ist ein Live System was ich gerade gestartet habe . Es gibt hier auf den Rechner sowieso NICHTS AN PRIVATEN DATEN oder sonstiges von daher ist das kein Problem für mich .

@cbtaste420

Alle Datenschutzeinstellungen sowie die automatische Zeitsynchronisation sind auf meinen Ubuntu Live immer vor Netzbertieb deaktiviert .

Die einzige Verbindung die Ubuntu selbstständig aufbaut ist die zu Canoncial und den Paketservern.

Sollte zumindest so sein . Wenn man mal nach Datacamp recherchiert über Google oder sonstiges findet man einige Wahrnungen zu solchen Servernamen .

Mein Asus router hatte mal den Port 18017 geöffnet . Wenn man das bei Google eingibt weiss jeder was gemeint ist.

Heutzutage ist es anscheinend kein Problem mehr über die Routerfirewall hinweg auf ein System zu kommen .

Da scheint es genug Schwachstellen zu geben .

Was auch interessant wäre, gibt es die Möglichkeit einen LIVE USB UBUNTU STick so zu manipulieren , das dieser bei jeden Neustart nicht auf Werkeinstellung Bootet sondern mit einer Manipulierten Datei ?

Und das ohne das der Benutzer etwas davon merkt ?

Beim Livesystem sollte eigentlich nach jeden Neustart alles auf Werkseinstellunegn zurück sein ,


EIGENTLICH .

@Don_2020


An MX Linux hatte ich auch schon gedacht , muss man mal sehen wie sich das ganze beim Verbindungsaufbau zu Servern verhält . Schon erfahrung damit ?

Der Firefox Browser baut zum beispiel IMMER eine Verbindung zu : firefox bc.googleusercontent.com ,

auf ohne das man es abstellen könnte . Ebenfalls viele Informationen über Google Verfügbar.

Gibts eigentlich überhaupt noch etwas , wo man seine Verbindungen selber Wählen und gestatten kann heutzutage !

Es muss allerdings nicht zwingend an Ubuntu liegen , es kann auch schon wie bereits erwähnt vom Router aus selbst kommen ohne das man es so an der Oberfläche der Fritzbox sieht.

Ubuntu war heute frisch gestartet als USB Live . Merkwürdig das ganze.

Ein NMAP Scan von einen USER aus einen anderen Forum z.b hat ergeben , das seine Fritzbox nicht für den Port 59255 freigegeben ist !

 

[cbtaste420]

Verstehe das Problem nicht, natürlich hat die Box nach innen etliche Ports offen. Zeig doch endlich mal welche Ports keine FB zum Internet freigibt, wie von @Donnidonis bereits geschrieben.

 

[___JKing___]

@foofoobar

Meine recherche nach dieser IP spuckt etwas ganz anderes aus !

Datacamp Server . Es könnte eine DNS Umleitung im Router sein ?!

Ubuntu kann man wechseln zu einer anderen Live Linux . Das ist an sich kein Problem.

Nutze das auch nur für das Internet und habe nichts an privaten Daten auf der Live .

Inzwischen interessieren mich eher noch die offenen Ports an meiner Fritzbox , die von Fritzbox so garnicht vorgesehen sind .

@cbtaste420

Wer würde meine IP mal mit NMAP von außen scannen ?

Mit meiner ausdrücklichen Zustimmung !

Denke da lernen wir alle noch was dazu , je nachdem welches Ergebnis kommt.

 

[cbtaste420]

Inzwischen interessieren mich eher noch die offenen Ports an meiner Fritzbox , die von Fritzbox so garnicht vorgesehen sind .

Die Box zeigt alle offenen Ports unter Diagnose/Sicherheit an.

Wer würde meine IP mal mit NMAP von außen scannen ?

Mit meiner ausdrücklichen Zustimmung !

Denke da lernen wir alle noch was dazu , je nachdem welches Ergebnis kommt.

Nein, keine Chance. Es gibt kostenlose Dienste für Dich im Internet, die Deine IP scannen.

 

[___JKing___]

@cbtaste420

In meinen Menü wird da leider nichts angezeigt !

Es ist ALLES auf aus und keine Dienste aktiv.

Kein Portforwardimg oder sonstiges .

Mein Asus Router hatte gescant von innen den Port 18017 geöffnet.

Konnte man von außerhalb ganricht erkennen , weil ich keinen Online Scandienst gefunden habe der alle Ports zuverlässig gescannt hat !

Google gerne mal selbst Asus router Port 18017.

Die Online Tools zum Portscannen sind nicht die richtige alternative denke ich.

(Zumal man nicht ausschließen kann , das Betreiber solcher Seiten wer was was anstellen könnten)

 

[Alexander2]

Hast du nen Problem mit deiner Enter Taste? Lößt die Random automatisch aus? Deine Schreibweise ist schrecklich, ich habe aufgehört zu lesen. Sinnvolle Absätze sind das nicht was du hast.

 

[foofoobar]

Meine recherche nach dieser IP spuckt etwas ganz anderes aus !

Datacamp Server .

Dann musst du dich wohl für irgendwas entscheiden.
Diese Entscheidung kann und werde ich dir nicht abnehmen.

 

[cbtaste420]

😁 schönen Feiertag noch, ich bin raus.

 

[___JKing___]

Hat schon jemadn Erfahrung mit der Customfirmware für Router gemacht ?

https://openwrt.org/

Wie geschriben wird kann man seinen Router damit ausstatten und um einges mehr kontrollieren , sperren und freigeben.

Gibt es Nutzer hier von der Firmware OpenWRT ?

(Doch die IP ging zu Datacamp als ich Ubunttu gestartet habe ! Sonst würde ich es nicht erwähnen)

Möglichkeit einer Umleitung vom Router aus !

Siehe mal den Screen von einer Diskussion von anderen Menschen mit ähnlichen Phänomen .