Trojaner? - PC sendet mit voller Bandbreite zu kundenserver.de

[flopower1996]

Hey an alle,

mir ist gerade etwas sehr komisches passiert. Ich wollte gerade etwas auf YouTube schauen und da ist mir aufgefallen, wie das Video anfängt zu ruckeln. Also habe ich auf meinen Netzwerk Traffic geschaut (vorher alle Browser geschlossen) und festgestellt, dass er bei Up- sowie Download bei voller Auslastung ist. Darauf hin habe ich Wireshark mitschneiden lassen. Es wurden dauerhaft TCP Pakete an die IP-Adresse 217.160.210.219 gesendet. Erst nach zweimaligem Reboot beruhigte sich die Leitung wieder.

Ein schneller nslookup spuckt die Domain kundenserver.de aus.

Daraufhin habe ich eine WHOIS Abfrage gemacht und da kam ich hinter 1&1.

Spoiler

Daraufhin habe ich noch den denic abgefragt und da kam 1&1 als Eigentümer heraus.

Spoiler

Vllt. seht ihr ja etwas, was mir entgangen ist bzw. kennt euch besser damit aus. Ich habe nichts brauchbares im Internet finden können, zu welchem Dienst diese IP gehören könnte...

LG Flo

 

[miac]

Kundenserver hört sich an, wie ein Cloud Dienst.

 

[Lawnmower]

Wird irgendein Programm sein dass mit dem Server kommuniziert.
Vielleicht kannst Du mit Hilfe des Windows Ressourcen Monitors ermitteln welches Programm mit dieser IP redet.

 

[flopower1996]

Hmm, ich betreibe eine Owncloud, die sollte aber eher zu meinem Server funkten. Sonst benutze ich noch Bitdefender und Chrome. Hab auch mal alle Programme durchgeschaut, die sich Updates automatisch ziehen dürfen, alle sind noch auf dem Stand vor dem Traffic...
Ich finde es auch komisch, dass er Upload auch auf voller Bandbreite sendet, wenn nur ein Update etc. passiert, sollte da nicht eher der Download ausgelastet sein?

 

[miac]

Wenn der Download hoch ist, kommt auch eine Menge Upload zustande.

 

[flopower1996]

Wenn der Download hoch ist, kommt auch eine Menge Upload zustande.

Ahh ok, gut zu wissen. Hab' jetzt auch mal den Ressourcenmonitor geöffnet. Wenn es nochmal passiert, finde ich hoffentlich mehr heraus.

 

[Lawnmower]

Vielleicht der Antivirus - das ist ja ein deutsches Produkt und dann könnte ein Server bei 1und1 passen - der sendet dann natürlich auch Daten raus da bei aktuellen AV Scannern ein Teil der Arbeit in der Cloud stattfindet.

 

[flopower1996]

Freunde, ich habe es aufgeklärt, naja so halb.

Ich habe einen kompletten Reverse IP Lookup gemacht und festgestellt, dass die Seite elements-festival.de auch auf die IP zutrifft. Diese Seite habe ich zuvor besucht. Das würden die Zugriffe erklären, was mir jetzt noch schleierhaft ist, wie nach einem Reboot immer noch Daten an den Server rausgehen.

Scheint sich um einen Server mit mehreren Websites zu handeln.

Naja, hoffe mal, das es das war...

 

[DPXone]

Hier mal zu deiner Info, damit das dir das Ganze ein bisschen klarer wird.

​Dass bei deinem Reverse-Lookup mit der IP 217.160.210.219 die Domain kundenserver.de zurückgegeben wird liegt am PTR-Eintrag oder anders gesagt am Pointer bzw. Zeiger
(https://www.siteground.com/kb/what_is_a_ptr_record_and_how_to_add_one/)

• Der A-Record wird bei der Auflösung des Domain-Names genutzt und gibt die IP-Adresse des A-Records zurück.
• Der PTR-Record wird beim Reverse-Lookup von der IP-Adresse des A-Records genutzt und gibt den PTR-Hostname zurück.

Es können natürlich viele A-Records (also verschiedene Domains) den gleichen PTR-Record haben.

Wenn du kundenserver.de anpingst wirst du feststellen, dass eine andere IP-Adresse zurückgegeben wird. Nämlich die, die unter anderem auch hier im Auszug beim PTR hinterlegt ist.
​

NS	ns-de.1and1-dns.org	217.160.83.1		Antwort
NS	ns-de.1and1-dns.com	217.160.82.1		Antwort
NS	ns-de.1and1-dns.biz	217.160.81.1		Antwort
NS	ns-de.1and1-dns.de	217.160.80.1		Antwort
MX	mx00.kundenserver.de	212.227.15.41	Präferenz: 10	Antwort
MX	mx01.kundenserver.de	217.72.192.67	Präferenz: 11	Antwort
A	elements-festival.de	217.160.210.219		Antwort
AAAA	elements-festival.de	2001:8d8:1001:40b3:2f88:7d8b:2916:d002		Antwort
SOA	ns-de.1and1-dns.de	217.160.80.1	Admin: hostmaster.kundenserver.de, Standard-TTL: 600, Verfall: 604800, Aktualisierung: 28800, Wiederholung: 7200, Serien-Nr.: 2014120104	Antwort
PTR	ns-de.1and1-dns.org	217.160.83.1		Antwort
PTR	ns-de.1and1-dns.com	217.160.82.1		Antwort
PTR	ns-de.1and1-dns.biz	217.160.81.1		Antwort
PTR	ns-de.1and1-dns.de	217.160.80.1		Antwort
PTR	mx00.kundenserver.de	212.227.15.41		Antwort
PTR	mx01.kundenserver.de	217.72.192.67		Antwort
PTR	kundenserver.de	213.165.67.109		Antwort

[TH="bgcolor: #E0E0F8"]Datensatzart[/TH]
[TH="bgcolor: #E0E0F8"]Hostname[/TH]
[TH="bgcolor: #E0E0F8"]IP-Adresse[/TH]
[TH="bgcolor: #E0E0F8"]Zusatzinfos[/TH]
[TH="bgcolor: #E0E0F8"]Sektion[/TH]

IP-Adressen

Webserver

217.160.210.219

Germany

SCHLUND-SHARED

1&1 Internet AG

217.160.209.0

217.160.214.255

IP Administration

1&1 Internet SE

ripe-role@oneandone.net

abuse@oneandone.net

RIPE NCC

Mailserver

212.227.15.41

Germany

SCHLUND-NET

1&1 Internet AG

212.227.15.0

212.227.15.127

212.227.15.0/25

IP Administration

1&1 Internet SE

ripe-role@oneandone.net

abuse@oneandone.net

RIPE NCC

Domainnamenserver

217.160.83.1

Germany

SCHLUND-NET

1&1 Internet AG

217.160.80.0

217.160.87.255

217.160.80.0/21

IP Administration

1&1 Internet SE

ripe-role@oneandone.net

abuse@oneandone.net

RIPE NCC

[TH="bgcolor: #E0E0F8"]Adressart[/TH]
[TH="bgcolor: #E0E0F8"]IP-Adresse[/TH]
[TH="bgcolor: #E0E0F8"]Land[/TH]
[TH="bgcolor: #E0E0F8"]Netzwerkname[/TH]
[TH="bgcolor: #E0E0F8"]Inhabername[/TH]
[TH="bgcolor: #E0E0F8"]Von IP[/TH]
[TH="bgcolor: #E0E0F8"]Bis IP[/TH]
[TH="bgcolor: #E0E0F8"]CIDR[/TH]
[TH="bgcolor: #E0E0F8"]Kontaktname[/TH]
[TH="bgcolor: #E0E0F8"]Adresse[/TH]
[TH="bgcolor: #E0E0F8"]eMail[/TH]
[TH="bgcolor: #E0E0F8"]Missbrauchsmeldungs-eMail[/TH]
[TH="bgcolor: #E0E0F8"]Telefon[/TH]
[TH="bgcolor: #E0E0F8"]Fax[/TH]
[TH="bgcolor: #E0E0F8"]WHOIS-Quelle[/TH]