Verbindung zu (schädlicher?) IP-Adresse bei PC-Start. Normal?

[Serjo]

Hi Forum,

vor wenigen Tagen ist mir dank des Ressourcenmonitors aufgefallen, dass mein PC direkt nach dem Start bzw. der Windows-Anmeldung immer über "svchost.exe (NetworkService -p)" eine Verbindung zur IP-Adresse 93.184.220.29 aufbaut. Da das keine mir bekannte Microsoft-IP ist, wollte ich mal schauen was es denn ist.
Ich habe dann herausgefunden, dass sie zwar an sich nur zum Content Delivery Network "EdgeCast" von Verizon gehört, bin dann aber auf die Seite abuseipdb.com gestoßen, auf der es zu dieser Adresse 11 Seiten(!) User-Kommentare gibt wo durchwegs von schädlichem Kram die Rede ist (s. hier), der jüngste Kommentar ist erst von vor 2 Tagen, und wenn ich mir einige davon durchlese wird mir echt unwohl.

Auf virustotal.com wird die IP nur von 1 von 67 Scannern als schädlich erkannt, hat aber auch dort einen sehr negativen Community Score. Auf der Seite von Alienvault (Entwickler von Lösungen gegen Cyber-Angriffe) steht auch nur "Google Safe Browsing: Not identified as malicious" - allerdings steht dort auch, dass der IP-Standort in Europa wäre, während abuseipdb sagt er wäre in den USA.

Da die Einschätzungen so widersprüchlich sind, weiß ich nicht was ich jetzt glauben soll. Die erste Seite (abuseipdb) erscheint mir zwar nicht 100 prozentig verlässlich, da dort auch einige Microsoft-IPs als schädlich gemeldet werden, aber bei ganzen 11 Seiten negativer User-Kommentare denke ich mir, dass da doch was dran sein muss. Kann mir einer von euch vielleicht genaueres zu dieser IP sagen? Verbindet sich bei euch auch svchost.exe mit einer ähnlichen oder sogar derselben IP gleich nach der Windows-Anmeldung?

Ich fand das zwar sehr beunruhigend, kann mir aber irgendwie nicht so recht vorstellen dass mein PC verseucht ist. Ich verwende nur Programme die ich schon seit Ewigkeiten verwende, immer von der Hersteller-Seite geladen und vor der Installation durch virustotal gejagt, verwende keinerlei Cracks, habe nichts Auffälliges in der Liste installierter Programme, auch nicht im Autostart, und der Avast-Scan heute war sauber. Ich weiß grad echt nicht was ich davon halten soll..

 

[LasseSamenström]

Mehr Paranoia schieben geht wohl nicht mehr?

Setz doch einfach dein PC neu auf oder installier ubuntu wenn es dir zu unsicher ist

 

[BFF]

Jaja, Programme die Du schon immer verwendest. Ist da zufaellig auch der FF darunter? FF = FireFox.
Deinstalliere den und seinen UpdateService und schau nach, ob immer noch die Adresse angerufen wird.

BFF

 

[Jesterfox]

Ich würd auch drauf tippen dass das irgend ein Autoupdater ist der über dieses CDN läuft. Man müsste mal genauer nachschauen wer da am svchost dran hängt, der ist ja selber nur Vermittler.

 

[Serjo]

@nxt
Was würdest du denn denken wenn dein PC ständig mit ner IP verbindet die von 4351346 Usern als schädlich gemeldet wird und du keine weiteren Details kennst? oO

@BFF
Ja da ist zufällig auch der Firefox darunter, wobei ich den zumindest heute nicht verwendet hab, und bei Updates hab ich eingestellt dass sie mir beim Start von Firefox erstmal nur angeboten werden sollen statt direkt automatisch installiert zu werden, kann es trotzdem daher kommen? Und wenn ja, wieso dann all diese endlosen Negativ-Meldungen auf abuseipdb?

@Jesterfox
Ich kann nur hoffen dass BFF Recht hat und es sich um FF handelt, aber wie würde ich denn herausfinden können wer an einem bestimmten svchost hängt? Ich hab von sowas nicht wirklich Ahnung :/

 

[Marek72]

Schätze die Domains sind eher interessant: https://www.malwares.com/report/ip?ip=93.184.220.29

Denke die IP ist ok

 

[Jesterfox]

Um dir ein Update anbieten zu können muss FF zumindest prüfen ob es eines gibt und dafür ist auch schon eine Verbindung notwendig.

Wie man genau rausfindet wer da am svchost hängt müsst ich auch erst selber nachschauen, hab das bisher noch nicht gemacht.

Die Abuse Meldungen bei einem CDN sind so ne Sache für sich... die können alles mögliche ausliefern (halt das wofür sie bezahlt werden), von daher kann da ab und an auch was schädliches dabei sein. Das heißt aber nicht das es immer so ist.

 

[Andreas_]

request to 93.184.220.29, is for checking certificate validity (OCSP)

mozillazine.org

ocsp.digicert.com löst zu dieser IP auf

In den Einstellungen des Firefox gibt es unter dem Punkt "Zertifikate" die Möglichkeit, die Nachfrage zu einem OCSP-Server abzustellen. Ob das auch die Anfrage beim Start einschließt, kann ich allerdings nicht sagen.

 

[Serjo]

@Jesterfox
Ja natürlich, aber ich hätte halt erwartet dass ich dazu Firefox zumindest mal starten muss, die letzten 2 Tage hab ich aber nur Chrome verwendet, verbunden wurde mit der IP heute trotzdem. Und wie kann es denn überhaupt sein, dass eine einzelne IP einerseits nach normalen Firefox-Updates sucht, aber gleichzeitig auch irgendeinen schädlichen Mist tut? Denn wie schon im Eingangspost erwähnt, die letzten Negativ-Meldungen über die IP sind nur 2 Tage alt, viele andere noch vom Juni.

@Andreas_
Wäre schön wenn das stimmt, aber die zitierte Aussage ist von einem einfachen User der nichtmal erwähnt wie er darauf kommt, und der Post ist von 2015. Die ganzen Negativ-Meldungen hingegen stammen aus dem Zeitraum Dezember 2017 bis Juli 2018, sind also um einiges aktueller. Wie kann es dann also sein, dass die IP einer bekannten CA wie digicert gehört? Bring ich hier grad irgendwas durcheinander? Ich kapier überhaupt nicht wie sowas sein kann.

 

[Jesterfox]

Evtl. hat der FF einen Updater installiert der gleich mit dem System gestartet werden (hab selber den FF nicht kann daher nicht nachschauen ob er das macht)

Ein CDN liefert allen möglichen Inhalt aus und arbeitet dabei sehr stark mit Load Balancern. Die IP ist also nur der Verteiler und welchen Inhalt er ausliefert wird über die URL gesteuert. Ist ein wenig wie bei den One Click Hostern. Was da drauf liegt hängt auch davon ab was die Benutzer hochladen, ausgeliefert wird aber alles über den selben Server (und damit die selbe IP)

 

[Andreas_]

Noch einmal, das ist kein Updater. Das ist eine Anfrage an OCSP.digicert.com.
Wer nicht weiß, was OCSP ist, sollte eventuell mal den Wikipedia-Artikel lesen.

Die Liste der genutzten OCSP-Server ist im Firefox-Profil-Ordner in der Datei cert8.db gespeichert. Einfach mal nachschauen, da ist unter anderem OCSP.digicert.com enthalten.

Wer nicht weiß wie man sich den Inhalt der cert8.db ansieht - auf Github hat ein User die Liste der enthaltenen OCSP-Server gepostet: list of firefox ocsp servers

Wäre schön wenn das stimmt, aber die zitierte Aussage ist von einem einfachen User der nichtmal erwähnt wie er darauf kommt, und der Post ist von 2015.

OCSP-Pakete sind mit Tools wie Wireshark von anderem Traffic zu unterscheiden.

 

[orioon]

Um den ganzen Spekulationen ein Ende zu setzen:
Process Monitor verwenden, bereits bei Boot starten lassen, nach der Adresse suchen und dann im Stack schauen welches Programm den Aufruf verursachte.

Per Google findet man bestimmt auch eine Anleitung dazu.

 

[Serjo]

@Jesterfox
Ok das würde so einiges erklären, ich wusste nicht dass bei cdns mehrere Nutzer gleichzeitig dieselbe IP verwenden können, ich dachte immer es wird eine bestimmte IP zu einem bestimmten Zeitpunkt an einen bestimmten Kunden/Unternehmen vermietet, so betrachtet hat die Sache dann keinen Sinn ergeben. So wie du das eben geschildert hast schon eher.

Danke auch an alle andren ernsthaften Antworten. Nur eine Frage noch wegen der .db-Datei: gibt es Windows-Bordmittel um solche Dateien zu öffnen oder bräuchte ich dafür extra Software? Mit dem Editor & Firefox konnte ich das Teil das Andreas_ erwähnt hat grade nicht öffnen.

 

[Andreas_]

Die Servernamen stehen in der Datei im Klartext, also sollte es eigentlich auch ein Texteditor anzeigen. Ansonsten gibt es von Mozilla das Tool certutil.

/edit: gerade getestet - selbst der Windows-Editor reicht aus.

 

[Serjo]

@Andreas_
Stimmt, ich hab offenbar nicht ordentlich hingeschaut.

Ich dachte eigentlich ich kann das Thema vergessen, bis mir eben zufällig was eingefallen ist. Du meintest ja in einem früheren Post:

Noch einmal, das ist kein Updater. Das ist eine Anfrage an OCSP.digicert.com.

Macht das denn auch dann noch Sinn wenn man das hier bedenkt:

[...] ich hätte halt erwartet dass ich dazu Firefox zumindest mal starten muss, die letzten 2 Tage hab ich aber nur Chrome verwendet, verbunden wurde mit der IP heute trotzdem.

Es erscheint mir nicht wirklich logisch, dass es eine OCSP-Anfrage sein soll wenn ich den Browser noch nicht einmal verwende. Seit ich vor ca. einer Stunde den PC gestartet habe, wurde wieder 3 Mal mit dieser IP verbunden obwohl ich den Firefox (oder sonst irgendeinen Browser) nicht ein Mal angerührt habe. Kann das trotzdem irgendwie Sinn machen oder schließt das die OCSP-Erklärung aus?

 

[BFF]

Du brauchst den FF nicht am rennen haben, damit der nach irgendwas schaut.

Schau mal in die Update-Einstellungen vom FF.

Im Moment bin ich mir nicht sicher, ob ich den dazu gehoerenden Service "Mozilla Maintenance Service" selbst auf manuell gesetzt habe oder ob das so ist.

BFF

 

[Serjo]

@BFF
Der ist so schon auf manuell, ist bei mir auch so. Außerdem gehts ja grade darum dass Andreas_ meinte dass es eben nicht mit Updates zusammenhängt - was ja vielleicht noch eine Erklärung hätte sein können - sondern mit einer OCSP-Anfrage. Macht denn eine OCSP-Anfrage Sinn wenn garkein Browser angerührt wurde? Und dann auch noch 3 Mal innerhalb einer Stunde?

 

[BFF]

@Serjo
Ging mir nur darum zu zeigen das der FF auch "alleine" koennte.

Im Prinzip kann jeder beliebige Dienst oder gestartete Software nach der Gueltigkeit von Zertifikaten irgendwo nachfragen. Office365 hat z.B. "OCSP.digicert.com" als Certificate Chain mit drin. Die AV von Kaspersky hatte das wohl auch. Wer weiss wer noch.

Um das heraus zu finden machst Du halt das was im Post #12 geschrieben ist.

BFF