viele offene Ports in den Netzwerkverbindungen

[Masamune2]

Du willst mir jetzt hier wirklich erzählen diese offnen Ports in den Bereichen 40000 - 60000 seinen keine Ports von Malware? Soweit ich weiß nuten diverse Malware Programme immer in diesen Bereichen Ports.

Doch genau das erzähle ich dir hier. Nur weil Ports jenseits von 1024 offen sind heißt das nicht da ist Malware auf dem Rechner.
Aber wenn du genau wissen willst wer die Ports öffnet dann lad dir mal TCPView und schau damit nach, netstat ist hier nicht wirklich geeignet. http://live.sysinternals.com/Tcpview.exe

Vielleicht etwas mehr mit dem Thema beschäftigen und etwas weniger Hollywood Filme schauen, dann kommt es nicht zu solchen abstrusen Schlussfolgerungen.

 

[cloudman]

ist relativ schwierig vor allem wenn man die Ziel Addressen nicht sieht.


Wenn als ListenAdresse 127.0.0.1 verwendet wird kann nur der eigene Rechner dazu eine Verbindung aufbauen
Ansonsten wäre die die Listen Adresse 0.0.0.0 wie hier
0.0.0.0:135 => Aber das sollte der Router eh nicht von außen durchlassen

Eine Verbindung von außen würde eher so aussehen

TCP     100.64.86.253:1271   10.60.226.100:8443 ESTABLISHED 3888
TCP     100.64.86.253:16638   10.214.67.69:445 ESTABLISHED 4

Wenn du einen powershell prompt startest und dann
netstat -o ausführst siehst du in der letzen Spalte die Prozess ID

PS C:\Users\max> netstat -o

Active Connections

  Proto  Local Address          Foreign Address        State           PID
..
  TCP    127.0.0.1:1329         maxwin10:1330         ESTABLISHED     12072
  TCP    127.0.0.1:1330         maxwin10:1329         ESTABLISHED     12072
  TCP    127.0.0.1:26820        maxwin10:8010         ESTABLISHED     23908
  TCP    127.0.0.1:26825        maxwin10:8010         ESTABLISHED     23792

Jetzt mit Get-Process nachsehen welcher Prozess es ist aber bitte nicht blind beenden

PS C:\Users\max>  Get-Process -id 23792

NPM(K) PM(M) WS(M) CPU(s) Id SI ProcessName
------ ----- ----- ------ -- -- -----------
102 152.89 135.90 28.84 23792 1 Code

Mit -module gibts noch mehr Infos

PS C:\Users\max> Get-Process -id 23792 -module

Size(K) ModuleName FileName
------- ---------- --------
98888 Code.exe C:\Users\maxwin10\AppData\Local\Programs\Microsoft VS Code\Code.exe
2000 ntdll.dll C:\WINDOWS\SYSTEM32\ntdll.dll

==> Also verwendet VS Code hier eine lokale TCP Verbindung

Für mich sehen deine Verbindungen auf den ersten Blick relativ normal aus.
Wenn du mit vielen Infos hier nicht so viel anfangen kannst ist die Chance hoch etwas kaputt zu konfigurieren

 

[Turian]

Du hast die Ironie Tags vergessen. Wenn er dadurch die ganzen Systemprozesse abschießt, geht die Kiste aus.

Nicht eher Sarkasmus ? Jedenfalls darfst du nicht vergessen, das es aber auch Malware gibt, die ähnliche Prozessnamen haben, um übersehen zu werden. Des weiteren helfe ich nur zur Frage, ich schätze - sofern wirklich noch nicht viel mit dem System passiert ist - eher auch Nein in Bezug auf vorhandene Malware.

 

[Wilhelm14]

Dann nehme ich mal als Beispiel die Adresse 23.235.227.108 die ich aus den Netzwerkverbindungen herausgesucht habe.

Welcher Pozess, firefox.exe oder ähnlich, steckt denn dahinter? Das siehst du mit dem Befehl netstat -b

 

[Reinhard77]

Du hast die Ironie Tags vergessen. Wenn er dadurch die ganzen Systemprozesse abschießt, geht die Kiste aus.

Ein OS bzw. Programm baut zu allen möglichen Adressen auch ohne deinen Zutun Verbindungen auf. Das ist z.B. für Updates notwendig, oder um dich zu tracken oder für die Werbung. Das macht fast jedes Programm auf deinen PC, Windows selbst auch. Es sind auch keine Domains worauf man auf des Programm schließen kann. Meist sind das Content Delivery Networks (CDN) wie AWS oder Akamai. Da solche Anbieter auch häufig missbraucht werden, kann manchmal so eine Adresse auch eine schlechte Reputation haben.

Wenn du deinen Rechner überprüfen möchtest, dann nimm so was wie Malwarebytes. Netstat ist dafür nicht gerade das geeignete Mittel.

Ich denke sowas wird Zeitverschwendung sein. Wenn ich teil eines Botnetzes bin (wie ich vermute), wird von solchen Programmen keines diese Malware finden wie ich mal so tippe.

 

[Helge01]

Na wenn du dich so gut auskennst, dann hättest du dir die Frage aber auch ersparen können...

 

[forceafn]

Wenn Du denkst Du hast Dir Malware eingefangen, mach die Kiste platt, und instalier Windows neu. Das wäre der vernünfstige weg.

 

[Wilhelm14]

Mmh, und was ist nun mit netstat -b, welche ausführbare Datei greift auf deine verdächtige IP zu?

 

[Masamune2]

Was ist nun mit TCPView, mal nachgeschaut wer die Ports eigentlich öffnet?

 

[Reinhard77]

Welcher Pozess, firefox.exe oder ähnlich, steckt denn dahinter? Das siehst du mit dem Befehl netstat -b

Die Verbindung zu 23.235.227.108 taucht momentan bei netstat nicht mehr auf.

 

[forceafn]

Oh das Botnetz ist Down. Warschrinlich besteht es aus einem einzelnen Rechner, der dem TE gehört ;-)

 

[Reinhard77]

ist relativ schwierig vor allem wenn man die Ziel Addressen nicht sieht.

Hier mal die erste anonymisierte netstat Ausgabe die ich heute gemacht habe.

Aktive Verbindungen

  Proto  Lokale Adresse         Remoteadresse          Status
  TCP    0.0.0.0:135            name:0          ABHÖREN
  TCP    0.0.0.0:5040           name:0          ABHÖREN
  TCP    0.0.0.0:7680           name:0          ABHÖREN
  TCP    0.0.0.0:49664          name:0          ABHÖREN
  TCP    0.0.0.0:49665          name:0          ABHÖREN
  TCP    0.0.0.0:49666          name:0          ABHÖREN
  TCP    0.0.0.0:49667          name:0          ABHÖREN
  TCP    0.0.0.0:49669          name:0          ABHÖREN
  TCP    0.0.0.0:49670          name:0          ABHÖREN
  TCP    127.0.0.1:9150         name:55043      WARTEND
  TCP    127.0.0.1:9151         name:53036      WARTEND
  TCP    127.0.0.1:28385        name:0          ABHÖREN
  TCP    127.0.0.1:49350        name:0          ABHÖREN
  TCP    127.0.0.1:49351        name:0          ABHÖREN
  TCP    127.0.0.1:53020        name:9151       WARTEND
  TCP    127.0.0.1:53022        name:53021      WARTEND
  TCP    127.0.0.1:53023        name:9151       WARTEND
  TCP    127.0.0.1:55038        name:9150       WARTEND
  TCP    127.0.0.1:55039        name:9150       WARTEND
  TCP    127.0.0.1:55040        name:9150       WARTEND
  TCP    127.0.0.1:55041        name:9150       WARTEND
  TCP    127.0.0.1:55042        name:9150       WARTEND
  TCP    127.0.0.1:55044        name:9150       WARTEND
  TCP    127.0.0.1:59219        name:59220      HERGESTELLT
  TCP    127.0.0.1:59220        name:59219      HERGESTELLT
  TCP    127.0.0.1:61958        name:61959      HERGESTELLT
  TCP    127.0.0.1:61959        name:61958      HERGESTELLT
  TCP    127.0.0.1:61964        name:61965      HERGESTELLT
  TCP    127.0.0.1:61965        name:61964      HERGESTELLT
  TCP    127.0.0.1:63389        name:63390      HERGESTELLT
  TCP    127.0.0.1:63390        name:63389      HERGESTELLT
  TCP    192.168.x.x:54738   51.105.249.239:https   HERGESTELLT
  TCP    192.168.x.x:54755   a2-19-244-6:https      HERGESTELLT
  TCP    192.168.x.x:54930   ec2-54-213-218-169:https  HERGESTELLT
  TCP    192.168.x.x:54982   ec2-34-212-242-166:https  WARTEND
  TCP    192.168.x.x:54988   ec2-34-212-242-166:https  WARTEND
  TCP    192.168.x.x:54989   ec2-34-212-242-166:https  WARTEND
  TCP    192.168.x.x:54990   ec2-34-212-242-166:https  WARTEND
  TCP    192.168.x.x:54999   fra16s08-in-f194:https  HERGESTELLT
  TCP    192.168.x.x:55003   fra15s18-in-f14:https  HERGESTELLT
  TCP    192.168.x.x:55007   fra15s11-in-f162:https  HERGESTELLT
  TCP    192.168.x.x:55008   fra15s24-in-f4:https   HERGESTELLT
  TCP    192.168.x.x:55010   fra15s17-in-f67:http   HERGESTELLT
  TCP    192.168.x.x:55011   fra15s17-in-f67:http   WARTEND
  TCP    192.168.x.x:55016   script3:https          WARTEND
  TCP    192.168.x.x:55018   script3:https          WARTEND
  TCP    192.168.x.x:55020   a-0001:https           WARTEND
  TCP    192.168.x.x:55021   a-0001:https           WARTEND
  TCP    192.168.x.x:55024   204.79.197.222:https   WARTEND
  TCP    192.168.x.x:55026   13.107.136.254:https   HERGESTELLT
  TCP    192.168.x.x:55027   a2-16-215-45:http      WARTEND
  TCP    192.168.x.x:55029   fra16s08-in-f211:https  HERGESTELLT
  TCP    192.168.x.x:55031   fra16s08-in-f194:https  WARTEND
  TCP    192.168.x.x:55032   178.250.0.162:https    HERGESTELLT
  TCP    192.168.x.x:55034   ec2-52-210-100-127:https  HERGESTELLT
  TCP    192.168.x.x:55035   172.65.253.13:https    HERGESTELLT
  TCP    192.168.x.x:55036   fra16s25-in-f10:https  HERGESTELLT
  TCP    192.168.x.x:55037   93.184.221.240:http    HERGESTELLT
  TCP    192.168.x.x:55045   tor-exit-2:8443        WARTEND
  TCP    192.168.x.x:55046   www:https              HERGESTELLT
  TCP    192.168.x.x:55049   a-0001:https           HERGESTELLT
  TCP    192.168.x.x:55050   13.107.4.254:https     HERGESTELLT
  TCP    192.168.x.x:55051   a2-19-244-69:https     HERGESTELLT
  TCP    192.168.x.x:55052   13.107.42.254:https    HERGESTELLT
  TCP    192.168.x.x:55053   a2-19-245-126:http     HERGESTELLT
  TCP    192.168.x.x:55054   204.79.197.222:https   HERGESTELLT
  TCP    192.168.x.x:55055   a104-107-217-113:https  HERGESTELLT
  TCP    [::]:135               name:0          ABHÖREN
  TCP    [::]:7680              name:0          ABHÖREN
  TCP    [::]:49664             name:0          ABHÖREN
  TCP    [::]:49665             name:0          ABHÖREN
  TCP    [::]:49666             name:0          ABHÖREN
  TCP    [::]:49667             name:0          ABHÖREN
  TCP    [::]:49669             name:0          ABHÖREN
  TCP    [::]:49670             name:0          ABHÖREN
  UDP    0.0.0.0:1900           *:*
  UDP    0.0.0.0:5050           *:*
  UDP    0.0.0.0:5353           *:*
  UDP    0.0.0.0:5355           *:*
  UDP    127.0.0.1:1900         *:*
  UDP    127.0.0.1:61860        *:*
  UDP    127.0.0.1:62866        *:*
  UDP    192.168.x.x:1900    *:*
  UDP    192.168.x.x:61859   *:*
  UDP    [::]:5353              *:*
  UDP    [::]:5355              *:*
  UDP    [::1]:1900             *:*
  UDP    [::1]:61858            *:*
  UDP    ipv6:1900  *:*
  UDP    ipv6:61857  *:*

 

[forceafn]

Hehe "tor-exit-2", und die Interne IP verschleiert.

 

[Masamune2]

Hör doch mit dem blöden Netstat auf und nutz endlich was vernünftiges. Es macht auch wenig Sinn deine lokalen IPs dort zu löschen, du hast im ersten Dump schon die 192.168.178.20 stehen gehabt. Ist ja jetzt auch kein Geheimnis....

 

[Wilhelm14]

Hier mal die erste anonymisierte netstat Ausgabe die ich heute gemacht habe.

Und netstat -b? Wenn du hinter nestat noch -b tippst, siehst du wenigstens die Anwendung dahinter.
Oder halt bequemer, wie Masamune2 vorschlägt: https://www.heise.de/download/product/tcpview-22994
Rein anhand der IP-Adresse kann man erstmal gar nichts sagen. Auch deine whois-Suche findet erstmal nur einen Hoster zur IP.

 

[Reinhard77]

Was ist nun mit TCPView, mal nachgeschaut wer die Ports eigentlich öffnet?

Ja z.B. die Adresse fra16s12-in-f195.1e100.net gehört zu http://www.markmonitor.com

 

[forceafn]

Hör doch mit dem blöden Netstat auf und nutz endlich was vernünftiges. Es macht auch wenig Sinn deine lokalen IPs dort zu löschen, du hast im ersten Dump schon die 192.168.178.20 stehen gehabt. Ist ja jetzt auch kein Geheimnis....

Wireshark z.B. Aber dann kommen noch mehr Verschwörungstheorien. Alleine schon das Thor Netzwerk zu nutzen. Junge Junge Junge

 

[Masamune2]

Ich meine zu welchem Prozess auf deinem Rechner die Verbindung gehört. Sonst weißt du ja nie was du abschalten musst.

 

[Wilhelm14]

Ja

Nein, du sollst nicht heraussuchen, wem die IP gehört, sondern welches Programm auf deinem Rechner damit verbindet.

 

[forceafn]

Ich meine zu welchem Prozess auf deinem Rechner die Verbindung gehört. Sonst weißt du ja nie was du abschalten musst.

Am besten den ganzen PC