Unzählige Alarmeinträge im Syslog

[TomLan]

Hallo Forengemeinde,

seit einiger Zeit beobachte ich die Einträge des Routers genauer. Hierbei fanden sich mittlerweile unzählige ALARM- Einträge, und die jeweiligen IP-Adressen. z.B.:

15 2015-12-31 13:11:14 LOCAL3 Alarm Dst: meine - IP:53413 {Lancom-Router_1.intern}, Src: 113.58.117.199:43282 (UDP): connection refused

Habe dann diese rückverfolgt, teils komme ich auf Apache-Seiten, Shadow-Server, oder ich habe gleich Zugang zu einem Router, indem ich mich sogar mit gefundenen Standard-Zugangsdaten einloggen kann. Der ist aber anscheinend so ausgelastet, dass er manchmal nur schleppend antwortet.

Sind das Hack-Attack's oder was soll das Ganze.

Es geht hier nicht um 5 Einträge die Woche, sondern um hunderte am Tag !!!

Wer kennt sich aus, was da abläuft?

Grüße
TomLan

[mrHS]

Ich habe diese Einträge auch - unendlich viele.
Mich würde auch interessieren, was es damit auf sich hat.

[GrandDixence]

Bitte Google-Suche benutzen:

udp 53413

=> Da sucht jemand mit (böswilligen) Absichten das Internet ab nach Routern von Netcore/Netis. Diese Routern haben auf Port UDP 53413 eine Hintertür (back door) eingebaut. Solche direkt aus dem Internet zugreifbare Hintertüren in Routern sind natürlich ein gefundenes Fressen für Kriminelle (Hacker + Botnetzbetreibern). Für mehr Informationen siehe:
https://blog.trendmicro.com/trendlabs-s ... -backdoor/

https://de.wikipedia.org/wiki/Botnet

Gemäss dem oben stehenden Logbucheintrag (Syslog) ist die Firewall des LANCOM-Routers korrekt konfiguriert und blockiert diese (böswilligen) Versuche eine solche Hintertür auszunutzen.

[plumpsack]

Das Internet ist total kaputt

113.58.117.199

Code: Alles auswählen

ping 113.58.117.199

PING 113.58.117.199 (113.58.117.199) 56(84) bytes of data.
...

Code: Alles auswählen

whois 113.58.117.199

inetnum: 113.58.0.0 - 113.58.255.255
netname: UNICOM-HI
descr: China Unicom Hainan province network
descr: China Unicom
country: CN

Hier "einfach", da

route: 113.58.0.0/16

im whois angegeben.

Ansonsten installier dir ipcalc um das zu errechnen, Hut ab bei allen die das im Kopf können ...

In der Routing-Tablelle folgendes hinzufügen z.B. per WebInterface:

Code: Alles auswählen

Configuration > IP-Router > Routing > IPv4 routing table

auf "add" klicken

Code: Alles auswählen

IP address:		113.58.0.0
Netmask:		255.255.0.0
Routing tag:		0
Enable state:		Route is enabled and will always be propagated via RIP (sticky)
Router:			other... 0.0.0.0
Distance:		0
IP masquerading:	IP Masquerading switched off
Comment:		block CN China Unicom 113.58.0.0/16

Dann "send" anklicken

Danach in der Konsole:

Code: Alles auswählen

ping 113.58.117.199

PING 113.58.117.199 (113.58.117.199) 56(84) bytes of data.
From xxx.xxx.xxx.xxx icmp_seq=1 Destination Net Unreachable

Wieder ein Arschloch weniger.

Als Deutscher Staatsbürger darf man nicht einmal ein vollen Scan auf solche Arschloch-Netzwerke machen, geschweige ein Hack-Back.

Willkommen im Internet 2020!

BTW: Viel Spaß an "hqs-ipabuse@chinaunicom.cn" eine eMail zu schicken um denen den Vorfall zu melden.
Nicht einmal die Deutschen ISPs mit ihrer abuse@ISP Mailadresse bekommen das geregelt.