 |
|
|
|
| Autor |
Nachricht |
firefox
Anmeldungsdatum: 01.09.2005
Beiträge: 2
|
 Verfasst am:
Do 01 Sep, 2005 08:41 |
  |
|
Guten Tag zusammen,
wir haben uns erst kürzlich das Lancom 1711 VPN Gateway angeschafft und dann natürlich direkt die Firewall-Regeln eingestellt. Dabei haben wir die DENY_ALL Strategie verwendet um so erstmal jeglichen Datenverkehr durch den Router zu blocken. Nach und nach haben wir dann diverse Ports wieder freigegeben. So weit so gut.
Jetzt dreht die Firewall-Ereignisanzeige völlig durch. Hier erscheint jetzt fast jede Sekunde ein neuer Eintrag der Firewall. Die Quell-Adresse des Eintrags ist vom Server. Die Zieladresse variiert ein wenig und liegt dabei fast immer zwischen 194.145.224.51 und 195.190.135.51. Das eigenartige dabei ist, dass im Protokoll sich der Quellport auch sekündlich ändert. Dabei ist der Zielport immer gleich. Nämlich 55555. Jetzt habe ich die Vermutung, dass wir einen Trojaner im System haben. Leider konnte ich ihn gestern nicht aufspüren. Der Virenscanner findet auch nichts. Kann mir jemand einen Tipp geben, woran das liegt oder was ich tun kann um herauszufinden woher diese geblockten Verbindungen kommen? Vielen Dank im voraus. |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Do 01 Sep, 2005 09:25 |
|
|
|
|
|
firefox
Anmeldungsdatum: 01.09.2005
Beiträge: 2
|
| Verfasst am:
Do 01 Sep, 2005 10:09 |
|
|
Danke für den guten Rat mit PortReporter. Habe herausgefunden was da über den Port 55555 will.
Wir haben Tobit von David als Mailsystem im Einsatz. Der Message Identification Service will über diesen Port.
Habe jetzt auch in der Knowledge Base von Tobit entsprechende Hinweise dazu gefunden.
Danke nochmal für diesen guten Tipp. |
|
|
|
|
|
|
|
|
| |
|
|
