Intruder Detection - IP weist auf Anbieter von Sicherheitssoftware hin....

[firefox_i]

Hey zusammen,
seit einigen Tagen schlägt immer wieder die Intruder Erkennung zu.
Mehrere Standorte sind betroffen, mehrere Internet Provider (Telekom Glasfaser, Vodafone DSL.....).

Die SRC ist immer 91.231.222.114:443 und das Target immer die Router IP und variable Ports.

Eine WhoIs Abfrage deutet auf eine britische Beratungs-Firma hin.

Ist sowas normal und kann ignoriert werden?
Anschrieben über die abuse mail?

Oder andersrum: woher haben die die IP Adresse oder scannen die einfach wahllos IP Bereiche?

Grüße
S.

[backslash]

Hi firefox_i

Ist sowas normal und kann ignoriert werden?

Portscans sind im Internet eigentlich der Normalfall...
Solange nur das LANCOM gescannt wird (was bei Standard-Anschlüssen mit dynamischer IP der Fall ist wegen der Maskierung), sollte kein offener Port gefunden werden - es sei denn du hast Portforwardings eingerichtet

Anschrieben über die abuse mail?

kannst du ja mal versuchen - die Frage ist nur, ob da da mehr als eine automatisch erstellte Antwort bekommst...

Oder andersrum: woher haben die die IP Adresse oder scannen die einfach wahllos IP Bereiche?

vermutlich letzteres... aber wirklich beantworten wird dir das keiner können...

Gruß
Backlsdahs

[firefox_i]

[...] sollte kein offener Port gefunden werden - es sei denn du hast Portforwardings eingerichtet

Es gibt nur ein PF und in der Firewall eine Regel, die zum WOL via Internet was durchlässt, aber das sollte unkritisch sein.


Klingt also alles in Allem eher nach "ist normal".

S.

[Dr.Zett]

Mahlzeit,

falls es Dich beruhigt: Ich hab diese IP auch einige Male in der Liste der "Angreifer" an meinem Telekom-Anschluss, ebenfalls von Port 443. Zu verschiedensten Zeiten.

Und etliche Andere auch: https://www.abuseipdb.com/check/91.231.222.114 - daher glaube ich nicht, dass jemand genau Dir was Böses will.

VG

Dr. Zett

[firefox_i]

daher glaube ich nicht, dass jemand genau Dir was Böses will.

Davon geh ich aus. So wichtig nehm ich mich nicht

Ging nur darum, dass die Firma - zumindest augenscheinlich - was mit IT Security zu tun hat und dann solche Scan Versuche auch durchaus eine "schau mal ich hab offene Ports bei Dir gefunden und unser Produkt XY hilft Dir da"-Aktion sein könnten.

S.

[jgraef]

Da der Quellport 443 ist und der Zielport variabel gehe ich eher davon aus, dass das ein verwaistes Antwortpaket auf eine ausgehende Anfrage aus Deinem Netz ist, die später kam, als es der TCP-HoldTime Deiner Stateful-Inspection Firewall lieb ist.

[jgraef]

Nehme es zurück. Die Seite hat ein LetsEncrypt-Zertifikat für den Namen
Inhabername Allgemeiner Name ww w.ba hislio nbiz im.c om
und verweist auf ein türkisches Glücksspielportal. Soll wahrsheinlich neugierige Admins anlocken.

[plumpsack]

seit einigen Tagen schlägt immer wieder die Intruder Erkennung zu.
Mehrere Standorte sind betroffen, mehrere Internet Provider (Telekom Glasfaser, Vodafone DSL.....).

Die SRC ist immer 91.231.222.114:443 und das Target immer die Router IP und variable Ports.

Eine WhoIs Abfrage deutet auf eine britische Beratungs-Firma hin.

Evtl. hast du ein anderes "whois" wie ich.

Bei mir steht was vom Iran und einer Scheinadresse in UK, einer Immobilie die zum Verkauf stand / steht?

inetnum: 91.231.222.0 - 91.231.222.254
netname: Gohost
country: SI
org: ORG-GA1226-RIPE
admin-c: GA13504-RIPE
tech-c: GA13504-RIPE
status: SUB-ALLOCATED PA
mnt-by: lir-ir-mozhan3-1-MNT
created: 2025-07-31T17:13:22Z
last-modified: 2025-07-31T17:13:22Z
source: RIPE

organisation: ORG-GA1226-RIPE
org-name: Go Host Ltd
org-type: OTHER
address: 38 Carleton Street, Morecambe, United Kingdom, LA4 4NY
country: GB
abuse-c: GA13504-RIPE
mnt-ref: gohost-mnt
mnt-ref: ir-kavoshgarmozhan-1-mnt
mnt-by: gohost-mnt
created: 2025-05-19T19:45:46Z
last-modified: 2025-07-31T07:18:27Z
source: RIPE # Filtered

role: GoHost
address: 38 Carleton Street, Morecambe, United Kingdom, LA4 4NY
abuse-mailbox: abuse@weldr.co.uk
nic-hdl: GA13504-RIPE
mnt-by: gohost-mnt
created: 2025-05-19T19:39:38Z
last-modified: 2025-08-17T13:51:09Z
source: RIPE # Filtered

% Information related to '91.231.222.0/24As208191'

route: 91.231.222.0/24
origin: As208191
mnt-by: ir-kavoshgarmozhan-1-mnt
created: 2025-07-31T04:48:17Z
last-modified: 2025-07-31T04:48:17Z
source: RIPE

BTW:
GO HOST LTD gibt es wohl auch noch in der:
Registered office address: 71-75 Shelton Street, Covent Garden, London, United Kingdom

71-75 Shelton Street, Covent Garden, London, United Kingdom

Ist 'ne ganz tolle Adresse !!!

Die Adresse sollte jedem Administrator bekannt sein!

[firefox_i]

Evtl. hast du ein anderes "whois" wie ich.

eher nicht....

Bei mir steht was vom Iran und einer Scheinadresse in UK, einer Immobilie die zum Verkauf stand / steht?

Vielleicht sehe ich es nicht, aber wo ist da was von Iran zu finden?

Die Seite https://gohostltd.uk/ scheint lt. Impressum auf eine Firma an der Adresse hinzuweisen.