connection refused

fragan · Beitrag von **fragan** » 20 Aug 2023, 14:23

Hallo,

Router ist ein LANCOM 1926VAG-5G

Alle 5-10 Min. gibt es einen Syslog-Eintrag ` connection refused`.
Könnt Ihr mir dazu etwas sagen?

Eigene IP-Adresse, ist natürlich die feste IP des Lancom.
Name ist der Name des Lancom.

Vielen Dank.

3 2023-08-20 14:07:01 LOCAL3 Alarm Dst: Eigene IP:6881 {Name}, Src: 207.154.252.37:50928 (UDP): connection refused
4 2023-08-20 14:03:41 LOCAL3 Alarm Dst: Eigene IP:1900 {Name}, Src: 185.94.111.1:40870 (UDP): connection refused
5 2023-08-20 14:02:05 LOCAL3 Alarm Dst: Eigene IP:1028 {Name}, Src: 94.102.61.34:48422 (UDP): connection refused
6 2023-08-20 13:54:34 LOCAL3 Alarm Dst: Eigene IP:123 {Name}, Src: 45.65.212.208:6128 (UDP): connection refused
7 2023-08-20 13:47:11 LOCAL3 Alarm Dst: Eigene IP:22 {Name}, Src: 162.243.147.16:41075 (UDP): connection refused
8 2023-08-20 13:43:55 LOCAL3 Alarm Dst: Eigene IP:123 {Name}, Src: 45.148.10.241:20432 (UDP): connection refused
9 2023-08-20 13:42:29 KERN Hinweis Local time set to 2023-08-20 11:42:29(UTC) received by 46.4.104.234
10 2023-08-20 13:41:52 LOCAL3 Alarm Dst: Eigene IP:19132 {Name}, Src: 80.82.77.33:20218 (UDP): connection refused
11 2023-08-20 13:37:03 LOCAL3 Alarm Dst: Eigene IP:1812 {Name}, Src: 106.75.133.97:50961 (UDP): connection refused
12 2023-08-20 13:27:48 LOCAL3 Alarm Dst: Eigene IP:123 {Name}, Src: 45.65.212.1:22486 (UDP): connection refused
13 2023-08-20 13:25:16 LOCAL3 Alarm Dst: Eigene IP:5632 {Name}, Src: 192.241.195.64:37309 (UDP): connection refused
14 2023-08-20 13:23:43 LOCAL3 Alarm Dst: Eigene IP:1434 {Name}, Src: 45.128.232.252:1434 (UDP): connection refused
15 2023-08-20 13:20:44 LOCAL3 Alarm Dst: Eigene IP:34007 {Name}, Src: 170.253.33.241:1250 (UDP): connection refused
16 2023-08-20 13:16:45 LOCAL3 Alarm Dst: Eigene IP:27015 {Name}, Src: 146.88.241.192:37475 (UDP): connection refused
17 2023-08-20 12:59:09 LOCAL3 Alarm Dst: Eigene IP:123 {Name}, Src: 45.65.212.37:14298 (UDP): connection refused

GrandDixence · Beitrag von **GrandDixence** » 20 Aug 2023, 14:54

Da läuft ein feindlicher Portscan.
https://de.wikipedia.org/wiki/Portscanner

Solche SYSLOG-Meldungen sind ein gutes Zeichen, dass die Firewall korrekt konfiguriert wurde.
fragen-zum-thema-firewall-f15/portscans ... ml#p104492

fragen-zum-thema-firewall-f15/schulnetz ... ml#p106924

fragan · Beitrag von **fragan** » 20 Aug 2023, 20:19

Danke für die schnelle und kompetente Antwort.

plumpsack · Beitrag von **plumpsack** » 24 Aug 2023, 21:31

GrandDixence hat geschrieben: ↑20 Aug 2023, 14:54 Da läuft ein feindlicher Portscan.

@GrandDixence

Woran erkennst du in dem kurzen Auschnitt des Syslogs den Unterschied zwischen einem Portscan und der versuchten Ausnutzung eines zero-day-exploid ?

"fragan" kennt den Befehl "whois" nicht ...

gzata · Beitrag von **gzata** » 25 Aug 2023, 11:13

Hallo,

Level "Alarm"

fragan hat geschrieben: ↑20 Aug 2023, 14:23 Hallo,

3 2023-08-20 14:07:01 LOCAL3 Alarm Dst: Eigene IP:6881 {Name}, Src: 207.154.252.37:50928 (UDP): connection refused
4 2023-08-20 14:03:41 LOCAL3 Alarm Dst: Eigene IP:1900 {Name}, Src: 185.94.111.1:40870 (UDP): connection refused
5 2023-08-20 14:02:05 LOCAL3 Alarm Dst: Eigene IP:1028 {Name}, Src: 94.102.61.34:48422 (UDP): connection refused

Mich wundert, dass die connection refused Meldungen den Level "Alarm" tragen. Bei mir sind sie alle auf "Info".

Wurden die refused Meldungen nicht von Alarm auf Info "herabgestuft" ?

backslash · Beitrag von **backslash** » 25 Aug 2023, 11:49

Hi gzata

Wurden die refused Meldungen nicht von Alarm auf Info "herabgestuft" ?

ja, wurden sie...

d.h. fragan nutzt nicht die aktuelle Firmware...

Gruß
Backslash

plumpsack · Beitrag von **plumpsack** » 26 Aug 2023, 18:03

backslash hat geschrieben: ↑25 Aug 2023, 11:49 d.h. fragan nutzt nicht die aktuelle Firmware...

... nicht die von Lancom "vorgegebene" Konfiguration!

K(r)ampf gegen Kriminalität im Internet.

Die österreichische Regulierungsbehörde hat IP-Sperren für unzulässig erklärt. Im vergangenen Jahr hatte eine solche Maßnahme massive Kollateralschäden verursacht. Den Zugriff auf Webseiten mithilfe von IP-Sperren zu verhindern, ist nach einer Grundsatzentscheidung in Österreich rechtswidrig.

https://www.golem.de/news/netzneutralit ... 76703.html

12. August 2023

Österreich schafft IP-Sperren ab

Nachdem es zuletzt bereits zu Kollateralschäden gekommen war, sind Sperranordnungen gegen bestimmte IP-Adressen in Österreich neuerdings unzulässig.

1:0 für die Krimminellen!

oder auch:

0:1 gegen die Datenschützer!

Ich bin seit Anfang an ein Freund von sogenannten "hack backs" !!!

Wer dumm* seine Infarstuktur/ IT ins Internet hängt muss dafür haften !!!

* aus Faulheit/Bequemlichkeit/Verantwortungslosigkeit

Es ist unschön zu sehen, wenn ISP's auf Netzneutraltität verweisen, wenn es um Cyberkriminalität ** geht.
Es ist unschön zu sehen, wenn "Dienste" "Dienste" schützen wenn Bürger, ohne "Grund", betroffen sind.

** der Begriff ist bis heute nicht genau definiert!

"hack backs" oder auch "Hacking back" bzw. "Hackback" schützen uns!

Nur so kann einem "Betroffenen" mitgeteilt werden, das bei ihm etwas nicht stimmt !!!!

(ich gender das jetzt nicht !!!)

plumpsack · Beitrag von **plumpsack** » 26 Aug 2023, 18:55

fragan hat geschrieben: ↑20 Aug 2023, 14:23 Könnt Ihr mir dazu etwas sagen?

@fragan

Wenn du wirlich sehen willst, was "normal" an einem WAN-Port passiert, dann kaufst du dir in der "Bucht" einen Router von Lancom mit Support und konfigurierst ETH1 als WAN-Port (DHCP-Client).

Den hängst du an deinen primären Lancom-Router "LANCOM 1926VAG-5G" (DHCP-Server).

Sollte da an deinem neuen (gebrauchten Lancom-Router) aus der Bucht etwas auffällig am WAN-Anschuß sein, dann hast du ein Problem!

(Gesehen mit/bei China-Büchsen im übergeordnetem Subnet!)

"Es lohnt sich immer einen zweiten Router hinter den ersten Router zu setzen ... wenn nicht sogar mehr ..."

Ansonsten sollte da, im Syslog, eigentlich gar nichts mehr zum Thema "connection refused" stehen - auch wenn du unter:

Webinterface:
Logging/Monitoring
Protocols
SYSLOG servers

https:/xxx.xxx.xxx.xxx/config2/5/3/?table_val003_edit_8

Priority Alert + Information

angeklickt hattest.

plumpsack · Beitrag von **plumpsack** » 01 Sep 2023, 18:48

plumpsack hat geschrieben: ↑26 Aug 2023, 18:03 "hack backs" oder auch "Hacking back" bzw. "Hackback" schützen uns!

Vielen lieben Dank an das FBI !

Qakbot (aka QBot, QuakBot, and Pinkslipbot) und die ganzen Darma*ang-IP-Adressen wurden damit, wenigstens zum Teil, lahmgelegt.

https://www.tagesschau.de/inland/innenp ... g-100.html

Die Serverinfrastruktur für die Software befand sich demnach in Deutschland.

Traurig ... das die USA den Hackback machen musste !

plumpsack · Beitrag von **plumpsack** » 03 Sep 2023, 18:24

plumpsack hat geschrieben: ↑01 Sep 2023, 18:48 Darma*ang-IP-Adressen*

* geändert durch Moderator/Administrator

Ein Hinweis zur Änderung wäre "nett" gewesen ... ist ja schon wie bei einigen deutschen Unternehmen mit ihrem SMIME ...

Der Inhalt der eMail wurde verändert ... ungültige Unterschrift ...

hahaha ...

Zum Thema qakbot, qbot, pinkslipbot und quakbot:

Kann es sein, das die immer noch "UPNP"benutzen?

https://www.mcafee.com/blogs/other-blog ... le-trojan/

LANCOM-Forum.de

connection refused

connection refused

Re: connection refused

Re: connection refused

Re: connection refused

Re: connection refused

Re: connection refused

Re: connection refused

Re: connection refused

Re: connection refused

Re: connection refused