Permanenter Portscan von UM Server
Nicht anwendbar
Guten Tag,


ich habe seit gestern auch einen Anschluss bei Unitymedia (2play150) und war als ehemaliger 3Mbit "Telekom"-Kunde natürlich erst mal sehr begeistert.


Doch leider musste ich schnell feststellen, dass meine PCs in Abständen von wenigen Minuten immer wieder einen Port Scan abbekommen.

Nach gerade einmal 16 Stunden waren es schon 74 Scans bei einem Rechner.


Der Scan kommt von der Adresse [2a02:908:2:b::1], die offensichtlich Unitymedia gehört:

www.ipdb.me/2a02:908:2:1000::1

Hier steht auch die Adresse, an die ich bereits geschrieben habe:

# Abuse contact for '2a02:908::/32' is 'abuse@unitymedia.de'



Eine Mail an Unitymedia ist bereits raus aber ich wollte trotzdem auch hier mal nachfragen, was es damit auf sich hat.

Kann mir jemand erklären was das ist, und warum diese Scans durchgeführt werden?


Vielen Dank schon mal.



Ähnliches Thema: community.unitymedia.de/questions/permanente-flood-und-port-scan

12 Antworten 12
Nicht anwendbar
Ich habe eine Antwort von Unitymedia erhalten.

Hier kurz einige Auszüge:


"Im Prinzip kann jedes Programm über das Internet mit jedem anderen Computer Kontakt aufnehmen..."


"Wir haben keinen Einfluss darauf, falls Ihr Anschluss von außen gescannt wird..."


Und dann haben Sie mir noch den Tipp gegeben mein Betriebssystem stets mit den aktuellen Updates zu versorgen.

Es wurde nicht darauf eingegangen, dass der Server von dem ich gescannt werde, Unitymedia gehört.


Ich habe das in meiner Antwort dann noch einmal etwas deutlicher geschildert.

Wenn nicht Unitymedia Einfluss auf die eigenen Server hat, wer denn dann :confused:

Ilja13
App-Professor
App-Professor

Ist doch sonnenklar. Ein anderer UM-Kunde scannt deine Ports.

Das ist weder illegal noch besorgniserregend, wenn du einen Router hast und das Betriebssystem eine Firewall und die aktuellsten Updates. Da hast du nichts zu befürchten.


Auch dein 3Mbit T*Anschluss wurde sicherlich mit der gleichen Frequenz gescannt.

Gelöschter User
Nicht anwendbar
Ob das nun legal ist, wage ich zu bezweifeln.
Solche Hilfsmittel können selbst innerhalb einer Firma illegal sein, wenn die Benutzer nichts davon wissen. Und da geht es sehr konkret um das Thema Sicherheit oder um Fehlersuche.
Ilja13
App-Professor
App-Professor
Wäre das illegal, können alle Sicherheitsunternehmen, die proaktiv nach Sicherheitslücken bei Firmen suchen, um dann gegen Entgelt die Beratung zur Beseitigung anzubieten, schließen.
Gelöschter User
Nicht anwendbar
Ilja:
Wäre das illegal, können alle Sicherheitsunternehmen, die proaktiv nach Sicherheitslücken bei Firmen suchen, um dann gegen Entgelt die Beratung zur Beseitigung anzubieten, schließen.

Zumindest bei uns läuft es so, dass so ein Unternehmen zunächst mal den Auftrag bekommt und dann der Angriff erfolgt.
Eine seriöse Firma will immerhin damit Geld verdienen und keine Erpressung machen.
Nicht anwendbar
Ilja:

Ist doch sonnenklar. Ein anderer UM-Kunde scannt deine Ports.

Das ist weder illegal noch besorgniserregend



Aber es stört ungemein weil meine Firewall jedes Mal eine Meldung bringt.

Und nein, beim 3kbit Telekom-Anschluss ist das nicht in der Frequenz vorgekommen, da war wenn überhaupt alle paar Tage ein Port Scan...
Und davon auch noch die meisten von meinen eigenen Rechnern.

Mir geht es auch nicht darum, ob es illegal ist oder nicht.
Wobei solche spezielle Sicherheits-Firman natürlich andere Rechte genießen als ein privater Hacker.
Nicht anwendbar
Man sollte es nicht glauben - seit gestern 2:42 ist kein Port Scan mehr durchgeführt worden.

Das Programm hat entweder aufgegeben, weil es nicht durchgekommen ist oder es ist durchgekommen und muss deshalb nicht mehr weiter scannen :sweat_smile:


Dafür geht es jetzt leider auf einem anderen Rechner im Netzwerk weiter...


Falls das Problem noch jemand außer mir haben sollte, hier zwei Möglichkeiten:

- Firewall-Benachrichtigung deaktivieren, falls möglich (bei mir "nur wichtige Benachrichtigungen zeigen")

- Bei der Connect Box: Erweiterte Einstellungen - Sicherheit - Firewall - Aufdeckung von Port-Scan Aktivitäten auswählen.


Ob das hilft, kann ich noch nicht sagen.

Aber es könnte zumindest theoretisch dafür sorgen, dass die Scans erst gar nicht zu den Rechnern hinterm Router durch kommen.



Das Problem an sich ist damit natürlich nicht gelöst aber es wird umgangen.

Ilja13
App-Professor
App-Professor

Wie kommen die Scanns überhaupt durch deinen Router? Hast du dort DMZ aktiviert?

Normalerweise bekommt die Firewall im Rechner nichts davon mit, da die Anfragen bereits am Router abgewiesen werden, da dieser nicht weiß, an wen die Anfrage gerichtet ist.

Nicht anwendbar
Wie schon gesagt, die Connect Box bietet die Option "Aufdeckung von Port-Scan Aktivitäten"

Was auch immer sie dann genau macht.


Aber im Moment habe ich ganz andere Sorgen.

Gestern hatte ich gut eine Stunde lang kein Internet und auch mehrmaliges Neustarten der Connect Box hat nicht geholfen.
Es war sowohl WLAN als auch LAN betroffen und der größte Witz: ich konnte mich nicht mal auf die Connect Box verbinden.


Wenn das so weiter geht, werde ich mir eine Fritz Box holen müssen...