PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Portscanner an SF.com



IMJens
18.02.2021, 01:30
Hallo,

es macht den Anschein, dass auf SF.com ein Portscanner läuft. Zumindest konnte ich das gerade eben eindeutig zuordnen.

Ich hatte letztes Jahr regelmäßig SF.com laufen gehabt und in der Zeit sind mir auch in meinem Router-Log Portscanner-Aktivitäten (Smurf-Angriffe mit fortlaufenden Portnummern) aufgefallen, die ich bisher aber nicht richtig zuordnen konnte, da ich parallel auch überall sonst online unterwegs war.
Nun hatte ich die letzten Wochen und Monate kein SF mehr laufen und etwa zeitgleich hörten auch die Portscanns auf. Hatte aber erst mal keinen Zusammenhang erkannt.

Vorhin hatte ich dann mal wieder über SF eine Sendung geschaut und weil die Web-Verbindung mal wieder lahmte, schaute ich mir mein Router-Log an und – tadaa! – Smurf-Attacken mit ff. Ports in genau dem Zeitfenster wo ich SF eingeschaltet habe.

Ich bin mir jetzt nicht sicher, ob ich hier die Remote-IP (+ whois) posten darf, darum halte ich das mal zurück und liefere das auf Anfrage gerne nach.

Ich gehe mal davon aus, dass das irgend ein Bot sein wird, der übersehen wurde, bzw. dass die Seite ohnehin schon sehr lange nicht mehr tiefer gehend gewartet wurde. – Kein Ding, läuft ja. 😉

Was hat es damit auf sich?
Kann da mal jemand nachgucken?

Nicht dass ich mir Sorgen machen würde, dass hier jemand mit diesen Scripting-Kiddy-Methoden bei mir rein käme, aber es blockiert leider meinen Web-Traffic und das nervt!


Schöne Grüße,
Jens

PeGu
18.02.2021, 18:32
Hallo Jens,

ich hab mal nachgefragt. :D

IMJens
14.03.2021, 18:42
Hallo nochmal,

leider hat sich da bisher immer noch nichts getan.

Es wäre wirklich ganz reizend, wenn das mal endlich jemand abstellen würde!

MCMUPPET
14.03.2021, 20:00
Es wäre wirklich ganz reizend, wenn das mal endlich jemand abstellen würde!Der Vorgang befindet sich weiterhin in Bearbeitung. Sobald eine Antwort vorliegt, wirst Du diese erfahren. Für mich - justmy5Cents - ist das kein Portscann, ... aber wir klären das :).

MfG
MCMUPPET

Administrator
15.03.2021, 15:28
also mal vorweg..wenn wir uns für die Ports unserer User interessieren würden, dann würden wir (als bösen Buben) die zahlreichen IPs die hier anfallen nehmen und in einem gesonderten Portscanner laufen lasse und nicht ins Produkt einbauen, wär ja doof oder? ;-) das schonmal zur Beruhigung falls das Folgende zu technisch ist.

Also bei SF handelt es sich um Peer to Peer Technik. Das bedeutet User tauschen Video-Snippets mit anderen Usern aus. Im Idealfall wird alles, was runtergeladen wird (Streams) auch an andere hochgeaden. Der Traffic läuft also nicht voll über OTR, sondern teilweise (möglichst viel) von User zu User. Nur so ist das finanziell machbar. Die dabei eingesetzten Basistechologien sind open source (z.B. WebRTC) und connecten nur an die Ports, die sie brauchen, um sich Daten zuzusenden. Um überhaupt Teil des Netzwerkes zu werden, erhält der User am Anfang eine IP-Liste anderer User vom Rendevouz Server und connected dann zu diesen Usern. Als bestehender User ist es also normal, wenn sich fremde User anhängen und connecten, zu denen Du dann Daten lieferst (upload). Danach steht ein User mit ca. 10 anderen Usern im Austausch, mal mehr mal weniger. Wenn diese User zu wenig liefern, holt er sich neue Kontakte. An den Thread-Ersteller: Versuch mal das Verhalten anhand des Gesagten nachzuvollziehen. Beste Grüße Simon

IMJens
16.03.2021, 20:50
Der Vorgang befindet sich weiterhin in Bearbeitung. Sobald eine Antwort vorliegt, wirst Du diese erfahren. Für mich - justmy5Cents - ist das kein Portscann, ... aber wir klären das :).

MfG
MCMUPPET

OK. Ich dachte nur, es wäre untergegangen, weil es schon etwas her ist.

Besten Dank für die Info! :)

Cheers

IMJens
16.03.2021, 21:04
also mal vorweg..wenn wir uns für die Ports unserer User interessieren würden, dann würden wir (als bösen Buben) die zahlreichen IPs die hier anfallen nehmen und in einem gesonderten Portscanner laufen lasse und nicht ins Produkt einbauen, wär ja doof oder? ;-)

Vielen Dank erst mal für die ausführliche Info.

Entschuldige, falls ich den Eindruck erweckt haben sollte, dass ich Euch da irgendwas Böses unterstellen wollte. No way!

Ich ging davon aus, dass sich da irgendwo ein Bot eingeschlichen hat, den bisher einfach keiner entdeckt hat, weil SF jetzt nicht so wartungsintensiv ist (wie ich mal vermute).
Kann passieren. ¯\_(ツ)_/¯

Die Remote IP's scheinen auch zu Providern zu gehören, die hier etwas "freizügiger" sind – soweit ich das bisher nachverfolgen konnte.

Alles gut :cool:

Cheers