IPCop-Forum.de

www.ipcop-forum.de


IPCop-Community
CL-Systems
Home Home   Doku Doku   Links Links   Downloads Downloads
UnIPCop Der (Un)IPCop   IFS IPCop-ForumSpy
CopTime CopTime   Galerie IPCop-Galerie   IPCop Userkarte Userkarte
Aktuelle Zeit: 27.05.2018, 09:39

Alle Zeiten sind UTC+02:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 7 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 30.10.2014, 09:17 
Offline
Chief Inspector
Themenstarter
Chief Inspector
Benutzeravatar

Registriert: 23.05.2008
Beiträge: 112
Wohnort: Bönen
Guten Morgen liebes Forum,

ich stehe mal wieder recht verwundert hier.

Zu erst einmal mein IP-Cop:
P4 Dualcore mit 3200 MHz, 4 GB RAM, 2x IDE Festplatte (10GB System, 150GB Update-Accelerator) Rot (statisch hinter PFsense), Grün, Blau
Hinter einer PFsense, weil 2 T-Online 6MBit Anschlüße.

Zu dem Problem:
Laut der Webstatistik habe ich auffallende Einträge für eine Maschiene im Grünen Netz.

Code:
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:40    192.168.100.54    -    http://localhost:7754/command
23:41:40    192.168.100.54    -    http://localhost:27275/command
23:41:40    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:7754/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:27275/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:18821/command
23:41:39    192.168.100.54    -    http://localhost:27275/command


Wie gesagt, es ist der einzige Client hier, wo dies Auftritt.
Wenn ich auf dem IP-Cop das Webproxy-Protokol ansehe, habe ich für gestern 2658471Aufrufe, davon hat der Client .54 alleine 2637562
Insgesamt befinden sich hier aktuell 12 Clients im Grünen und 11 Clients im Blauen Netz.

Ich habe zur fraglichen Zeit auch schon am Client gesessen aber ausser dem Windows-Desktop nichts gesehen. Keinerlei auslastung an der Netzwerkkarte, kein Programm was da nicht hingehörte.
Der Proxy ist von Hand eingetragen worden. Hier wird Windows 7 Professional eingesetzt.

Hat jemand das schon einmal gehabt? Habe mal von der Avast-CD gebootet und den Rechner mal gescannt. Wurde aber nichts festgestellt.

_________________
Bild Bild


Nach oben
   
BeitragVerfasst: 30.10.2014, 09:24 
Offline
Superintendent
Superintendent
Benutzeravatar

Registriert: 27.11.2005
Beiträge: 599
Wohnort: Internet
Ich würde behaupten, dass das ein Trojaner ist, der falsch konfiguriert ist. (statt einer externen IP ist localhost eingetragen, dass die Avast-CD es nicht findet heißt nicht, dass der Rechenr sauber ist). Da du den Proxy manuell einteragen hast, versucht er auch localhost über den Proxy zu erreichen. Da aber keine Daten dahinter liegen, gibts auch keinen traffic, ausser ein Paar Control-Pakete.

Ich empfehle, die betreffende Kiste frisch aufzusetzen und mit allen verfügbaren Updates zu versorgen.

EDIT: Die anderen Maschinen im gleichen Segment mit unterschiedlichen Virenscannern nacheinander prüfen.

_________________
APU3B2 2GB-RAM; Red-Green-Blue-Orange, nun mit IpFire... RIP IpCOP


Nach oben
   
BeitragVerfasst: 30.10.2014, 10:04 
Offline
Chief Inspector
Themenstarter
Chief Inspector
Benutzeravatar

Registriert: 23.05.2008
Beiträge: 112
Wohnort: Bönen
Klar, die CD ist kein Garant.

Aber wenn ich doch auf dem client den Proxy manuell Einträge, ist bei Windows von Haus aus der localhost eingetragen und soll umgangen werden.
Sollten die Einträge denn dann erst gar nicht stattfinden?

Ich sage mal so, es ist ja schön dass die Kiste sich meldet, aber er darf es ja eigentlich nicht.

_________________
Bild Bild


Nach oben
   
BeitragVerfasst: 30.10.2014, 10:11 
Offline
Superintendent
Superintendent
Benutzeravatar

Registriert: 27.11.2005
Beiträge: 599
Wohnort: Internet
Wenn die .54-Kiste aus ist und es dann keine Einträge im Proxy-Log gibt, dann ist sie nicht sauber -> neu aufsetzen. Ist immer die beste Lösung.

PS: auch Trojanerprogrammierer machen Fehler... Willst du das nun wirklich debuggen?

_________________
APU3B2 2GB-RAM; Red-Green-Blue-Orange, nun mit IpFire... RIP IpCOP


Nach oben
   
BeitragVerfasst: 30.10.2014, 10:19 
Offline
Chief Inspector
Themenstarter
Chief Inspector
Benutzeravatar

Registriert: 23.05.2008
Beiträge: 112
Wohnort: Bönen
Ich glaube wir reden aneinander vorbei.
Also neu aufsetzen werd ich ihn gleich.

Ich bin nur der Meinung gewesen, dass wenn ich den Proxy eingetragen habe, und auf dem client die 127.0.0.1 in den Ausnahmen eingetragen habe, dürfte doch nichts im Proxy-Log auftauchen.

Oder hab ich das falsch verstanden?


Das da was nicht stimmt mit dem client ist unbestritten.

_________________
Bild Bild


Nach oben
   
BeitragVerfasst: 30.10.2014, 10:35 
Offline
Superintendent
Superintendent
Benutzeravatar

Registriert: 27.11.2005
Beiträge: 599
Wohnort: Internet
exodar hat geschrieben:
Ich bin nur der Meinung gewesen, dass wenn ich den Proxy eingetragen habe, und auf dem client die 127.0.0.1 in den Ausnahmen eingetragen habe, dürfte doch nichts im Proxy-Log auftauchen.
bei einem normalen Browser oder einem normalen Programm wird das wohl der Fall sein, aber beim Trojaner? Wer weiß denn, wie er die Proxy-Konfig liest und verarbeitet... Ich vermute mal, dass bei den Trojanern öfter mal die Größe der Datei optimiert wird-> weniger Funktionen -> Ausnahmen in der Proxy-Konfig werden nicht verarbeitet... oder was auch immer... nicht weiter darüber nachdenken...

_________________
APU3B2 2GB-RAM; Red-Green-Blue-Orange, nun mit IpFire... RIP IpCOP


Nach oben
   
BeitragVerfasst: 30.10.2014, 11:14 
Offline
Chief Inspector
Themenstarter
Chief Inspector
Benutzeravatar

Registriert: 23.05.2008
Beiträge: 112
Wohnort: Bönen
Jo, passt. Windows installation ist ebend fertig geworden. Jetzt heisst es Updaten ;-)

Danke

_________________
Bild Bild


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 7 Beiträge ] 

Alle Zeiten sind UTC+02:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu Forum:  
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de