Ist sowas noch normal

Alles rund um sicherheitsrelevante Fragen und Probleme.
phantom24
Beiträge: 10
Registriert: 25.10.2011 06:47:28

Ist sowas noch normal

Beitrag von phantom24 » 25.10.2011 07:10:15

Hallo Leute,
bin de Martin und hab mich grad hier registriert. War mal S-mod im Opensuse-Forum und kenne mich eigentlich Recht gut mit Linux aus.

da ich seit ca 1/2 - 1 jahr sehr viele Netzwerkprobleme habe und mittlerweile auch schon den Betreiber gewechselt habe, die Polizei eingeschaltet uvm. habe ich mich mal sehr stark mit der Netzwerk thematik befasst. U.a. ist die Einrichtung (für einen User-System) ziemlich übertrieben.
Habe keine Server, SSH oder sonstige Dienste am laufen, die sowas rechtfertigen würden. (Meiner Meinung nach) Netzwerk ist mittlerweile mit arno-iptables + psad + fwsnort und fail2ban eingerichtet und funktioniert auch sehr gut. Es wird schon täglich der Hostname und die Pw gewechselt, manchmal mehrmals am Tag, das ich überhaupt Internet benutzen kann. Bin nur noch stolzer Surfstick Surfer aber egal was ich mache (die haben´s voll auf mich abgesehen. :D
Naja die grundsätzliche Frage die habe, ist :
Edit : Polizei wurde eingeschaltet da sich bei mir jemand unerlaubt Zugriff verschafft hat und ich zusehen konnte wie sich VPN Ports öffneten und wieder geschlossen haben, direkt darauf wurden sogar die log Dateien gelöscht, und ich konnte selbst als root nichts mehr machen, ausser den Ausschaltknopf für 4Sek. drücken.
Ist das NORMAL ???

Sry, finde kein Button für Dateien hier :?: :mrgreen:
NoPaste-Eintrag36011
Zuletzt geändert von Saxman am 25.10.2011 07:48:11, insgesamt 4-mal geändert.
Grund: Nach NoPaste verschoben

phantom24
Beiträge: 10
Registriert: 25.10.2011 06:47:28

Re: Ist sowas noch normal

Beitrag von phantom24 » 25.10.2011 07:11:10

Zuletzt geändert von Saxman am 25.10.2011 07:37:20, insgesamt 2-mal geändert.
Grund: Nach NoPaste verschoben

phantom24
Beiträge: 10
Registriert: 25.10.2011 06:47:28

Re: Ist sowas noch normal

Beitrag von phantom24 » 25.10.2011 07:11:29

Zuletzt geändert von Saxman am 25.10.2011 07:39:15, insgesamt 1-mal geändert.
Grund: Nach NoPaste verschoben

Benutzeravatar
Saxman
Beiträge: 4215
Registriert: 02.05.2005 21:53:52
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: localhost

Re: Ist sowas noch normal

Beitrag von Saxman » 25.10.2011 07:47:44

Du bist hier neu also kennst du dich noch nicht hier aus, deswegen will ich dich mal auf grundsätzliche Verhaltensregeln hier im Forum hinweisen. Zum einen gehören längere Code Schnipsel wie du sie postest bei uns nach NoPaste, thread bumping ist erst nach 24 Stunden ok und rot bleibt hier als Farbe Mods vorbehalten.

Abgesehen davon solltest du deine Frage auch sinnvoll formulieren. Das heißt einen vernünftigen Titel wählen und das Problem eingrenzen und beschreiben. Für einen wie du schreibst ehemaligen Mod, ist das hier ein schlechter Einstand, aber es ist ja noch früh am Morgen, vielleicht liegt es ja daran. :wink:
"Unix is simple. It just takes a genius to understand its simplicity." - Dennis Ritchie

Debian GNU/Linux Anwenderhandbuch | df.de Verhaltensregeln | Anleitungen zum Review und zum Verfassen von Wiki Artikeln.

Colttt
Beiträge: 2983
Registriert: 16.10.2008 23:25:34
Wohnort: Brandenburg
Kontaktdaten:

Re: Ist sowas noch normal

Beitrag von Colttt » 25.10.2011 08:41:47

soo kannst du uns jetzt bitte nochmal genau sagen was dein problem ist?!
Debian-Nutzer :D

ZABBIX Certified Specialist

phantom24
Beiträge: 10
Registriert: 25.10.2011 06:47:28

Re: Ist sowas noch normal

Beitrag von phantom24 » 25.10.2011 08:56:00

Mein Problem besteht darin das jedesmal wenn ich mein Internet benutzen will ich sofort ein Portscan nachdem anderen gemacht bekomme und dadurch mein internet extrem langsam ist, bzw. der Seitenaufbau bis zu 5min. dauert, oder die Meldung kommt "Seite kann nicht angezeigt werden"
Ändere ich mein Hostname kann ich es meistens 15min. benutzen bis es wieder anfängt mit den Portscans und Unprivilegierten Connect Attempts. Und das zu jeder Tages und Nachtzeit.
Ebenso kann ich keine Skype gespräche führen oder sonst noch was. I-net ist ständig ausgelastet.

Gibt es da noch Vorschläge ?

Benutzeravatar
benebeck
Beiträge: 431
Registriert: 14.10.2003 15:37:48
Wohnort: Giessen

Re: Ist sowas noch normal

Beitrag von benebeck » 25.10.2011 09:23:12

phantom24 hat geschrieben: habe ich mich mal sehr stark mit der Netzwerk thematik befasst.
Tja, ich hab zwar kaum Ahnung vom Thema Netzwerk, aber hast Du mal dran gedacht, dass Dein System korrumpiert ist und es daher egal ist, welchen Provider Du nutzt? Schonmal eine Live-CD ausprobiert und dann geschaut, ob es besser wird?

benebeck
The Flying Spaghetti Monster - Touched by His noodly appendage

Benutzeravatar
startx
Beiträge: 3165
Registriert: 07.12.2002 19:29:48
Wohnort: london

Re: Ist sowas noch normal

Beitrag von startx » 25.10.2011 09:35:33

ich verstehe nicht ganz.

haengst du direkt mit einer externen ip am internet? oder hinter einem router via NAT? wenn ersteres, dann ja
es ist ziemlich normal, weil millionen von bots staendig auf zufall alle ip abscannen.

wenn das ein lokales netzwerk ist ( NAT ) und da noch andere (WIndows/Mac) Teilnehmer sind, sind die "portscans" vermutlich einfach suche nach shared folders etc.

das portscans deine internetverbindung verlangsamen glaub ich nicht ganz. eher verlangsamt skype dein netzwerk.

phantom24
Beiträge: 10
Registriert: 25.10.2011 06:47:28

Re: Ist sowas noch normal

Beitrag von phantom24 » 25.10.2011 09:42:19

nun da ich mittlerweile Win XP, Win Vista, Win7, suse 11.1 - 11.4 und Debian 6.0.1 sowie debian 6.0.2 alles durch habe und überall ist es dasselbe Problem.Die Polizei auch nicht helfen kann/konnte ebenso der Provider nur längere anfragen festellen kann, dachte ich auch schon an sowas wie Hw-Keylogger o.ä. Hab auch schon ne neue HDD & Arbeitsspeicher gekauft, WLAN-Karte, Mikrofon und Kamera aus dem Laptop ausgebaut da immer wenn ich es benutzen wollte, angeblich schon das Device belegt ist und erst nach einem Neustart (wenn ich schnell war) funktionierte.

Habe auch schon diverse Videos über Men in the middle angriffe gesehen, und dementsprechend läuft mittlerweile wirklich nur noch das absolut notwendigste, aber das mit den Portscan´s habe ich auch mit allen Möglichen tutorial´ s probiert zu unterbinden, aber scheinbar gibt es nicht wirklich etwas gegen diese stealth-scan.

Bin absolut ratlos was ich noch machen.

Dies war auch der Grund warum ich nicht mehr als Mod aktiv sein kann seit ca einem Jahr
.
edit :

gehe mittlerweile mit einem Surfstick ins internet und Skype ist nur nach bedarf mal an, da es nicht richtig funktioniert. habe mittlerweile auch mit der Freundin mal selber mit nmap getestet und weis daher das so ein Scan schon ziemlich dass System lahmlegt, aber das komische für mich ist ja, dass es soviele verschiedene IP´s sind die mich abscannen, Bei verschiedenen traceroute programmen finden diese dann in z.B. Bulgarien, Afrika, Russland usw. Können auch evtl. TOR oder andere VPN server sein.

Benutzeravatar
startx
Beiträge: 3165
Registriert: 07.12.2002 19:29:48
Wohnort: london

Re: Ist sowas noch normal

Beitrag von startx » 25.10.2011 10:08:28

aber scheinbar gibt es nicht wirklich etwas gegen diese stealth-scan.
naja, doch. wenn dein computer hinter einem router im NAT haengt werden dich portscans kaum erreichen, ausser sie kommen aus dem lokalen netzwerk.
Dies war auch der Grund warum ich nicht mehr als Mod aktiv sein kann seit ca einem Jahr
??

Benutzeravatar
schorsch_76
Beiträge: 2535
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Re: Ist sowas noch normal

Beitrag von schorsch_76 » 25.10.2011 16:06:31

Hi,
persönlich würde ich einfach mal Debianwireshark installieren und auf der Netzwerkkarte lauschen.

Alle andere Anwendungen lässt du aus. Nachdem sich einiges in deinem Wireshark log angesammelt hat, stoppst du das capturing und trennst das Internet.

Lass dir eine Statistik raus, von wo die Angriffe kommen erstellen.

Wähle dich erneut ein und starte soft den Wireshark. Lass nochmals für etwa die selbe Zeit das capturing laufen und trenne dann erneut die INet Verbindung. Ebenfalls Statistik machen woher die Angriffe kommen.

Kuck auch, was für Packete wohin geschickt werden von deinem Rechner aus. Evtl. hast du ja ein Rootkit drauf. Das sollte sich im "reinen Netzwerkverkehr" nicht verstecken können. Idealerweise würde man das capturing auf einem anderen Rechner zwischen dir und dem Inet machen, da hier ein eventuelles Schadprogramm nichts manipulieren kann.

Schickt dein Rechner immer an eine IP ein paar Packete ins Internet und danach fängt das Dilemma an, hast du vermutlich ein Rootkit/Trojaner/whatever drauf. Hier könnte man dann ansetzen und prüfen wo diese IP liegt. Auch wäre möglich, da du ja einen Surfstick nutzt, dass jemand anderes im 10.x.x.x er Netz, das die meisten Surfstick Betreiber nutzen, einfach breit scannt und dann dich eben trifft.

Was aber wichtig ist, dass du ein Muster erkennst, was da los ist. Über die IPs kann u.U. die Polizei dann mehr machen (solange der Angreifer nicht im Ausland sitzt).

Gruß und viel Erfolg

schorsch

[1] Tutorial zu Wireshark: http://www.nwlab.net/tutorials/wireshark/

Gunman1982
Beiträge: 923
Registriert: 09.07.2008 11:50:57
Lizenz eigener Beiträge: MIT Lizenz

Re: Ist sowas noch normal

Beitrag von Gunman1982 » 25.10.2011 16:43:58

Du solltest vielleicht auch überlegen wie sinnvoll es ist dein loopback device per firewall zu sperren. (Sieht jedenfalls anhand deiner logs so aus als ob du das machst)

Wenn du ein System grundsätzlich komplett neu aufsetzt, oder unter Umständen erstmal eine live cd nutzt und das gleiche Verhalten auftritt würde ich vielleicht erstmal von Etwas anderem ausgehen als das dich einer hackt bzw das du einen Trojaner drauf hast oder einem DOS unterliegst.

Vielleicht liegt das problem auch gerade an fail2ban mit false positive identification. Oder am surfstick, vielleicht ne drosselung? Was für Programme hast du laufen? Torrent?

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Ist sowas noch normal

Beitrag von rendegast » 25.10.2011 19:18:44

In Deinen nopaste sind 495 Meldungen,
218 bzgl IN=lo, 86 bzgl SPT=53.

Code: Alles auswählen

$ cat 3601* | egrep  "IN=" | egrep  "SPT=53 " | egrep -o "SRC=[^ ]*" | sort -n | uniq -c
     47 SRC=212.23.97.2
     39 SRC=212.23.97.3

$ host 212.23.97.2
2.97.23.212.in-addr.arpa domain name pointer ns01sn1.eplus.de.

$ host 212.23.97.3
3.97.23.212.in-addr.arpa domain name pointer ns02sn1.eplus.de.
Also Antworten Deiner DNS-Server, eine weitere mögliche Ursache für schlechte Performance.

Entsprechende conntrack-Module werden geladen / benutzt?

Gunman1982 hat geschrieben: oder einem DOS unterliegst.
<->
Habe keine Server, SSH oder sonstige Dienste am laufen,
Was nicht läuft kann nicht geDDOSsed werden.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

Benutzeravatar
startx
Beiträge: 3165
Registriert: 07.12.2002 19:29:48
Wohnort: london

Re: Ist sowas noch normal

Beitrag von startx » 25.10.2011 20:52:39

Du solltest vielleicht auch überlegen wie sinnvoll es ist dein loopback device per firewall zu sperren. (Sieht jedenfalls anhand deiner logs so aus als ob du das machst)
ja, 90% seiner log eintraege sind in der tat einfach packete von lo to lo die von der firewall gedropped werden.

phantom24
Beiträge: 10
Registriert: 25.10.2011 06:47:28

Re: Ist sowas noch normal

Beitrag von phantom24 » 26.10.2011 02:52:44

Hi,
persönlich würde ich einfach mal Debianwireshark installieren und auf der Netzwerkkarte lauschen.
Anstatt wireshark habe ich dies schon mit ettercap überprüft, aber genau blick ich da nicht durch mit diesen ganzen IP´s.
welche IP aber so ziemlich immer auftaucht ist diese 66.220.151.99.
hast du vermutlich ein Rootkit/Trojaner/whatever drauf.
Laut RKhunter habe ich keine rootkits drauf, bis 2 warnungen, welche laut google nichts schlimmes ist. Xzibit rootkit
Du solltest vielleicht auch überlegen wie sinnvoll es ist dein loopback device per firewall zu sperren.
Diesen Eintrag habe ich erst vor Tagen nachträglich gemacht, da ich mittlerweile absolut ratlos bin.
Was für Programme hast du laufen? Torrent?
Nö es läuft absolut kein Filesharing oder sonstige netzwerk Programme welche traffic verbrauchen würden.
Entsprechende conntrack-Module werden geladen / benutzt?
Hier die Ausgabe :

Code: Alles auswählen

lsmod |grep conntrack
nf_conntrack_sip       13546  0 
nf_conntrack_ipv4       9833  26 iptable_nat,nf_nat
nf_defrag_ipv4          1139  1 nf_conntrack_ipv4
xt_conntrack            2407  0 
nf_conntrack_ftp        5537  0 
nf_conntrack           46535  7 nf_conntrack_sip,iptable_nat,nf_nat,nf_conntrack_ipv4,xt_state,xt_conntrack,nf_conntrack_ftp
x_tables               12845  18 xt_string,xt_length,xt_dscp,xt_hl,xt_comment,xt_recent,xt_tcpudp,iptable_nat,ip6_tables,xt_DSCP,xt_TCPMSS,ipt_LOG,ipt_REJECT,xt_multiport,xt_state,xt_limit,xt_conntrack,ip_tables

Benutzeravatar
startx
Beiträge: 3165
Registriert: 07.12.2002 19:29:48
Wohnort: london

Re: Ist sowas noch normal

Beitrag von startx » 26.10.2011 06:44:15

welche IP aber so ziemlich immer auftaucht ist diese 66.220.151.99.
66.220.151.99 ist facebook ;)

Benutzeravatar
schorsch_76
Beiträge: 2535
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Re: Ist sowas noch normal

Beitrag von schorsch_76 » 26.10.2011 08:56:43

phantom24 hat geschrieben:Anstatt wireshark habe ich dies schon mit ettercap überprüft, aber genau blick ich da nicht durch mit diesen ganzen IP´s.
welche IP aber so ziemlich immer auftaucht ist diese 66.220.151.99.
Laut [1] ist ettercap schon seit 6 Jahren! nicht mehr aktualisiert worden. Wireshark kann sehr gut helfen durch den Paketdschungel durchzublicken. Hab gestern ausprobiert, es kann auch von ppp0 Adapter (Surfstick) loggen.

Du kannst IPs ausfiltern von denen du weist was sie sind (bsp. facebook). Über [2] kannst du kucken wo eine IP herkommt bzw wem sie gehört. Du kannst TCP Streams folgen. Klar braucht auch etwas Übung, aber das sollte ja einen Linux Nutzer nicht abschrecken eines seiner Probleme zu lösen ;)

Gruß
schorsch

[1] http://ettercap.sourceforge.net/history.php
[2] http://cqcounter.com/whois/

Benutzeravatar
whisper
Beiträge: 3156
Registriert: 23.09.2002 14:32:21
Lizenz eigener Beiträge: GNU Free Documentation License
Kontaktdaten:

Re: Ist sowas noch normal

Beitrag von whisper » 26.10.2011 09:08:12

Hat der OP schon die Frage nach der Internetverbindung beantwortet? Direkt, oder Router? Welcher Router Irgend welche Port forwarding?
Und die Sache mit der Live CD?

Gunman1982
Beiträge: 923
Registriert: 09.07.2008 11:50:57
Lizenz eigener Beiträge: MIT Lizenz

Re: Ist sowas noch normal

Beitrag von Gunman1982 » 26.10.2011 11:23:50

whisper hat geschrieben:Hat der OP schon die Frage nach der Internetverbindung beantwortet? Direkt, oder Router? Welcher Router Irgend welche Port forwarding?
Und die Sache mit der Live CD?
Da bei ihm ppp0 in den logs auftaucht würd ich von direkt ausgehen.

yeti

Re: Ist sowas noch normal

Beitrag von yeti » 26.10.2011 12:39:29

Gunman1982 hat geschrieben:
whisper hat geschrieben:Hat der OP schon die Frage nach der Internetverbindung beantwortet? Direkt, oder Router? Welcher Router Irgend welche Port forwarding?
Da bei ihm ppp0 in den logs auftaucht würd ich von direkt ausgehen.
Ich tippe aufgrund der Adressen im Log auf eine durch den Provider geNATete Verbindung.

Code: Alles auswählen

$ awk '/ IN=ppp0 / && match($0," DST=[^ ]+ ") { IP[substr($0,RSTART+5,RLENGTH-5)]++ } END { for( i in IP ) printf "%-20s %3d\n",i,IP[i] }' 36011.txt 36012.txt 36013.txt 
10.148.50.67           1
10.148.170.231         8
10.147.93.189          2
10.140.9.45            2
10.138.12.166          9
10.157.13.185          4
10.166.21.168          1
10.138.6.140           1
10.177.51.149          3
10.147.200.197         3
10.166.226.197       218
10.150.8.178          11
10.153.110.190         5

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Ist sowas noch normal

Beitrag von uname » 26.10.2011 13:38:06

Ich finde folgendes interessant:

Code: Alles auswählen

fgrep "10.157.13.185" 36011.txt
Oct 24 10:02:33 MS-WORKGROUP kernel: [  292.197482] AIF:Stealth scan? (UNPRIV): IN=ppp0 OUT= MAC= SRC=213.95.41.13 DST=10.157.13.185 LEN=64 TOS=0x00 PREC=0x00 TTL=49 ID=38061 DF PROTO=TCP SPT=80 DPT=39816 WINDOW=108 RES=0x00 ACK URGP=0 
Oct 24 10:02:37 MS-WORKGROUP kernel: [  295.908416] AIF:Stealth scan? (UNPRIV): IN=ppp0 OUT= MAC= SRC=213.95.41.13 DST=10.157.13.185 LEN=64 TOS=0x00 PREC=0x00 TTL=49 ID=217 DF PROTO=TCP SPT=80 DPT=39818 WINDOW=108 RES=0x00 ACK URGP=0 
Oct 24 10:02:37 MS-WORKGROUP kernel: [  295.908476] AIF:Stealth scan? (UNPRIV): IN=ppp0 OUT= MAC= SRC=213.95.41.13 DST=10.157.13.185 LEN=64 TOS=0x00 PREC=0x00 TTL=49 ID=20382 DF PROTO=TCP SPT=80 DPT=39817 WINDOW=108 RES=0x00 ACK URGP=0 
Oct 24 10:02:38 MS-WORKGROUP kernel: [  296.848431] AIF:Stealth scan? (UNPRIV): IN=ppp0 OUT= MAC= SRC=213.95.41.13 DST=10.157.13.185 LEN=64 TOS=0x00 PREC=0x00 TTL=49 ID=13383 DF PROTO=TCP SPT=80 DPT=39819 WINDOW=108 RES=0x00 ACK URGP=0 

Code: Alles auswählen

host 213.95.41.13
13.41.95.213.in-addr.arpa domain name pointer lisa.ubuntu-eu.org.
Was soll so schlimm am Aufruf dieses Webservers sein, der unter anderem auch noch http://forum.ubuntuusers.de hostet? Kannst du dich erinnern vor zwei Tagen zu der Uhrzeit hingesurft zu sein? Und vielleicht kann jemand diese Logdaten mal deuten und sagen was daran so schlimm sein soll. Vielleicht ist es die fehlende MAC-Adresse oder hast du die selbst rausgefiltert? Die 10er-IP-Adresse war wohl deine intern vergebene IP-Adresse. Welchen Provider hast du zu dem Zeitpunkt genutzt oder nutzt du selbst dieses Subnetz?

deberik
Beiträge: 1177
Registriert: 30.09.2009 13:27:23

Re: Ist sowas noch normal

Beitrag von deberik » 26.10.2011 13:56:00

schorsch_76 hat geschrieben:Laut [1] ist ettercap schon seit 6 Jahren! nicht mehr aktualisiert worden. (...)
[1] http://ettercap.sourceforge.net/history.php
Laut Debian Changelog sind von ettercap im August und September dieses Jahres neue Versionen erschienen.
Debians Paketbeschreibungen übersetzen? Hilf mit!

Benutzeravatar
schorsch_76
Beiträge: 2535
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Re: Ist sowas noch normal

Beitrag von schorsch_76 » 26.10.2011 22:09:27

deberik hat geschrieben:
schorsch_76 hat geschrieben:Laut [1] ist ettercap schon seit 6 Jahren! nicht mehr aktualisiert worden. (...)
[1] http://ettercap.sourceforge.net/history.php
Laut Debian Changelog sind von ettercap im August und September dieses Jahres neue Versionen erschienen.
Danke für den Hinweis :)
Gruß
schorsch

Tutti
Beiträge: 260
Registriert: 25.07.2005 19:37:59

Re: Ist sowas noch normal

Beitrag von Tutti » 26.10.2011 22:36:44

Ich würde ja erstmal, bevor ich alles aufscheuche und analysiere die Systematik dahinter versuchen zu verstehen ...

a) Untersuchen, ob es an deiner Hardware liegt:
-Deine Internetverbindung von einem anderen Rechner (hardware!) aus testen, du sagtest ja Surfstick
-Dein PC woanders ans Internet (zB öffentliches WLAN, Router von Kumpel, ...) anschliessen

b) Untersuchen, ob es mit deinem System zusammenhängt
- Linux Live CD booten. Live CD von anderem Rechner laden und brennen
-Schritte von a) wiederholen

c) Falls du nicht ins Internet gehst und dann einfach so Programme auf und zu machst, bissl rumspielst: Wird dein Rechner dann auch langsam?

Mir kommt das seehr spanisch vor. Das ein Rechner im Internet innerhalb von Minuten wieder identifiziert wird, kann doch nur an einer Software auf dem Rechner liegen. Eine Person hinter dem Rechner _kann_ doch gar nicht identifiziert werden. Ausser du verbindest dich selbst direkt mit irgendwas (eMail, Chat, ...). Der Rechner bekommt irgendeine IP zugewiesen, und das bekommt erstmal keiner mit, ausser er scannt diese IP oder der Rechner teilt sich selbstständig mit (Mal abgesehen davon, dass beim Provider was faul ist, was ich mir wirklcih nicht vorstellen kann). Warum also bist immer nur du betroffen?

Ergo kann es eigentlich nur einer der Gründe von oben sein, oder du bildest dir was ein. Ein Surfstick ist langsam btw, und Portscans kommen ständig rein.

phantom24
Beiträge: 10
Registriert: 25.10.2011 06:47:28

Re: Ist sowas noch normal

Beitrag von phantom24 » 27.10.2011 04:02:03

nun Einbildung ist es bestimmt nicht, seit ich hier angemeldet bin hab ich jetzt folgende Log einträge :

Code: Alles auswählen

Oct 26 15:12:28 ** Stopping Arno's Iptables Firewall v1.9.2k **
Oct 26 15:13:20 ** Starting Arno's Iptables Firewall v1.9.2k **
Oct 26 15:13:22 ** All firewall rules applied **
Oct 26 16:27:13 ** Stopping Arno's Iptables Firewall v1.9.2k **
Oct 26 16:28:01 ** Starting Arno's Iptables Firewall v1.9.2k **
Oct 26 16:28:04 ** All firewall rules applied **
Oct 26 18:29:34 Arno-psad-fail kernel: [ 7306.776067] AIF:Stealth scan? (UNPRIV): IN=ppp0 OUT= MAC= SRC=92.123.64.123 DST=10.172.127.29 LEN=845 TOS=0x00 PREC=0x00 TTL=50 ID=9643 DF PROTO=TCP SPT=80 DPT=53459 WINDOW=218 RES=0x00 ACK PSH URGP=0 
Oct 27 05:38:26 ** Stopping Arno's Iptables Firewall v1.9.2k **
Oct 27 05:39:14 ** Starting Arno's Iptables Firewall v1.9.2k **
Oct 27 05:39:16 ** All firewall rules applied **
Ich surfe noch genauso wenig rum wiie sonst auch, das einzigste Programm welches Kontakt aufnimmt ist KMail, ansonsten Iceweasel, I-net ist seit ich hier bin auch wieder schnell, was auch die log´s bestätigen.

Edit : und ein Surfstick ist schneller wie mein vorheriges 8000er Inet. DL = bis 600Kbyte / UL = bis 200KByte
Surfstick Huawei E1750

Es wurden auch keinerlei Einstellungen mehr vorgenommen

Antworten