[Sonstiges] Einträge im Router-Log

[X5-599]

Hallo Leute

Mir ist klar das vieles was im Router Log steht uninteressant ist. Das sind normale Pings und dergleichen.

Doch es gibt auch anderes.
Seit kurzem quillt mein Router Log vor Einträgen nur so über und ich mache mir langsam Sorgen um mein Netzwerk. Ich habe zwar eine DDNS, aber diese ist aktuell nicht eingerichtet.

Könnt ihr euch die Router Logs mal anschauen und mir sagen das ich mir da wirklich keine Sorgen machen muss?

Auf Wunsch stelle ich die kompletten Logs Online. Es sind in den letzten Tagen etwa 7 volle Logs die mir mein Router per Email geschickt hat.
Der W-LAN Router ist übrigens ein Netgear WNDR3700. Online gehe ich über ein Kabelmodem von UPC-Cablecom Schweiz.
Dessen Passwort und das W-LAN Passwort habe ich ziemlich kompliziert gewählt und ändere es alle paar Monate. Gast-W-LAN wurde nicht eingerichtet.

Hier mal ein kleiner Auszug aus dem aktuellsten Log.

[LAN access from remote] from 61.5.89.236:10718 to 192.168.1.2:5938, Sunday, August 14,2011 13:56:05
[LAN access from remote] from 180.246.41.211:10707 to 192.168.1.2:5938, Sunday, August 14,2011 13:51:28
[LAN access from remote] from 95.33.93.102:49329 to 192.168.1.2:5938, Sunday, August 14,2011 13:51:27
[LAN access from remote] from 77.184.79.94:63141 to 192.168.1.2:5938, Sunday, August 14,2011 13:51:27
[LAN access from remote] from 87.179.191.163:58010 to 192.168.1.2:5938, Sunday, August 14,2011 13:51:27
[LAN access from remote] from 188.154.166.93:3256 to 192.168.1.2:5938, Sunday, August 14,2011 13:51:26
[LAN access from remote] from 213.43.58.136:49781 to 192.168.1.2:5938, Sunday, August 14,2011 13:51:25
[LAN access from remote] from 84.74.191.136:50067 to 192.168.1.2:5938, Sunday, August 14,2011 13:51:24
[LAN access from remote] from 83.77.1.114:59220 to 192.168.1.2:5938, Sunday, August 14,2011 13:51:21
[LAN access from remote] from 81.62.167.35:49334 to 192.168.1.2:5938, Sunday, August 14,2011 12:31:01
[LAN access from remote] from 77.99.20.118:51668 to 192.168.1.2:5938, Sunday, August 14,2011 12:06:51
[LAN access from remote] from 94.96.29.201:52073 to 192.168.1.2:5938, Sunday, August 14,2011 12:06:51
[LAN access from remote] from 78.86.6.237:64188 to 192.168.1.2:5938, Sunday, August 14,2011 12:06:50
[LAN access from remote] from 78.55.28.29:49373 to 192.168.1.2:5938, Sunday, August 14,2011 12:06:46
[LAN access from remote] from 91.44.198.173:49837 to 192.168.1.2:5938, Sunday, August 14,2011 12:06:45
[LAN access from remote] from 85.3.167.215:53894 to 192.168.1.2:5938, Sunday, August 14,2011 12:06:45
[LAN access from remote] from 78.50.18.139:1800 to 192.168.1.2:5938, Sunday, August 14,2011 12:06:45
[LAN access from remote] from 77.56.180.161:55953 to 192.168.1.2:5938, Sunday, August 14,2011 12:06:42
[LAN access from remote] from 178.131.74.214:1949 to 192.168.1.2:5938, Sunday, August 14,2011 11:31:17
[LAN access from remote] from 87.230.74.48:42234 to 192.168.1.2:5938, Sunday, August 14,2011 11:27:33
[DoS Attack: ACK Scan] from source: 62.179.121.48, port 143, Sunday, August 14,2011 11:16:45
[LAN access from remote] from 85.1.6.211:1274 to 192.168.1.2:5938, Sunday, August 14,2011 11:04:46
[LAN access from remote] from 85.1.6.211:2823 to 192.168.1.2:5938, Sunday, August 14,2011 11:04:14
[Time synchronized with NTP server] Sunday, August 14,2011 09:58:30
[Internet connected] IP address: 77.XX.XXX.XX, Sunday, August 14,2011 10:57:33
[LAN access from remote] from 87.230.74.46:38771 to 192.168.1.2:5938, Sunday, August 14,2011 10:02:42
[DoS Attack: RST Scan] from source: 83.245.36.20, port 80, Sunday, August 14,2011 02:58:05

[LAN access from remote] from 87.230.74.46:9257 to 192.168.1.2:5938, Sunday, August 14,2011 09:51:55

Die Firewall im Router ist aktiviert. Zugleich Arbeitet auf dem PC noch eine Software Firewall und Kaspersky AntiVirus in der neusten Version.

[Schwabenpfeil!]

Hm, ich lasse da mal lieber unseren Sicherheitsfachleuten das Feld. Nur ein Hinweis, falls weitere Logs benötigt werden, poste diese bitte nicht in den Beitrag, sondern lade diese als Textdatei bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste nur die Downloadlinks.

Gruß
Schwabenpfeil!

[Freaky]

Fast jedesmal wird über den Port 5938 verbunden. Dieser wird von TeamViewer genutzt. Kann es sein, dass TeamViewer auf einem deiner PCs läuft?

[X-MAN]

Zitat:

Dieser wird von TeamViewer genutzt

Dann ist er ein viel beschäftigter User und hatte Kontakt mit Indonesien, Saudi Arabien, Schweiz, Türkei .... Hier stimmt doch was nicht, kann mich auch irren...

[markusg]

hast du ein standard passwort für den router? dann ender das mal, spiele mal die neuesten firmware updates ein, stelle um auf wpa2 verschlüsselung, falls nocht nicht geschehen. hilft dies.
prüfe außerdem ob du solche software wie teamviewer nutzt.
man könnte auch sicherheitshalber den router komplett auf werkseinstellungen stellen und neu einrichten, mit firmware updates, vernünftiges passwort, wpa 2 verschlüsselung oder wenigstens wpa für wlan.

[X5-599]

@Freaky

Ja ich habe Teamviewer auf meinen Geräten am laufen. Aber die Einträge finden zu Zeiten statt wo definitv keines meiner Geräte Eingeschaltet ist. Es ist nur das Modem und der W-LAN Router On.

@markusg
Wie ich im Startposting erwähnt habe, habe ich das Passwort selber gesetzt, ein relativ kompliziertes und ändere es immer wieder.
Neustes Firmware ist drauf und selbstverständlich auch nur WPA2.

[X-MAN]

Hast du eine feste IP?

[Freaky]

Auf jeden Fall solltest du den PC mit der IP-Adresse 192.168.1.2 einem gründlichen Viren/Trojaner/Mal-/Spyware-Check unterziehen - nur zur Sicherheit. Mit diesem werden nämlich die dauernden Verbindungen hergestellt.

Ausserdem würde ich mir überlegen, ob es wirklich notwendig ist, den TeamViewer dort ständig laufen zu lassen. Ist er geschlossen, sollte auch der Port zu sein und keine Verbindung mehr möglich.

[X5-599]

@X-MAN

Meinst du meine WAN IP oder die IP der Geräte im Netzwerk?

@Freaky
Da ist eine Software Firewall aktiv sowie Kaskersky in der jeweils neusten Version. Dazu kommt Microsofts eigenes Tool zum entfernen bösartiger Dateien sowie gelegentliche Scans mit HiJackThis und dergleichen. Alles ergebnislos.

Ausserdem, da der PC nicht eingeschaltet ist, spielt es ja eh keine Rolle.
Teamviewer läuft wie gesagt auf allen Rechnern mit einem speziell definiertem Passwort und das schon seit Jahren. Diese extermen Log Einträge habe ich erst seit kurzem. Und wie schon gesagt, der PC ist ja noch nicht einmal eingeschaltet.

[Freaky]

Wenn der Rechner wirklich aus ist und TeamViewer somit gar nicht gestartet sein kann, wundert es mich sehr, dass dein Router die Verbindung weiterleitet - und warum er sie gerade an diese interne IP-Adresse weiterleitet?!

Du hast aber keine Portweiterleitung im Router erstellt, oder?

[X-MAN]

Zitat:

Zitat von X5-599

Meinst du meine WAN IP oder die IP der Geräte im Netzwerk?

Ich meine die IP vom Provider.... Meine Frage hat sich erledigt...

Die "Zugriffe" werden Protokolliert und auch diese, wenn der Service TeamViewer nicht gestartet ist, also der PC aus ist.

Hast du nun mit Saudi Arabien usw. Verbindung gehabt, oder nicht?

Zitat:

Dann ist er ein viel beschäftigter User und hatte Kontakt mit Indonesien, Saudi Arabien, Schweiz, Türkei .... Hier stimmt doch was nicht, kann mich auch irren...

[X5-599]

Zitat:

Zitat von Freaky

Wenn der Rechner wirklich aus ist und TeamViewer somit gar nicht gestartet sein kann, wundert es mich sehr, dass dein Router die Verbindung weiterleitet - und warum er sie gerade an diese interne IP-Adresse weiterleitet?!

Du hast aber keine Portweiterleitung im Router erstellt, oder?

Ich komme aktuell kaum noch an den PC. Wenn dann ist es abends kurz vor dem zu Bett gehen, so wie jetzt.
Ich habe mal eines der Logs durchgeschaut und da waren Zeiten drin wo ein "Zugriff" stattfand, wo ich definitiv bei der Arbeit war - der PC somit ausgeschaltet war.
Ich glaube auch nicht das meine Frau am PC war, sie nutzt in der Regel ihr Notebook.

Ich habe bezüglich Portweiterleitungen und dergleichen gesucht. Ist nichts eingetragen. Ein DDNS Account besteht, aber der ist im Router aktuell nicht aktiv.


@X-MAN
Nicht bewusst. Aber vielleicht unbewusst, Email Kontakt, Facebook, Forum oder was auch immer?
Da ich nur der deutschen Sprache mächtig bin, klingt es eher unglaubwürdig.

[an apple a day]

Ich hatte mal so ein SteckdosenInternet (den genauen Begriff kenne ich nicht, aber unten ist ein Bild) und das selbe Problem, ich vermute, dass ein Nachbar auch so ein Teil hatt und, da wir am selben Stromnetz angeschlossen sind mein Internet (unabsichtlich oder absichtlicht) mitnutzte.

Falls du nicht so ein Teil besitzt, schalte das WLan doch einfach mal aus, wenn du aus dem Haus gehst.

[X5-599]

Zitat:

Zitat von an apple a day

Falls du nicht so ein Teil besitzt, schalte das WLan doch einfach mal aus, wenn du aus dem Haus gehst.

Nein ich habe kein D-LAN.
Und was das ausschalten des W-LAN angeht, könnte man mal testen, ich glaube aber nicht dran.

[AHT]

Da versuchen scheinbar Leute deinen Rechner zu hacken - irgendwas passt mit den Einstellungen deines Routers wohl nicht:
[LAN access from remote] Issue..... - Security | DSLReports Forums. Das können auch Defaulteinstellungen sein.
Ich bin da leider nicht der Experte - für mich sieht das aber so aus, als würden Leute von außen deine IP über WINSOCK mit einem bestimmten Port "anpingen". Leitet dein Router diese Anfrage weiter (und das tut er scheinbar), wird an den sendenden Rechner "Erfolg" gemeldet. Dein gegenüber hat dann einen Port der reagiert und man könnte versuchen, vermutlich bei dir laufende Programme, die diesen Port nutzen, von außen dazu zu bewegen Aktionen durchzuführen (man sendet aufs geratewohl quasi Befehle an deinen Rechner).
Solange keine Hintergrunddienste laufen, die auf diese Befehle reagieren könnten oder diese Dienste durch die Firewall geblockt werden, ist das nicht schlimm.
Ich würde mir mal ganz genau den Router vornehmen (Einstellungen). Der scheint Zugriffe auf eine bestimmten Portbereich an einen bestimmten Port weiterzuleiten.

...wie gesagt - bin da leider kein Experte. Habe bislang erst ein Programm geschrieben, was auf der direkten Kommunikation über Ports basiert. Ich habe deshalb nur eine wage Vorstellung davon, was da intern abläuft, mehr nicht.