LAND-Attacken im Log des SMC Barricade g SMCWBR14-G2

Dieses Thema im Forum "SMC Barricade" wurde erstellt von belyu, 18. August 2010.

  1. belyu

    belyu Gelegenheits-User

    Registriert seit:
    18. August 2010
    Beiträge:
    12
    Punkte für Erfolge:
    1
    Hi,

    Seit ein paar Tagen habe ich das Problem, dass icq 7.2 einfach offline und nach ein paar sekunden wieder selbstständig online geht. Auch beim Spielen bricht die verbindung kurzzeitig zusammen, da war es aber bis jetz nur 2 mal. Bei icq ist es relativ häufig.

    Dann hab ich im Log meines Routers folgenden Eintrag sehr oft entdeckt:

    2010-08-17 22:04:31 **LAND** <meine ip>, 3989->> <meine ip>, 80 (from PPPoE1 Inbound)

    Der erste Port (3989) ist dabei bei jedem Eintrag unterschiedlich (von 1100 bis 3990 oder auch andere), die zweite Portangabe ist aber stets 80. Hab gelesen, dass Port 80 vom Webbrowser benutzt wird?

    Habe auch gelesen, dass es sich dabei um eine alte DoS-Attacke handelt, bei der Datenpakete so manipuliert werden, sodass Absender = Empfänger ist. So kommt es zu einem Denial of Service......also die verbindung bricht ab, was bei mir ja der fall ist :( . Es heißt aber auch, dass das meist ein Fehlalarm is.

    Ich habe keine neue software installiert, keine Einstellungen geändert.
    Beim Router ist die Firewall aktiviert, W-LAN deaktiviert, UPNP aktiviert, ip wird von DHCP zugewiesen. Hatte bis jetz nie Probleme mit ihm und alles hatte bis dato seit jahren tadellos funktioniert. AN dem Router hängen nur 2 PC's per Kabel, aber der andere PC ist immer aus, wird nur gelegentlich angestellt.

    Vielleicht liegt es an Schadsoftware?...hab ein hijackthis-scan durchgeführt, konnte aber nix auffälliges finden. ich könnte es euch noch posten? Avira antivir hat nichts gefunden.

    Mein OS : Windows XP SP3 mit eigener aktivierter Firewall

    Browser: Mozilla Firefox 3.6.8 mit ABP, NoScript, Better Privacy

    Antivirus : Avira Antivir 10

    ok..ich denke das war erstmal alles..wenn mir noch etwas einfällt poste ich es noch. Ich hoffe ihr könnt etwas damit anfangen, wer oder was diese Land-Attacken verursacht.

    Vielen Dank im vorraus

    MFG
     
  2. frank.td

    frank.td Moderator

    Registriert seit:
    30. Dezember 2006
    Beiträge:
    27.923
    Punkte für Erfolge:
    243
    Hallo,

    willkommen im Forum.

    Dieses Thema hat zwar mit Routern nichts direkt zu tun, trotzdem schau mal -hier-

    Gruß Frank
     
  3. belyu

    belyu Gelegenheits-User

    Registriert seit:
    18. August 2010
    Beiträge:
    12
    Punkte für Erfolge:
    1
    Hi

    Danke erst einmal für deine Antwort.

    Antivir hat jetzt doch einen Schädling ausmachen können : DR\Kraddare.A

    Ich werde das Problem jetz mal auf Trojaner-Board posten, da die Land-Attacken ja wahrscheinlich von Schadsoftware verursacht werden.

    Ich melde mich wenn es etwas neues gibt, falls es jemanden interessiert.

    Vielen Dank nochmal

    MFG
     
  4. frank.td

    frank.td Moderator

    Registriert seit:
    30. Dezember 2006
    Beiträge:
    27.923
    Punkte für Erfolge:
    243
    Hallo,

    wenn du weißt, wo dieser Trojaner liegt und wie er heißt, kannst du ja auch einen Onlinescan durchführen.
    Es gibt auch sicherlich diverse Entfernungstools.

    Gruß Frank
     
  5. belyu

    belyu Gelegenheits-User

    Registriert seit:
    18. August 2010
    Beiträge:
    12
    Punkte für Erfolge:
    1
    Mahlzeit,

    also ich habe mein Problem mal auf Trojaner-Board gepostet und dort sagt man mir das der angebliche Virenbefall durch DR\Kraddare.A ein Fehlalarm ist. Es handelte sich um ein kleines, nicht schädliches Antiviren-tool, was ich vor längerer Zeit mal benutzt hab :oops:

    Mein System scheint ansonsten sauber zu sein.

    Hat jemand vielleicht eine Idee was ich gegen dies Attacken machen könnte?

    Im Anhang nochmal das gesamte Log des Routers vom 17.08.2010

    Vielen Dank

    MFG

    PS: Die Firmware des Rouetrs ist auf der aktuellsten Version 1.11 (2007) die es gibt.
     

    Anhänge:

  6. frank.td

    frank.td Moderator

    Registriert seit:
    30. Dezember 2006
    Beiträge:
    27.923
    Punkte für Erfolge:
    243
    Hallo,

    hast du die Angriffe auch auf einem anderen PC?

    Gruß Frank
     
  7. belyu

    belyu Gelegenheits-User

    Registriert seit:
    18. August 2010
    Beiträge:
    12
    Punkte für Erfolge:
    1
    Nabend,

    Gute Idee! Ich werde das gleich morgen früh mit dem zweiten Rechner probieren und danach hier Bericht erstatten.

    Also vielen Dank erstmal und einen schönen Abend noch ;) .

    Bis morgen
     
  8. belyu

    belyu Gelegenheits-User

    Registriert seit:
    18. August 2010
    Beiträge:
    12
    Punkte für Erfolge:
    1
    Guten Morgen,

    Ich bin jetz mit dem anderen Rechner online und konnte bis jetzt keine Land's im Router-Log verzeichnen. Auch ICQ hat bis jetzt noch nich disconnected.

    Ratlos.... :confused:


    MFG
     
  9. frank.td

    frank.td Moderator

    Registriert seit:
    30. Dezember 2006
    Beiträge:
    27.923
    Punkte für Erfolge:
    243
    Hallo,

    wieso ratlos, es liegt an deinem PC. Irgendwo "telefoniert" da die spezielle Software.
    Eventuell hilft es, wenn du ihn mal platt machst und alles neu installierst.

    Gruß Frank
     
  10. COMCARGRU

    COMCARGRU Moderator

    Registriert seit:
    8. Juni 2003
    Beiträge:
    1.394
    Punkte für Erfolge:
    38
    Tach,

    wuuu - gruselig hier! Also ein LAND Angriff ist ja erstmal ein Angriff von Außen auf den Router oder PC. Zumindest im Normmalfall, die IP hast du rausgenommen, so dass ich nicht sehen kann ob hier die öffentliche IP angegriffen wird oder eine interne.

    1) Wenn es wirklich ein LAND Angriff ist und du eine dynamische öffentliche IP hast -> Verbindung trennen und neu aufbauen -> dann sollte Schluß sein...

    2) Wenn es wirklich ein LAND Angriff ist und du eine statische öffentliche IP hast -> Provider anrufen -> der sollte herausfinden können wo der Dreck wirklich herkommt

    3) Wenn du eine dynamische öffentliche IP hast -> Verbindung trennen und neu aufbauen -> Wenn dann nicht Schluß ist, behaupte ich mal, es ist kein(!) LAND Angriff. Dann hast du irgendeine Software auf deinem PC, welche Verbindungen nach draussen unterhält. Auf diese Verbindunge kommen Antworten zurück, die dein Router vmtl. fälschlicherweise als LAND-Angriff bezeichnet, obwohl es keiner ist. Falls du sicher bist, dass dein Rechner sauber ist - ignoriere es, oder schau ob für dieses Routermodell entsprechende Fehlermeldungen und der eventuelle Auslöser bekannt ist. Firmware ist aktuell?

    4) Hast du einen DynDNS Account, der immer deine aktuelle IP per DynDNS auflösbar macht? Schalte das DynDNS mal ab und ändere dann deine öffentliche IP. Ist jetzt Ruhe? -> Jemand befeuert deine DynDNS Adresse! -> Ändere diese. Kennen Kumpels von dir deine DynDNS Adresse? -> Dir spielt jemand einen Streich...


    Gruß
    COMCARGRU
     
  11. belyu

    belyu Gelegenheits-User

    Registriert seit:
    18. August 2010
    Beiträge:
    12
    Punkte für Erfolge:
    1
    Mahlzeit,

    Es handelt sich um die öffentliche WAN-IP, die bei jedem Login ins Internet anders ist.

    Es ist die aktuellste Firmware aufgespielt, die es gibt ( V 1.11). Der Router ist 5 Jahre alt und ich habe noch nie vorher solche Land's gehabt.

    Habe auch eifrig gegoogelt und konnte jetz keinen speziellen Zusammenhang dieser Land's mit meinem Router-Modell finden.... In den meisten Forenbeiträgen ist man auch der Meinung, dass das ein Fehlalarm ist.

    ich habe nun entdeckt das die Port-Kontroll-LED am Router, wo mein PC angestöpselt ist, nicht mehr leuchtet...normalerweise müsste sie permanent grün leuchten, egal ob der Rechner an oder aus ist. Auch wenn ich ihn an den anderen Ports anschließe leuchten diese LEDs nicht..... Bei dem anderen Rechner leuchtet die LED immer, auch wenn ich ihn an andere Ports anschließe.

    ---> dieses Problem ist aber erst seit dem Firmware-Update (habe ich erst gestern aufgespielt), also denke ich hat das mit den Lands nichts zu tun.

    Ich habe schon das Problem im Trojaner-Board gepostet und dort untersucht man gerade noch, ob Schadsoftware auf meinem Rechner ist....bis jetz sieht aber alles sauber aus...

    Dynamic DNS ist auch disabled.

    Edit: Habe eben nochmal aufn Router geschaut...jetz leuchtet die Port-LED von meinem Rechner auch auf einmal wieder

    Vielen Dank

    MFG
     
  12. COMCARGRU

    COMCARGRU Moderator

    Registriert seit:
    8. Juni 2003
    Beiträge:
    1.394
    Punkte für Erfolge:
    38
    Tach,

    ich würde mal den technischen Support deines Providers um Hilfe bitten. Also diesen dann insbesondere auch das Log deines Routers zu senden? Benutzt dein Router einen NTP Server oder ist anderweitig sichergestellt, daß dieser eine korrekte Zeitbasis besitzt? Zum Vergleichen von Logs ist das unabdingbar. Ein Log bei deinem Provider wird um einges gewaltiger sein.

    Kannst du defekte Hardware ausschließen? Auch eine kaputte Netzwerkkarte kann viel merkwürdigen Ärger bereiten...

    Sonst bleibt dir noch alles an deinem Rechner was so läuft Abschalten und Stück für Stück wieder in Betrieb nehmen und aufpassen bei welcher Software das Feuerwerk beginnt. - Dazu würde ich vielleicht idealerweise das Log des Routers vom zweiten Rechner aus überwachen. Und immer mit ordentlich Zeitversatz die Dienste wieder hochfahren...

    Kandiaten für mich wären typische IMs wie ICQ oder MS Messenger, VoIP ala Skype oder P2P (macht man sowas heute noch?) - also alles womit man immer wieder eine aktuelle IP herausfinden kann...


    Gruß
    COMCARGRU
     
  13. belyu

    belyu Gelegenheits-User

    Registriert seit:
    18. August 2010
    Beiträge:
    12
    Punkte für Erfolge:
    1
    Nabend,

    Also ich konnte den Übeltäter ausfindig machen : Mozilla Firefox 3.6.8

    Wie gesagt, waren keine Lands vom Router gemeldet worden, als ich mit dem anderen Rechner on war.... auf ihm war noch FF 3.6.6 drauf.

    Als ich ihn auf 3.6.8 updatete und FF neustartete tauchten gleich danach zum ersten mal Lands im Log auf mit der IP dieses Rechners und ICQ disconnectete dann auch zum ersten mal auf jenem Rechner.

    Nun wollte ich einen downgrade von FF machen (hxxp://releases.mozilla.org/pub/mozilla.org/firefox/releases/), aber ich weiß nich wie ich das da runtergeladen kriege und wie zu installieren ist :rolleyes: :)

    MFG
     
  14. pez

    pez Super-User

    Registriert seit:
    29. März 2002
    Beiträge:
    15.828
    Punkte für Erfolge:
    166
    den derzeitigen FF deinstallieren und dann sollte es diese Version sein, hab ich allerdings so auch noch nie gemacht (FF-Downgrade)

    Edit:
    genauso geht es, findest hier...

    bei mir lüft FF auf allen PCs und allen Betriebssystemen
     
  15. frank.td

    frank.td Moderator

    Registriert seit:
    30. Dezember 2006
    Beiträge:
    27.923
    Punkte für Erfolge:
    243
    Hallo,

    bei mir läuft diese FF-Variante tadellos und sicherlich bei sehr vielen Usern auch.

    Nimm die exe von diesem -LINK-
    Wirst ja sehen, ob es wirklich daran lag.

    Gruß Frank
     
  16. belyu

    belyu Gelegenheits-User

    Registriert seit:
    18. August 2010
    Beiträge:
    12
    Punkte für Erfolge:
    1
    ne leider nich, krieg trotzdem Lands. :(

    Hab zwar FF korrekt deinstalliert samt Profilordner und mit CCleaner Registry gesäubert bevor ich 3.6.6 draufgezogen hab, aber naja.

    Versteh ich nich, bei dem anderen Rechner war das so auffällig.... sofort nachm update auf 3.6.8. und neustart...rumms! Lands und ICQ disconnectete und voher war gar nichts :(
     
  17. frank.td

    frank.td Moderator

    Registriert seit:
    30. Dezember 2006
    Beiträge:
    27.923
    Punkte für Erfolge:
    243
    Hallo,

    halte dich mal an die Hinweise von Comcargru.
    Wie ist es mit einem anderen Browser (Google, Opera)?
    Den Mozilla FF mal komplett deinstallieren.

    Gruß Frank
     
  18. pez

    pez Super-User

    Registriert seit:
    29. März 2002
    Beiträge:
    15.828
    Punkte für Erfolge:
    166
    war das mit dem FF Zufall, oder kannst es reproduzieren, also LANDs mit FF, keine LANDs ohne FF?
     
  19. COMCARGRU

    COMCARGRU Moderator

    Registriert seit:
    8. Juni 2003
    Beiträge:
    1.394
    Punkte für Erfolge:
    38
    Nabend,

    ich behaupte es ist ICQ! Irgendeiner bombadiert den Account mit Dreck...

    Gruß
    COMCARGRU
     
  20. belyu

    belyu Gelegenheits-User

    Registriert seit:
    18. August 2010
    Beiträge:
    12
    Punkte für Erfolge:
    1
    Hi,

    Soooooooooo!

    Ich habe gestern Abend den FF mal komplett wieder deinstalliert ( auch Profilordner und Registry gesäubert). Seitdem nutzte ich jetz nur den IE. Ich habe gestern abend und heute den ganzen Tag mit dem IE gesurft, ICQ angehabt und geschrieben und steam angehabt (halt alles benutzt wie immer) und dabei mehrmals den Router-Log nachgesehen.

    Seitdem der FF deinstalliert ist sind keine LANDs mehr im Router-Log....das komplette Log ist fehlerfrei seit FF's Deinstall.

    Es liegt also definitiv am FF ! oder an einem seiner Add-ons oder Plugins?
    Habe ABP, NoScript und BetterPrivacy selbst als Addon hinzugefügt und als Plugins Adobe Shockwaveplayer, Java und diesen Java Quickstarter sowie den Adobe-Linkhelper ( um PDFs gleich in FF zu starten) und ansonsten is nur das mit dabei was von vornherein bei FF schon drin ist (alle sind uptodate!).

    Wie gesagt bei dem anderen Rechner fing das gleiche erst an, nach dem Update von FF auf 3.6.8....wundere mich aber warum nach dem downgrade hier bei mir die Lands immer noch kamen :?

    Ich denke mal ich werde das Bugzilla melden ^^ und solange bis das vllt gefixt ist muss ich wohl Opera o. a. nehmen , habt ihr ne empfehlung für mich ? IE ist mir zu unsicher...

    Würd ja lieber meinen FF benutzen :(


    Gruß und vielen Dank