xDSL.at

[jutta]

kann mir jemand sagen, was das bedeutet?

Code: Alles auswählen

No.     Time        Source                Destination           Protocol Info
  11930 288.680369  192.168.0.2           192.168.103.39        TCP      3116 > epmap [SYN] Seq=0 Ack=0 Win=64240 Len=0 MSS=1460

Frame 11930 (62 bytes on wire, 62 bytes captured)
Ethernet II, Src: 00:08:02:67:5d:68, Dst: 00:50:2c:08:7d:55
Internet Protocol, Src Addr: 192.168.0.2 (192.168.0.2), Dst Addr: 192.168.103.39 (192.168.103.39)
Transmission Control Protocol, Src Port: 3116 (3116), Dst Port: epmap (135), Seq: 0, Ack: 0, Len: 0

No.     Time        Source                Destination           Protocol Info
  11931 288.700797  192.168.0.2           192.168.162.252       TCP      3182 > epmap [SYN] Seq=0 Ack=0 Win=64240 Len=0 MSS=1460

Frame 11931 (62 bytes on wire, 62 bytes captured)
Ethernet II, Src: 00:08:02:67:5d:68, Dst: 00:50:2c:08:7d:55
Internet Protocol, Src Addr: 192.168.0.2 (192.168.0.2), Dst Addr: 192.168.162.252 (192.168.162.252)
Transmission Control Protocol, Src Port: 3182 (3182), Dst Port: epmap (135), Seq: 0, Ack: 0, Len: 0

No.     Time        Source                Destination           Protocol Info
  11932 288.770968  192.168.0.2           192.168.68.61         TCP      3183 > epmap [SYN] Seq=0 Ack=0 Win=64240 Len=0 MSS=1460

Frame 11932 (62 bytes on wire, 62 bytes captured)
Ethernet II, Src: 00:08:02:67:5d:68, Dst: 00:50:2c:08:7d:55
Internet Protocol, Src Addr: 192.168.0.2 (192.168.0.2), Dst Addr: 192.168.68.61 (192.168.68.61)
Transmission Control Protocol, Src Port: 3183 (3183), Dst Port: epmap (135), Seq: 0, Ack: 0, Len: 0

No.     Time        Source                Destination           Protocol Info
  11933 288.780340  192.168.0.2           192.168.1.71          TCP      3117 > epmap [SYN] Seq=0 Ack=0 Win=64240 Len=0 MSS=1460


geht seitenlang so weiter. 192.168.0.2 ist mein notebook, auf dem zu dem zeitpunkt keine programme gelaufen sind, nur der desktop (win xp home) und ein paar prozesse, die im autostart sind (direct cd, norton ghost, virenscanner) irgendwas schickt da pakete an port 135 von nicht existierenden lokalen ips. 3 virenscanner, adaware und spybot haben nichts verdaechtiges gefunden.

[penguinforce]

hast als virenscanner norton?

[jutta]

nein. avg antivirus (grisoft) und bitdefender. (den onlinscanner von symantec vor zeit zur zeit zusaetzlich zur kontrolle)

[lordpeng]

ich hatte vorige woche bei einem kunden ein ganz ähnliches problem, lag aber daran, dass der dortige funkinternetanbieter alle seine kunden ins selbe class C subnetz geschmissen hat, was jedoch keiner wusste ... so einen pfusch hab ich schon lang nimma gesehen ... ein klassisches beispiel wie mans nicht machen sollte ...

[jutta]

mein ISP ist inode. wenn die einen fehler gemacht haetten, waere es hier oder in der inode newsgroup schon mehr leuten aufgefallen. meine lan ips sind 192.168.0.1 - 192.168.0.5 - da kann ja hoffentlich nicht viel schiefgehen.

wenn ich die andere nic abhoere, sehe ich, dass diese ganzen epmap-anfragen auch rausgehen:

Code: Alles auswählen

No.     Time        Source                Destination           Protocol Info
     12 0.111258    83.64.169.63          172.145.6.111         TCP      1882 > epmap [SYN] Seq=0 Ack=0 Win=64240 Len=0 MSS=1360

Frame 12 (98 bytes on wire, 98 bytes captured)
Ethernet II, Src: 00:09:5b:22:81:79, Dst: 00:d0:ff:3b:c0:00
Internet Protocol, Src Addr: 172.16.201.193 (172.16.201.193), Dst Addr: 10.0.0.138 (10.0.0.138)
Generic Routing Encapsulation (PPP)
Point-to-Point Protocol
Internet Protocol, Src Addr: 83.64.169.63 (83.64.169.63), Dst Addr: 172.145.6.111 (172.145.6.111)
Transmission Control Protocol, Src Port: 1882 (1882), Dst Port: epmap (135), Seq: 0, Ack: 0, Len: 0

No.     Time        Source                Destination           Protocol Info
     13 0.111274    83.64.169.63          172.150.73.211        TCP      1883 > epmap [SYN] Seq=0 Ack=0 Win=64240 Len=0 MSS=1360

Frame 13 (98 bytes on wire, 98 bytes captured)
Ethernet II, Src: 00:09:5b:22:81:79, Dst: 00:d0:ff:3b:c0:00
Internet Protocol, Src Addr: 172.16.201.193 (172.16.201.193), Dst Addr: 10.0.0.138 (10.0.0.138)
Generic Routing Encapsulation (PPP)
Point-to-Point Protocol
Internet Protocol, Src Addr: 83.64.169.63 (83.64.169.63), Dst Addr: 172.150.73.211 (172.150.73.211)
Transmission Control Protocol, Src Port: 1883 (1883), Dst Port: epmap (135), Seq: 0, Ack: 0, Len: 0

No.     Time        Source                Destination           Protocol Info
     14 0.111290    83.64.169.63          172.210.88.235        TCP      1884 > epmap [SYN] Seq=0 Ack=0 Win=64240 Len=0 MSS=1360

Frame 14 (98 bytes on wire, 98 bytes captured)
Ethernet II, Src: 00:09:5b:22:81:79, Dst: 00:d0:ff:3b:c0:00
Internet Protocol, Src Addr: 172.16.201.193 (172.16.201.193), Dst Addr: 10.0.0.138 (10.0.0.138)
Generic Routing Encapsulation (PPP)
Point-to-Point Protocol
Internet Protocol, Src Addr: 83.64.169.63 (83.64.169.63), Dst Addr: 172.210.88.235 (172.210.88.235)
Transmission Control Protocol, Src Port: 1884 (1884), Dst Port: epmap (135), Seq: 0, Ack: 0, Len: 0


hab jetzt mal das notebook vom netz getrennt, bis ich durchblicke, was da laeuft.

[jutta]

also: weitere virenscanner haben auch nichts gefunden, aber nachdem ich im abgesicherten modus auf gut glueck das blaster-tool von ikarus drueber laufen gelassen hatte, war es mit dem zauber vorbei. duerfte also doch eine recht eigenartige blaster-variante gewesen sein.

[Snappy]

ich hatte vorige woche bei einem kunden ein ganz ähnliches problem, lag aber daran, dass der dortige funkinternetanbieter alle seine kunden ins selbe class C subnetz geschmissen hat, was jedoch keiner wusste ... so einen pfusch hab ich schon lang nimma gesehen ... ein klassisches beispiel wie mans nicht machen sollte ...

Kommt mir irgendwie bekannt vor...

[penguinforce]

also: weitere virenscanner

definiere bzw. spezifiziere "weitere".

[Dark SoLdIeR]

Code: Alles auswählen

Frame 11932 (62 bytes on wire, 62 bytes captured)
Ethernet II, Src: 00:08:02:67:5d:68, Dst: 00:50:2c:08:7d:55
Internet Protocol, Src Addr: 192.168.0.2 (192.168.0.2), Dst Addr: 192.168.68.61 (192.168.68.61)

aus der mac-adresse sieht man, dass das zielgerät ne netzwerkkarte mit dem chip der firma SOYO COMPUTER, INC. hat.

vielleicht hilft dir das weiter...

[jutta]

hast mich erwischt genau genommen nur *ein* weiterer - kaspersky antivirus (personal). bitdifender und avg habe ich auch noch einmal laufen lassen, da ich dachte, dass sie mit neuen virendefinitionen vielleicht mehr finden. und ein tool namens hijack-this (oder so aehnlich, bin fern von meinem noebook). das blastertool von ikarus hat nichts gemeldet - weder positiv noch negativ, aber nachher wurden keine derartigen pakete mehr versandt.