Autor Thema: Wer lauscht auf Port 4665?  (Gelesen 5229 mal)

msunix

  • Gast
Wer lauscht auf Port 4665?
« am: 11. Januar 2003, 18:22:29 »
Hi!

Ich beobachte auf den Firewalls sowohl meines Webservers als auch auf meinem heimischen Router in letzer Zeit ständig Versuche, Verbindungen auf Port 4665 aufzubauen, und zwar von den unterschiedlichsten Rechnern von überallher.
Der Neugierde halber würde mich ganz gerne interessieren, was da üblicherweise auf diesem Port lauscht; ein Trojaner, Virus, ...? ? ?
Ein bekannter Dienst scheint es jedenfalls nicht zu sein.

Servus,
  Michael

mood-indigo.org - Das unabhängige Silicon Graphics User Forum

Wer lauscht auf Port 4665?
« am: 11. Januar 2003, 18:22:29 »

SmellyCat

  • Gast
Re: Wer lauscht auf Port 4665?
« Antwort #1 am: 11. Januar 2003, 19:21:11 »
Du weisst ja selber nur bis incl 1024 sind die Ports fix definiert...  

Das einzig was mir in den Sinn kommt ist eDonkey - es nutzt u. a. diesen Port.
« Letzte Änderung: 11. Januar 2003, 20:28:29 von SmellyCat »

msunix

  • Gast
Re: Wer lauscht auf Port 4665?
« Antwort #2 am: 11. Januar 2003, 19:42:25 »
Hi Mats!

Hm, daran hatte ich noch gar nicht gedacht - stimmt, könnte sein, dass das so Raubkopier-Tools sind. Scannen da die Clients selbständig die Netze nach Gefährten ab, oder machen sich die über zentrale Server bekannt? Ich muss zugeben, dass ich mich mit diesen Sachen noch nie beschäftigt habe...

Die ersten 1024 Ports sind die sog. 'well known Ports', die Dienste, die dort auf den jeweiligen Portnummern laufen werden durch RFC's festgelegt. Aber es gibt auch höhere Portnummern, die von bekannten Diensten benutzt werden, z.B. 6667 von IRC, 8080 von vielen HTTP-Proxies oder auch diverse Streaming-Server, die auf Quasi-Standard-Ports laufen.
Wenn 4665 der 'Standard'-Port von eDonkey ist dann ist alles klar.

Servus,
  Michael

Fafnir

  • Gast
Re: Wer lauscht auf Port 4665?
« Antwort #3 am: 11. Januar 2003, 20:24:00 »
Hm, es kann sein, (und ich bin mir sicher, dass das gemacht wird) dass mittels Portscanner derzeit Hunter im Netz unterwegs sind. Diese, von verschiedenen Institionen Musikindustrie, Softwareentwickler usw.) beauftragt, scannen das Netz nach Client´s wie eDonkey, Kazaa usw. Ich habe selbst ein Programm, mit dem vor allenm die Musikbranche im Netz unterwegs ist. Dieses Programm scannt ganze IP-Bereiche nach derartiger Software. Das funktioniert saugut. Das Program identifiziert die Clients ziemlich sicher. Mit den gewonnen Informationen (legal oder nicht), wie IP und Uhrzeit werden, wie in der Presse zu lesen, die Provider der User abgemahnt. Diese wiederum mahnen die betroffenen End-User ab. Dein Port wird, wie Smelly schon bemerkt hat, von eDonkey und seinen Mod´s benutzt.

SmellyCat

  • Gast
Re: Wer lauscht auf Port 4665?
« Antwort #4 am: 11. Januar 2003, 20:32:44 »
k. A. ich bin kein eDonkey und Co Freak (mit ISDN wäre es auch recht zäh) ich weiss es nur aus der Firma, als ich "Beschwerden" bekam eDonkey würde nicht so richtig laufen.

So machte ich mich auf die Suche nach den Ports die von diesem Tool genutzt werden und ich stiess u. a. eben auf 4665 und 4666.

Wohl weisslich sind diese Ports bei unserer Firmen Firewall immernoch zu und bleiben es *g*

bye

Mats

forstmeister

  • Gast
Re: Wer lauscht auf Port 4665?
« Antwort #5 am: 11. Januar 2003, 21:34:58 »
ist auf jeden Fall edonkey oder Konsorten.
Das passiert immer, wenn du eine IP bekommst,
die vorher einer mit edonkey hatte. Das geht so lange,
bis die anderen Clients mitbekommen haben, dass es
bei dir nichts gibt.

cu
Bernd

msunix

  • Gast
Re: Wer lauscht auf Port 4665?
« Antwort #6 am: 11. Januar 2003, 22:21:17 »
Danke an alle! Damit dürfte das Rätsel um die Verbindungsversuche geklärt sind. Da der Webserver seine IP-Adresse schon seit Jahren hat werden dort wohl die Scanner-Programme aufschlagen. Sind aber doch relativ viel - im Schnitt etwa 10-20 Verbindungsversuche am Tag! Naja, ich werde das wohl mal im Auge behalten.

Servus,
  Michael

stkohl

  • Gast
Re: Wer lauscht auf Port 4665?
« Antwort #7 am: 18. Januar 2003, 03:05:03 »
Heute ist der Axis 560 Printserver gekommen. Jetzt kann ich den Router ins Wohnzimmer zum DSL Modem stellen und einen Swicht und den Printserver in der Nähe meines Ozonerzeugers legen.

Damit bleibt bei der Cat 5 Leitung wieder 4 Leitungen frei für den Firmen ISDN Anschluß.

Jetzt kann meine Frau über den ollen Canon Laptop auch ins Netz und auf die Printer zugreifen.

Ich bin für dieses Mistkabel im Dezember über den Dachboden gekrabelt. Das sieht da Oben aus. Gottogott. Wie in einem Gruselfilm.

majix

  • Gast
Re: Wer lauscht auf Port 4665?
« Antwort #8 am: 18. Januar 2003, 17:55:45 »
@Christoph:
DIese Portscans sind schön lästig - mein Router wird meist erst nach 24 Stunden vom Netz getrennt (Zwangstrennung), da die ganze Zeit irgendwelche Scans sind. Das hat in den letzten Montan ziemlich zugenommen, vor einem Jahr war das noch lange nicht so krass...

Naja, wenigstens habe ich auch keine Volumenbegrenzung.

Offline kippi

  • Mood Newbie
  • *
  • Beiträge: 47
  • Ich mag keine Signaturen!
    • Profil anzeigen
Re: Wer lauscht auf Port 4665?
« Antwort #9 am: 18. Januar 2003, 18:51:03 »
Wir haben hier auch eine Abrechnung nach Übertragungsvolumen und hatten mit den Port-Scans Ärger. Den Provider scheint's nicht zu stören, bei Volumenabrechnung ist jedes Byte, was die näher an die Volumengrenze (und damit der Möglichkeit der zusätzlichen Abrechnung beim Überschreiten) bringt, wohl eher erwünscht. Ich hatte mal einen Logger mitlaufen, die scans gingen über 10 Stunden (!) von unterschiedlichen Source IP-Adressen, so dass man die nicht mal in der Firewall filtern konnte. Zumal die einem selbst zugewiesene IP-Adresse nach der 24 Stunden Zwangstrennung nicht unbedingt wieder die gleiche ist, da geht der Portscan dann evt. wieder von vorne los. Wir haben dann die Firewall so konfiguriert, dass überhaupt nicht mehr auf den Request geantwortet wurde (bei UDP gibt es im Gegensatz zu TCP keine 'successfull connection' message). Dadurch wird dann nicht sofort bei Anfrage 'Destination unreachable' zurückgemeldet, wodurch der Portscanner weiss, dass er mit dem nächsten scan weitermachen kann, sondern die Anfrage ignoriert, bis der Port scanner in den Timeout läuft. Nicht ganz nett, aber wenn man andere Möglichkeit hat ...

ob das  beim Zyxel auch so zu konfigurieren ist, weiss ich nicht. Hier tut's ne Linux Box :-)

Gruß,
Volker

stkohl

  • Gast
Re: Wer lauscht auf Port 4665?
« Antwort #10 am: 19. Januar 2003, 00:04:16 »
Ich habe meinen DSL Anschluß von der Telekom noch ohne Volumenbegrenzung. Die Telekom wollte mich aber zwischendurch zu einem Account mit Minutenabrechnung bewegen, bei doppelter Datenmenge. Ich bleibe doch lieber dabei.

Was vor meinem Router passiert habe ich bis jetzt eigentlich noch nicht erfasst. Ich hoffe immer das mein Router relativ dicht ist. Wissen tue ich es nicht.

Offline kippi

  • Mood Newbie
  • *
  • Beiträge: 47
  • Ich mag keine Signaturen!
    • Profil anzeigen
Re: Wer lauscht auf Port 4665?
« Antwort #11 am: 19. Januar 2003, 14:43:46 »
Den habe ich auch angeboten bekommen ... und abgelehnt. Wie Christoph schon sagt, stimmt nicht mit dem Verhaltensprofil überein. Wenn ich pro Tag 8-10 oder gar 12 Stunden online bin, fragt das email Program nur alle paar minuten die mails ab oder man forscht mal ein paar Minuten im www (z.B. mood-indigo oder ebay  ;D). ISO Images sauge ich eher selten. Damit kommt kaum etwas an Volumen zusammen. Für den Provider allerdings uneffizient. Der muss die DSL - Verbindung trotzdem die ganze Zeit aufrecht erhalten, bei minimaler Bandbrieten Ausnutzung Mir würde sogar 24/7 ISDN - mit Flatrate langen ... meinethalben auch mit Volumenbegrenzung, da macht man lange Downloads halt über Nacht. Aber gibt's das überhaupt noch ???

Grüße,
Volker

msunix

  • Gast
Re: Wer lauscht auf Port 4665?
« Antwort #12 am: 19. Januar 2003, 15:16:29 »
Hi!

Bei einem X-DSL-Anschluss ist die Verbindungsdauer für einen Provider völlig irrelevant, zumindest für _seine_ kosten, denn es ist keine Wählverbindung. Für jeden TDSL-Anschluss muss die Telekom in der Vermittlungsstelle einen festen Port an einem DSLAM (Digital Subscriber Line Access Multiplexer) bereitstellen, Dein DSL-Anschluss ist also quasi eine Standleitung.

Daher ist eine zeitbasierte Abrechnung IMO sowieso schon absoluter Humbuk, denn die Kosten bei Provider laufen allein durch das übertragene IP-Volumen, nicht aber durch die Onlinezeit auf.

Allerdings hat es für die Telegeh natürlich Vorteile, wenn man bei Kunden mit wenig Übertragungsvolumen aber langer Onlinezeit nach Minuten abrechnet, und das versuchen sie wohl immer mehr durchzudrücken.

Übrigens sind wir hier in .de so ziemlich die einzigen, wo DSL-Verbindungen noch nach Zeittakt abgerechnet werden. Dafür hat man auch bei uns mit riesigem Aufwand die Krücke mit dem PPPoE geschaffen. Denn nur über eine PPP-Verbindung kann die Telegeh ohne großen Umstellungsaufwand die Onlinezeit mit ihren alten, aus BTX- und Modem-Zeitalter stammenden Systemen überhaupt erfassen.
Welche enormen Krücken dafür in Kauf genommen werden um an diesem System nichts ändern zu müssen haben wir auch bemerkt, als vor ein paar Jahren die Telekom alle Einwahlknoten mit Ascend/Lucent MaxTNT ausgestattet hat. Die Programmierer haben ein gnazes jahr nur an den Firmware-Anpassungen für die Telekom gearbeitet, alle paar TAGE gab es neue Releases, aber Bugs, die die Telekom damals nicht betrafen (dafür aber uns :( ) wurden nur sehr zögerlich gefixt, weil keiner Zeit dafür hatte...

Bei ISDN ist das anders, das ist eine Wählverbindung und hier fallen die Kosten bei der zeitabhängigen Verbindung an, das IP-Volumen spielt da kaum eine Rolle, darum wird kaum einer einen volumenabhängigen ISDN-Zugang anbieten, das wäre genauso verdreht wie ein zeitabhängiger DSL-Zugang... :-/

Servus,
  Michael
« Letzte Änderung: 19. Januar 2003, 15:21:43 von msunix »

Offline kippi

  • Mood Newbie
  • *
  • Beiträge: 47
  • Ich mag keine Signaturen!
    • Profil anzeigen
Re: Wer lauscht auf Port 4665?
« Antwort #13 am: 19. Januar 2003, 15:41:21 »
Hallo!

@ Michael
Das ist interessant und war mir neu ... wenn es tatsächlich eine Art Standleitung ist, macht eine auf Zeit basierte Abrechnung wirklich keinen Sinn. Ich sitze vor den Hamburg's in Schläfrig Holstein (also auf dem Ländle), da hat's zum einen lange gedauert (über ein Jahr) bevor überhaupt DSL zur Verfügung gestellt werden konnte, zum anderen entstand schon der Eindruck einer Einwahlverbindung. Ich habe damals mit meinem direkten Nachbarn, der auch zeitgleich (nach einem Jah) DSL bekommen hatte, einen Spass draus gemacht uns gleichzeitig 'einzuwählen'. Derjenige, der die DSL Verbindung an den Start brachte, hatte gewonnen. Beide zugleich hatten eigentlich nie eine Chance online zu sein. Zum Glück ist er umgezogen, seitdem habe ich weniger Probleme :D :D .

Tschüß,
Volker

msunix

  • Gast
Re: Wer lauscht auf Port 4665?
« Antwort #14 am: 19. Januar 2003, 16:36:03 »
Hi!

@kippi:
Auch bei mir hat's ewig gedauert, bis endlich TDSL-Light zur Verfügung stand. Ich wohne auch in einem kleinen Kaff auf'm Land, ca. 5km von der Vermittlungsstelle entfernt. Leider ein bisserl zu weit für normales DSL, aber Dsl-Light wurde von der RegTP erst im Herbst 2002 genehmigt. IMO übrigens eine Sauerei, dass die nur die halbe Bandbreite schalten dürfen (384kB/s) obwohl technisch bei mir weitaus mehr gehen würde - schließlich zahle ich ja auch den vollen Preis eines normalen TDSL-Anschlusses. Aber das wurde leider auch von der RegTP so festgesetzt - darum hab ich über die z.Zt. auch keine bessere Meinung als über die Teuerkomm. (Was ich von denen halte hab ich in einem anderen Thread schon mal geschrieben...)

Dass Mehrfach-Einwahl nicht geht ist ganz klar, das hat mit PPP, aber nicht mit dem Transportmedium (DSL) zu tun. Fast alle Provider lassen keine Mehrfach-Einwahl zu, weil sich damit ja mehrere einen Account teilen könnten und so Einnahmen verloren gingen. Auch ist vertraglich die Weitergabe der Account-Daten verboten und ich würde das auch nicht tun. Wenn sich der nette nachbar mit meinem Account irgendwelche Schweinerein aus dem Netz holt kommt die Vorladung vom Staatsanwalt dann zu mir - neh...

@ Christoph:
Lasse doch mal mitloggen, was da so alles ankommt! Dass das alles nur Portscans sind glaube ich nicht. Zumindest bei meinem DSL-Anschluss werden nur sehr wenig portscans geloggt - etwa 1-2 pro Woche, das ist IMO okay. Was viel nerviger ist sind hier die Verbindungsversuche von diesen Raubkopierern, siehe oben. (Für die hab ich aber mittlerweile eine kleine Falle gebaut... ;D )
Aber auch gelegentliche DNS-Abfragen, Abfragen von Zeitservern oder POP-Accounts oder Windows mit seinen dauernden Broadcasts und Scans nach Gefährten kann die Verbindungsaufbauten verursachen.
Hast Du die Ports 137-139 (eingehend und ausgehend) an dem Router gesperrt? Das dürfte schon mal viel helfen, wenn Du einen Wndows-Rechner im Netz hast... Ansonsten kannst Du ja mal einen sniffer mitloggen lassen, was da so alles ankommt.

Servus,
  Michael
« Letzte Änderung: 19. Januar 2003, 16:39:37 von msunix »