PortScan? Kennt jemand die Signatur?

Alles, was nicht direkt mit dem i-Telex System oder technischem Support zu tun hat, im entferntesten Sinne aber noch zum Thema Fernschreiber passt.
Benutzeravatar

FredSonnenrein
Founder
Founder
Beiträge: 2320
Registriert: Fr 3. Jun 2016, 13:49
Wohnort: Braunschweig
Hauptanschluß: 8579924 hawe d

Re: PortScan? Kennt jemand die Signatur?

#11

Beitrag: # 34353Beitrag FredSonnenrein »

Hallo zusammen,
DF3OE hat geschrieben: Di 25. Okt 2022, 17:51 Firmware auf Version über 9xx updaten und ASCII abschalten.
Hinweis damit sich keiner wundert: Der "Wetter-Zustelldienst" und der BND laufen über Ascii. Die werden dann mit abgeschaltet.

Viele Grüße,

Fred
Grüße,
Fred Sonnenrein, Braunschweig
i-Telex 952741 (Lo133), 8579924 (T100s), 781272 (T100), 792911 (T68d) oder 531072 (T.typ.72)
Bei besetzt oder gestört bitte 531002 versuchen.
Benutzeravatar

tasto
Rank 7
Rank 7
Beiträge: 637
Registriert: Di 22. Mär 2022, 15:24
Wohnort: Dresden
Hauptanschluß: 16652 tasto dd

Re: PortScan? Kennt jemand die Signatur?

#12

Beitrag: # 34363Beitrag tasto »

Da die Frage hier in unterschiedlichen Ausprägungen immer mal wieder aufgetaucht ist, hier ein paar Hinweise zu Portscans.

Portscans allein sind per se erst mal kein "Hackversuch", sondern halt tatsächlich "nur" die Prüfung, ob ein Port erreichbar ist oder nicht. Natürlich kann das auch der Vorbereitung eines späteren Angriffs dienen.

Standardtool für einen Portscan ist sicher nmap.

Code: Alles auswählen

By default, Nmap scans the most common 1,000 ports for each protocol.
Wer jetzt wissen möchte, welche diese "1000 meistgenutzten Ports sind, kann das selbst herausfinden mit:

Code: Alles auswählen

nmap -v -oG - | grep "Ports scanned"

Und für diejenigen, die jetzt gerade kein Linux bei der Hand haben, hier das Erfgebnis:
► Text anzeigen

Wie man sieht ist TCP 134 nicht im Default-Scanbereich enthalten, die 1234 aber schon.
Wenn es einem völlig egal ist, über welchen Port sein i-Telex oder piTelex erreichbar ist, lohnt es sich also entweder den Standardport 134 zu nutzen oder einen, der nicht innerhalb der oben genannten 1000 häufigsten liegt.
Folgende Benutzer bedankten sich beim Autor tasto für den Beitrag:
obrecht
78956 vrdpl dd - T51 (Standgehäuse)
16652 tasto dd - T51 (Tischgehäuse)
Benutzeravatar

FredSonnenrein
Founder
Founder
Beiträge: 2320
Registriert: Fr 3. Jun 2016, 13:49
Wohnort: Braunschweig
Hauptanschluß: 8579924 hawe d

Re: PortScan? Kennt jemand die Signatur?

#13

Beitrag: # 34365Beitrag FredSonnenrein »

Danke für die Info.

Sendet den NMAP irgendwas, falls ein Port tatsächlich geöffnet werden kann?
Denn nur wenn irgendwelche Daten kommen, macht das i-Telex etwas. ...was, das hängt von den Daten selbst und der Einstellung der Ethernetkarte ab.

viele Grüße,

Fred
Grüße,
Fred Sonnenrein, Braunschweig
i-Telex 952741 (Lo133), 8579924 (T100s), 781272 (T100), 792911 (T68d) oder 531072 (T.typ.72)
Bei besetzt oder gestört bitte 531002 versuchen.
Benutzeravatar

tasto
Rank 7
Rank 7
Beiträge: 637
Registriert: Di 22. Mär 2022, 15:24
Wohnort: Dresden
Hauptanschluß: 16652 tasto dd

Re: PortScan? Kennt jemand die Signatur?

#14

Beitrag: # 34366Beitrag tasto »

FredSonnenrein hat geschrieben: Mi 26. Okt 2022, 15:01 Sendet den NMAP irgendwas, falls ein Port tatsächlich geöffnet werden kann?
Wenn ich mich richtig erinnere, lief der reine Portscan tatsächlich ausschließlich über gesetzte SYN-Flags auf den jeweiligen Ports, ohne dass besondere Daten gesendet werden.
Es ist aber absolut üblich, diverse andere Optionen beim Scan mit zu aktivieren. Fast standardmäßig wird man zum Beispiel bei unbekannten Zielen auch die OS-Detection (Parameter: -O) mit aktivieren, um zu erfahren, um welches Betriebssystem es sich handelt. Dort werden dann durchaus Port-spezifische Daten gesendet:
OS Detection

One of Nmap's best-known features is remote OS detection using TCP/IP stack fingerprinting. Nmap sends a series of TCP and UDP packets to the remote host and examines practically every bit in the responses. After performing dozens of tests such as TCP ISN sampling, TCP options support and ordering, IP ID sampling, and the initial window size check, Nmap compares the results to its nmap-os-db database of more than 2,600 known OS fingerprints and prints out the OS details if there is a match. Each fingerprint includes a freeform textual description of the OS, and a classification which provides the vendor name (e.g. Sun), underlying OS (e.g. Solaris), OS generation (e.g. 10), and device type (general purpose, router, switch, game console, etc). Most fingerprints also have a Common Platform Enumeration (CPE) representation, like cpe:/o:linux:linux_kernel:2.6.
78956 vrdpl dd - T51 (Standgehäuse)
16652 tasto dd - T51 (Tischgehäuse)
Benutzeravatar

Topic author
obrecht
Rank 7
Rank 7
Beiträge: 624
Registriert: Fr 26. Jun 2020, 18:53
Wohnort: Aachen
Hauptanschluß: 833539 fili d

PortScan? Kennt jemand die Signatur?

#15

Beitrag: # 43719Beitrag obrecht »

Zwischenzeitlich unterstützt piTelex (testing...) auch das Abschalten von eingehenden ASCII-Verbindungen mit

Code: Alles auswählen

"block_ascii" : true / false (default true)
Das hat schonmal viel Ruhe im Karton gebracht. Trotzdem fand ich immer wieder ungültige Verbindungsversuche in den logs, die per exception abgefangen wurden.
Nähere Nachforschungen ergaben dann, dass alle diese Scans von einem Unternehmen namens https://censys.com stammen.
Ein bisschen whois und nslookup / dig lieferte mir dann die folgenden Subnetze von censys als Übeltäter:

206.168.32.0/22
162.142.125.0/24
167.94.138.0/24
167.248.133.0/24
194.169.175.0/24

Die habe ich dann in der Fritzbox mal gesperrt. Es reichte bislang, die IPv4 zu sperren, weil (p)i-telex ja kein IPV6 versteht :)

Seitdem ist Friede Freude Eierkuchen und Ruhe in den logfiles. Bin nur mal gespannt, wann die Leute bei censys die IP-Adressen wechseln.
Hat ggf jemand andere/weitere Erkenntnisse zu den portscan-Urhebern?
Folgende Benutzer bedankten sich beim Autor obrecht für den Beitrag (Insgesamt 4):
detlefReinholdKochBaderbahnjan02
Viele Grüße,
Rolf

71920 actelex d  24/7  (T68d)
833533 rolfac d  24/7  (T100S) 
833538 obrac d   24/7  (FS220)
833539 fili d    24/7  (T100a) 
833540 rowo d    24/7  (T100/R) 
833541 obby d    24/7  (T37h)
833142 rolf d    24/7  (Lo15A) 
Benutzeravatar

roliw
Rank 3
Rank 3
Beiträge: 199
Registriert: Mo 15. Apr 2019, 22:02
Wohnort: CH-6243 Egolzwil, Luzern
Hauptanschluß: 155200

PortScan? Kennt jemand die Signatur?

#16

Beitrag: # 43726Beitrag roliw »

Hallo Rolf,
Auf der Homepage von censys.com kannst Du erfahren, welche IP's auf Deiner
Firewall blockiert werden müssen um die Scans zu stoppen.

Ich habe Censys hier schon längere Zeit mit grossem Erfolg ausgesperrt.

Censys scannt das Internet auf offene Ports und legt die Resultate in
einer Datenbank ab.
Folgende Benutzer bedankten sich beim Autor roliw für den Beitrag:
obrecht
Viele Grüsse
K. Roland Wuethrich
CH-6243 Egolzwil
iTelex:
155200 FS200Z Hauptanschluss 24x7
188200 FS200
199200 t68d
Benutzeravatar

Topic author
obrecht
Rank 7
Rank 7
Beiträge: 624
Registriert: Fr 26. Jun 2020, 18:53
Wohnort: Aachen
Hauptanschluß: 833539 fili d

PortScan? Kennt jemand die Signatur?

#17

Beitrag: # 43728Beitrag obrecht »

roliw hat geschrieben: Mo 22. Apr 2024, 23:18 Hallo Rolf,
Auf der Homepage von censys.com kannst Du erfahren, welche IP's auf Deiner
Firewall blockiert werden müssen um die Scans zu stoppen.
Danke für den Hinweis, aber hast du zufällig eine seiten- URL, wo die Info steht? Augenscheinlich bin ich zu blind und sie zu finden ... Danke für deine Hilfe.
Viele Grüße,
Rolf

71920 actelex d  24/7  (T68d)
833533 rolfac d  24/7  (T100S) 
833538 obrac d   24/7  (FS220)
833539 fili d    24/7  (T100a) 
833540 rowo d    24/7  (T100/R) 
833541 obby d    24/7  (T37h)
833142 rolf d    24/7  (Lo15A) 
Benutzeravatar

Topic author
obrecht
Rank 7
Rank 7
Beiträge: 624
Registriert: Fr 26. Jun 2020, 18:53
Wohnort: Aachen
Hauptanschluß: 833539 fili d

PortScan? Kennt jemand die Signatur?

#18

Beitrag: # 43729Beitrag obrecht »

Opt-outSeite bei censys gefunden!
https://support.censys.io/hc/en-us/arti ... Collection

Da werden die folgenden Subnetze gelistet:

162.142.125.0/24
167.94.138.0/24
167.94.145.0/24
167.94.146.0/24
167.248.133.0/24
199.45.154.0/24
199.45.155.0/24
206.168.34.0/24
2602:80d:1000:b0cc:e::/80
2620:96:e000:b0cc:e::/80
2602:80d:1003::/112
2602:80d:1004::/112

Die müsste man dann auf der Firewall (Fritzbox) sperren.
Folgende Benutzer bedankten sich beim Autor obrecht für den Beitrag:
kulo74
Viele Grüße,
Rolf

71920 actelex d  24/7  (T68d)
833533 rolfac d  24/7  (T100S) 
833538 obrac d   24/7  (FS220)
833539 fili d    24/7  (T100a) 
833540 rowo d    24/7  (T100/R) 
833541 obby d    24/7  (T37h)
833142 rolf d    24/7  (Lo15A) 
Benutzeravatar

roliw
Rank 3
Rank 3
Beiträge: 199
Registriert: Mo 15. Apr 2019, 22:02
Wohnort: CH-6243 Egolzwil, Luzern
Hauptanschluß: 155200

PortScan? Kennt jemand die Signatur?

#19

Beitrag: # 43730Beitrag roliw »

Genau, perfekt!
Viele Grüsse
K. Roland Wuethrich
CH-6243 Egolzwil
iTelex:
155200 FS200Z Hauptanschluss 24x7
188200 FS200
199200 t68d
Benutzeravatar

jan02
Rank 5
Rank 5
Beiträge: 436
Registriert: Mo 29. Nov 2021, 17:24
Wohnort: Georgsmarienhütte
Hauptanschluß: 944219 brupo d

PortScan? Kennt jemand die Signatur?

#20

Beitrag: # 43788Beitrag jan02 »

DF3OE hat geschrieben: Di 25. Okt 2022, 17:51 Hatte dasselbe bei meinem noch nicht upgedateten Zweitsystem.
Firmware auf Version über 9xx updaten und ASCII abschalten.

Am liebsten würde ich ne Webcam-Übertragung einrichten, um den "Angreifer" zu zeigen auf welchem "Server" er hackt. :lol:

Keine Sorge Werner, es kann keiner was kaputt machen.
Bei mir hat tatsächlich das Update schon gereicht, ohne das ich Ascii deaktivieren musste.
Viele Grüße Jan-Frederik

944826 stgmh d T1000S 22 Mo-Fr: 09:00-21:30 Sa+So: 10:00-23:00
944219 brupo d T100S 22 Mo-Fr: 8:00-22:00 Sa+So: 8:30-23:0
944966 heos d Ab/Seriell 22 Leerung unregelmäßig 24h/7d
34110 osnabk d T68d 24 Mo-Fr: 18:30-19:30 Sa+So: 12:30-19:30
981410= jumbo d Minitelex
Antworten

Zurück zu „Talk-Café“