Telexforum.de

duddsig hat geschrieben: ↑Di 6. Aug 2019, 16:31 Aber wie kann man sowas finden, wenn man davon keine Ahnung hat?

Also ich würde dazu den Netzwerkverkehr mitprotokollieren und prüfen, ob da irgendetwas intern auf das i-Telex zugreift - z.B. mit dem Windows-Programm Wireshark.
Das Problem ist aber, dass man mit einem Windows-Rechner an einem Netzwerk-Switch nicht's mitbekommt.
Man braucht dazu einen Managed Switch, wo man die Ports entsprechend konfigurieren kann, so dass man an einem Port lauschen kann, was über einen anderen Port geroutet wird (port mirroring).
Oder einen alten Ethernet-Hub ohne Switch-Funktion, der auf allen Ports alles rausroutet.

Wenn man sich mit den Netzwerkprotokollen und der Bedienung von Wireshark nicht so gut auskennt, ist das aber auch mühsam. Ich helfe aber gerne weiter.

Ich habe mir überlegt, daß wenn der Indianer in meinem Privaten Netz sein Unwesen treibt, seine Blutsbrüder fast gleichzeitig bei den Anderen mit giftigen Pfeilen geschossen hätten. Das halte ich für sehr unwahrscheinlich. Ich gehe davon aus, daß es eventuell sogar noch eine Dunkelziffer gibt, bei denen das auch so war. Ich berfürchte eher, daß da jemand gefummelt hat. Wie auch immer.

Jens, Du brauchst wohl nicht nach Pfeilen zu suchen. Das kommt mit 99,98% Sicherheit von externen Angreifern, die alles was sich an Türen öffnen lässt ausprobieren. Im ersten Scan werden offene Ports probiert, die dann mit wenigen Standardanfragen auf dahinter liegende Dienste getestet werden (HTTP, FTP, SMB, SIP...) Wenn sich was interessantes ergibt wird dort weiter Kernforschung betrieben, evtl. auch später.

ProgBernie hat geschrieben: ↑Di 6. Aug 2019, 17:16 Jens, Du brauchst wohl nicht nach Pfeilen zu suchen. Das kommt mit 99,98% Sicherheit von externen Angreifern, die alles was sich an Türen öffnen lässt ausprobieren. Im ersten Scan werden offene Ports probiert, die dann mit wenigen Standardanfragen auf dahinter liegende Dienste getestet werden (HTTP, FTP, SMB, SIP...) Wenn sich was interessantes ergibt wird dort weiter Kernforschung betrieben, evtl. auch später.

Ja, in der Regel ist das so. Aber VoIP-Telefonanlagen treiben manchmal komische Sachen im Netzwerk.
Da prüfe ich inzwischen immer nach, ob die nicht beteiligt ist, wenn im Netzwerk merkwürde Dinge passieren.

detlef hat geschrieben: ↑Di 6. Aug 2019, 17:53 Ja, in der Regel ist das so. Aber VoIP-Telefonanlagen treiben manchmal komische Sachen im Netzwerk.

Das mag so sein. Aber von denen die sich hier gemeldet haben hat nur einer eine solche, ich aber nicht.
Das war sicherlich irgend ein anderes Snüfflstück.
Die zeitliche Übereinstimmung läßt mich an jemanden, der gerade mal bischen Zeit für sowas hatte, und gezielt vorging denken. Wie gesagt, wer weiß wo es noch überall war.

bei Rainer begann es 19:30 und endete 19:32:58 mit Zeitüberschreitung
bei mir begann es 19:59 und endete 20:02:58 mit Zeitüberschreitung
bei Franz begann es 21:24 und endete 21:26:15 mit Zeitüberschreitung, danach noch ein Anruf
bei Marco begann es 21:13 und endete 21:14:08 mit Zeitüberschreitung, danach die SIP-Geschichte

duddsig hat geschrieben: ↑Di 6. Aug 2019, 19:26 Das mag so sein. Aber von denen die sich hier gemeldet haben hat nur einer eine solche, ich aber nicht.
Das war sicherlich irgend ein anderes Snüfflstück.
Die zeitliche Übereinstimmung läßt mich an jemanden, der gerade mal bischen Zeit für sowas hatte, und gezielt vorging denken. Wie gesagt, wer weiß wo es noch überall war.

Ich hatte das auch auf die eine SIP-Meldung bezogen. Ansonsten hat du Recht. Das zeitliche Zusammenfallen spricht dafür, dass da jemand von extern rumgespielt hat.
Ich hatte intensiv gegooglet, mit welchem Tool oder Protokoll man die Options-Zeile erzeugen kann, und dabei habe ich bisher nur Apache gefunden.

Ich habe jetzt was dazu gefunden:
http://www.solutionsatexperts.com/http- ... ng-netcat/

Da war wohl tatsächlich ein Vulnerability Scanner am Werk.