Archiv verlassen und diese Seite im Standarddesign anzeigen : port 138 connects
Hi,
ich hab in meinem firewall log folgende blocks von verschiedenen Rechnern
unseres lokalen subnetzes gefunden.
es wurden bzw. werden kontinuierlich conntects zu
192.168.120.254 port 138
geblockt.
Was kann das sein?
(hab momentan keinen direkten Zugriff auf alle Clientrechner)
Kampfschildkroe
20.10.05, 11:52
//edit:
ups, sorry.
Afaik läuft SAMBA auf Port 138.
Korrigiert mich wenn ich falsch liege.
Hallo,
bzw. sind die Port für NetBIOS:
netbios-dgm 138/tcp # NETBIOS Datagram Service
netbios-dgm 138/udp
/etc/services kann in solchen Fragen hilfreich sein.
oki doki, hab mich vieleicht auch schlecht ausgedrückt :-)
Das auf port 138 smb connects von statten gehen war mir klar :rolleyes:,
dass eigentliche Problem an der Geschicht war/ist
das diese connects zu einer pseudo privaten IP außerhalb unseres subnetzes von statten gehen!
Hi,
das kann z. B. ein Trojaner oder Rootkit sein, der/das versucht, über diesen Port auf den entsprechenden Rechner zu connecten. Lass doch einfach mal z. B. das hier auf den entsprechenden Hosts laufen, die versuchen zu connecten:
http://www.rootkit.nl/
Ich weiss jetzt noch immer nicht genau, was du meinst... Es kommen Anfragen von außen mit einer lokalen IP Adresse?
Das hört sich dann nach IP-Spoofing an...
habs mehr oder weniger gefunden, das scheint eine default IP vom FRITZ zu sein
;-) auf den alle Clients mit Firtzcard gerne mal connecten wollen...
aber irgentwie komisch ist es schon, aber gut :rolleyes:
192.168.120.254 port 138
TCP oder UDP? Falls UDP stammt das von Windows-Kisten. Diese Broadcasts stellen die "Netzwerkumgebung" zur Verfügung. So wird z.B. auch dieser Müll ins Internet gebroadcasted, wenn das SMB-Gerafell ans externe Interface gebunden wird.
TCP oder UDP? Falls UDP stammt das von Windows-Kisten. Diese Broadcasts stellen die "Netzwerkumgebung" zur Verfügung. So wird z.B. auch dieser Müll ins Internet gebroadcasted, wenn das SMB-Gerafell ans externe Interface gebunden wird.
Windows nutzt die Ports 135, 137, 139 und 445. Ports gehören zwar oft paarweise zusammen (z.B.: 20/21 bei FTP), aber ich kenne keinen regulär eingerichteten Dienst unter Windows, der auf Port 138 Pakete schickt, auch NetBIOS Datagram nicht.
Gruß
L00NIX
aber ich kenne keinen regulär eingerichteten Dienst unter Windows, der auf Port 138 Pakete schickt, auch NetBIOS Datagram nicht.
Ach, und das steht dann zufällig in der services?
netbios-dgm 138/tcp # NETBIOS Datagram Service
netbios-dgm 138/udp # NETBIOS Datagram Service
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.