Gestern Nachmittag bemerkte ich zufällig ein andauerndes Flackern der Netzwerk-Aktivitätsanzeige am Router. Zuerst vermutete ich ein Update oder Ähnliches obwohl keine Meldung angezeigt wurde. Nach mindestens 30 Minuten ununterbrochener Aktivität wurde ich misstrauisch und machte eine netstat Abfrage. Folgendes Ergebnis:
Aktive Verbindungen
Proto Lokale Adresse Remoteadresse Status
TCP 192.168.1.66:49168 ec2-34-249-8-91.eu-west-1.compute.amazonaws.com:https HERGESTELLT
TCP 192.168.1.66:49182 192.230.80.121.ip.incapdns.net:http WARTEND
TCP 192.168.1.66:49218 ec2-18-194-2-157.eu-central-1.compute.amazonaws.com:http SCHLIESSEN_WARTEN
TCP [2a02:1205:34f1:64d0:cd68:281:b8a5:7eb7]:49206 [2a01:111:f307:1794::a21]:https HERGESTELLT
TCP [2a02:1205:34f1:64d0:cd68:281:b8a5:7eb7]:49223 [2a01:111:2003::50]:http HERGESTELLT
Hierauf habe ich die Verbindung gekappt. Das Beste: Heute morgen starte ich den PC und das Spiel geht weiter! Und keine Meldung über eventuelle Updates o.ä.
Da rattert ein unbekannter Server maschinengewehrartig in meinen PC ohne dass ich weiss was los ist, geschweige denn dass ich das stoppen kann.
Wozu habe ich eigentlich die Sicherheits-Software von Bluewin abonniert?
System:
PC mit Windows 7
Weiterer PC mit Linux, dort herrscht vollkommenen Ruhe!
Von den von dir im Post genannten Verbindungen gehen 2 per IPv4 von deinem PC zu Amazon, eine per IPv4 zu incapdns.net und zwei per IPv6 zu Microsoft. Dh. alle Verbindungen wurden von deinem PC eröffnet und führen nach draussen in verschiedene Clouds. Klingt mir fürs Erste nicht beunruhigend, insbesondere deutet nichts darauf hin dass der Router irgendwas unerwünschtes reinlässt.
Mit dem Befehl "netstat -o" wird dir zu jeder Verbindung die PID des verantwortlichen Prozesses aufgelistet. Via Task Manager -> Details kannst du dann herausfinden, welcher Prozess sich hinter der PID verbirgt. Das könnten irgendwelche Java-/Adobe-/whatever-Updater sein, Dropbox, MS-Updates oder vieles mehr. Wieviel effektiven Datenverkehr generieren denn die Verbindungen?
Von den von dir im Post genannten Verbindungen gehen 2 per IPv4 von deinem PC zu Amazon, eine per IPv4 zu incapdns.net und zwei per IPv6 zu Microsoft. Dh. alle Verbindungen wurden von deinem PC eröffnet und führen nach draussen in verschiedene Clouds. Klingt mir fürs Erste nicht beunruhigend, insbesondere deutet nichts darauf hin dass der Router irgendwas unerwünschtes reinlässt.
Mit dem Befehl "netstat -o" wird dir zu jeder Verbindung die PID des verantwortlichen Prozesses aufgelistet. Via Task Manager -> Details kannst du dann herausfinden, welcher Prozess sich hinter der PID verbirgt. Das könnten irgendwelche Java-/Adobe-/whatever-Updater sein, Dropbox, MS-Updates oder vieles mehr. Wieviel effektiven Datenverkehr generieren denn die Verbindungen?
Die von Bluewin vertriebene Sicherheitssoftware (keine Ahnung wieso jemand so was überteuert von einem ISP abonniert) hat selbst Verbindungen zur Amazon Cloud, welche sie für die Aktualisierungen braucht. Der Traffic Richtung Amazon wird also ziemlich sicher von der „Sicherheitssoftware“ selbst generiert.
Da Du ja auch noch einen Linux PC hast, bist Du vermutlich nicht gerade ein PC-DAU, deshalb noch ein Praktiker-Tipp:
Kündige die Bluewin-SW auf den nächst möglichen Termin, bringe Deinen Windows PC auf Windows 10 (Lizenz-Key kannst Du falls notwendig auch Online bei Amazon günstig einkaufen) und vertraue rein auf den in Windows 10 von Microsoft bereits eingebauten Windows Defender. Nach neusten unabhängigen Vergleichstests ist der in Zwischenzeit bezgl. Security absolut gleichwertig mit Drittanbieterlösungen, ist aber weil er ein integrierter Teil von Windows selbst ist, garantiert kompatibel mit dem MS-Betriebssystem und kostet auch nichts extra.
Das Update auf Win10 funktioniert auch heute noch von Win7 aus, kostenlos 😉
@gennardo schrieb:Wozu habe ich eigentlich die Sicherheits-Software von Bluewin abonniert?
Ja, das würde ich mich in der Tat fragen... wer man für den Quatsch auch noch die Mondpreise der Swisscom zahlt, ist echt etwas schiefgelaufen 😉
Wie @Werner bereits sagte ist es ironischerweise nicht nur so, dass diese "Sicherheitssoftware" diese "verdächtigen" Verbindungen nicht blockiert, sondern sehr warscheinlich werden diese sogar durch diese "Sicherheitssoftware" ausgelöst. F-Secure verteilt seine Updates etc. nämlich über die Amazon-Cloud. Ich habe dies vor einigen Tagen bereits in einem anderen Thread erwähnt.
Desweiteren telefonieren Windows und andere Softwares auch gerne einmal nach Hause (Telemetriedaten), da muss nicht zwingend gerade ein Update laufen, damit Netzwerktraffic entsteht.
Danke für die hilfreichen Instruktionen. Die betreffenden PIDs verweisen tatsächlich auf F-Secure.
Die allgemein geübte Kritik an der "Bluewin Haus-Sicherheitssoftware" scheint mir berechtigt. Ich habe mit anderen Sicherheitssoftwaren nie einen derart aberwitzigen Traffic erlebt (ca 3/4 Stunden nonstop). Das muss ja beunruhigen.