Swisscom Community – Kunden helfen Kunden
DE
Gelöst
  • Der Fragesteller hat diesen Beitrag als gelöst markiert.
  • Geschlossen

amazonaws attacke

gennardo
Level 1
Level 1
1 von 6
‎09.02.2018 17:26

Gestern Nachmittag bemerkte ich zufällig ein andauerndes Flackern der Netzwerk-Aktivitätsanzeige am Router. Zuerst vermutete ich ein Update oder Ähnliches obwohl keine Meldung angezeigt wurde. Nach mindestens 30 Minuten ununterbrochener Aktivität wurde ich misstrauisch und machte eine netstat Abfrage. Folgendes Ergebnis:

Aktive Verbindungen
   Proto  Lokale Adresse         Remoteadresse          Status
  TCP    192.168.1.66:49168     ec2-34-249-8-91.eu-west-1.compute.amazonaws.com:https  HERGESTELLT
  TCP    192.168.1.66:49182     192.230.80.121.ip.incapdns.net:http  WARTEND
  TCP    192.168.1.66:49218     ec2-18-194-2-157.eu-central-1.compute.amazonaws.com:http  SCHLIESSEN_WARTEN
  TCP    [2a02:1205:34f1:64d0:cd68:281:b8a5:7eb7]:49206  [2a01:111:f307:1794::a21]:https  HERGESTELLT
  TCP    [2a02:1205:34f1:64d0:cd68:281:b8a5:7eb7]:49223  [2a01:111:2003::50]:http  HERGESTELLT

Hierauf habe ich die Verbindung gekappt. Das Beste: Heute morgen starte ich den PC und das Spiel geht weiter! Und keine Meldung über eventuelle Updates o.ä.

Da rattert ein unbekannter Server maschinengewehrartig in meinen PC ohne dass ich weiss was los ist, geschweige denn dass ich das stoppen kann.

Wozu habe ich eigentlich die Sicherheits-Software von Bluewin abonniert?

System:
PC mit Windows 7
Weiterer PC mit Linux, dort herrscht vollkommenen Ruhe!

 

 

Benutzer, die für diese Nachricht Likes vergeben haben

0 Likes
HILFREICHSTE ANTWORT1

Akzeptierte Lösungen
PowerMac
Super User
Super User
2 von 6
‎09.02.2018 18:42

Von den von dir im Post genannten Verbindungen gehen 2 per IPv4 von deinem PC zu Amazon, eine per IPv4 zu incapdns.net und zwei per IPv6 zu Microsoft. Dh. alle Verbindungen wurden von deinem PC eröffnet und führen nach draussen in verschiedene Clouds. Klingt mir fürs Erste nicht beunruhigend, insbesondere deutet nichts darauf hin dass der Router irgendwas unerwünschtes reinlässt.

Mit dem Befehl "netstat -o" wird dir zu jeder Verbindung die PID des verantwortlichen Prozesses aufgelistet. Via Task Manager -> Details kannst du dann herausfinden, welcher Prozess sich hinter der PID verbirgt. Das könnten irgendwelche Java-/Adobe-/whatever-Updater sein, Dropbox, MS-Updates oder vieles mehr. Wieviel effektiven Datenverkehr generieren denn die Verbindungen?

have you tried turning it off and on again?
have you tried turning it off and on again?

Benutzer, die für diese Nachricht Likes vergeben haben

5 Kommentare 5
PowerMac
Super User
Super User
2 von 6
‎09.02.2018 18:42

Von den von dir im Post genannten Verbindungen gehen 2 per IPv4 von deinem PC zu Amazon, eine per IPv4 zu incapdns.net und zwei per IPv6 zu Microsoft. Dh. alle Verbindungen wurden von deinem PC eröffnet und führen nach draussen in verschiedene Clouds. Klingt mir fürs Erste nicht beunruhigend, insbesondere deutet nichts darauf hin dass der Router irgendwas unerwünschtes reinlässt.

Mit dem Befehl "netstat -o" wird dir zu jeder Verbindung die PID des verantwortlichen Prozesses aufgelistet. Via Task Manager -> Details kannst du dann herausfinden, welcher Prozess sich hinter der PID verbirgt. Das könnten irgendwelche Java-/Adobe-/whatever-Updater sein, Dropbox, MS-Updates oder vieles mehr. Wieviel effektiven Datenverkehr generieren denn die Verbindungen?

have you tried turning it off and on again?
have you tried turning it off and on again?

Benutzer, die für diese Nachricht Likes vergeben haben

Werner
Super User
Super User
3 von 6
‎09.02.2018 18:56

@gennardo

Die von Bluewin vertriebene Sicherheitssoftware (keine Ahnung wieso jemand so was  überteuert von einem ISP abonniert) hat selbst Verbindungen zur Amazon Cloud, welche sie für die Aktualisierungen braucht. Der Traffic Richtung Amazon wird also ziemlich sicher von der „Sicherheitssoftware“ selbst generiert.

Da Du ja auch noch einen Linux PC hast, bist Du vermutlich nicht gerade ein PC-DAU, deshalb noch ein Praktiker-Tipp:

Kündige die Bluewin-SW auf den nächst möglichen Termin, bringe Deinen Windows PC auf Windows 10 (Lizenz-Key kannst Du falls notwendig auch Online bei Amazon günstig einkaufen) und vertraue rein auf den in Windows 10 von Microsoft bereits eingebauten Windows Defender. Nach neusten unabhängigen Vergleichstests ist der in Zwischenzeit bezgl. Security absolut gleichwertig mit Drittanbieterlösungen, ist aber weil er ein integrierter Teil von Windows selbst ist, garantiert kompatibel mit dem MS-Betriebssystem und kostet auch nichts extra.

Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom

Benutzer, die für diese Nachricht Likes vergeben haben

FlySmurf
Super User
Super User
4 von 6
Antwort auf Beitrag 3,
‎09.02.2018 19:23

Das Update auf Win10 funktioniert auch heute noch von Win7 aus, kostenlos 😉

Benutzer, die für diese Nachricht Likes vergeben haben

cslu
Level 6
Level 6
5 von 6
‎09.02.2018 20:47
@gennardo schrieb:

Wozu habe ich eigentlich die Sicherheits-Software von Bluewin abonniert?

 

Ja, das würde ich mich in der Tat fragen... wer man für den Quatsch auch noch die Mondpreise der Swisscom zahlt, ist echt etwas schiefgelaufen 😉

Wie @Werner bereits sagte ist es ironischerweise nicht nur so, dass diese "Sicherheitssoftware" diese "verdächtigen" Verbindungen nicht blockiert, sondern sehr warscheinlich werden diese sogar durch diese "Sicherheitssoftware" ausgelöst. F-Secure verteilt seine Updates etc. nämlich über die Amazon-Cloud. Ich habe dies vor einigen Tagen bereits in einem anderen Thread erwähnt.

Desweiteren telefonieren Windows und andere Softwares auch gerne einmal nach Hause (Telemetriedaten), da muss nicht zwingend gerade ein Update laufen, damit Netzwerktraffic entsteht.

 

Benutzer, die für diese Nachricht Likes vergeben haben

0 Likes
gennardo
Level 1
Level 1
6 von 6
Antwort auf Beitrag 2,
‎09.02.2018 22:39

Danke für die hilfreichen Instruktionen. Die betreffenden PIDs verweisen tatsächlich auf F-Secure.

Die allgemein geübte Kritik an der "Bluewin Haus-Sicherheitssoftware" scheint mir berechtigt. Ich habe mit anderen Sicherheitssoftwaren nie einen derart aberwitzigen Traffic erlebt (ca 3/4 Stunden nonstop). Das muss ja beunruhigen.

Benutzer, die für diese Nachricht Likes vergeben haben

0 Likes
Nach oben