Sicherheitserkennung: Angriff auf meinen Mediaplayer?

Es gibt 6 Antworten in diesem Thema, welches 598 mal aufgerufen wurde. Der letzte Beitrag () ist von Misux.

    Hallo.


    Ich habe neulich eine Sicherheitsmeldung bekommen:


    Hat jemand eine Idee was das sein könnte?


    Der Player ist nirgends freigegeben. Und der Port auch nicht.


    Und unter "Traffic Information" ist die Aktion "Allowed" muss das so? Und was will derjenige von meinem PLayer?


    Fragen über Fragen...


    Hat jemand eine Idee was es sein könnte?


    Vielen Dank!

    Die IP kommt von der RWTH Aachen.

    Dort sitzen einige IT Spezis, womöglich scannen sie alle möglichen IP um Statistiken über offene Einfallstore zu erstellen.

    Oder du hast ne wechselnde öffentliche IP und der der sie vorher hatte Betrieb ein TOR Relay, dessen Adresse noch bei jemand anderen im Cache stand.

    Solange dies keine dauer Attacke wird ersteinmal beobachten.

    Was war denn die Lösung Misux oder hast Du das Thema gar nicht gelöst?

    Die Meldung kommt VON 137.226.34.46 PORT 80 zu deiner internet IP Port > 1024.


    Das ist üblicherweise die Antwort auf eine Anfrage von Dir nach außen,

    Damit wird das NAT Tor auf deinem Router aufgemacht und die strecke erlaubt.

    Das ist normal uns muss so sonst müsstest du für jeden Dienst im internet explizit

    was einstellen das du raus darfst du antworten wieder rein dürfen.

    (Stichworte: Statefuel Firewall, bzw. eher NAT)


    Damit sieht das also erstmal aus wie normaler HTTP Traffic, der zu dir will,

    weil du nach ihm gefragt hast.

    Code
    :% dig +short -x 137.226.34.46
ftp.halifax.rwth-aachen.de.

    http://ftp.halifax.rwth-aachen.de


    Da steht nämlich was das dies auch ein Mirror ist für... Trommenwirbel:


    OSMC, das MediaPlayer System auf einem Verio Medienplayer...


    Vermutung: es wurden nach Updates gesucht der Server ist es geworden

    weil der in einem Mirror Pool drinnen steht. Meldung gab es weil auf der IP AUCH

    ein Tor Exit mit drauf läuft.


    Würde ich unerwünschten Nebeneffekt nennen. Das nächste mal wird

    sich dein Verio einen anderen Server suchen zum Updateprüfen.

    Oder wenn hier wieder verwiesen wird, wird das IDS wieder 'ne Warnung auspacken.


    Empfehlung: IP Whitelisten, oder Ignorieren / nicht sperren lassen.

    Einmal editiert, zuletzt von gierig ()

    Gefällt mir 2
    Zitat von Misux

    ber wie kommst du auf Port 1024? Es ist doch Port 52746 auf der Ziel IP...

    Mathe für Anfänger :smiling_face:

    "Ip Port > 1024" oder auch "größer als 1024" war als Verallgemeinerung zu verstehen

    Weil der Quell Port einer Verbindung bei TCP grob gewürfelt wird.


    Er muss nur größer als 1024 sein. Alles darüber ist quasi geordneter Wildwuchs und darf

    auch von Clients genutzt werden.


    Wobei die meisten Modernen Betriebsysteme erst bei 5 Stelligen Portnummern anfangen

    (linux ab 32xxx, win ab 49xxxx, ganz genau hab ich das nicht in kopf.


    Müssen sie aber nicht..

    Hihi....

    sag ich ja selber vorbeischauen auf der Webseite reicht völlig aus. Hier meine Meldung...

    Wird sowas von ignoriert....:-)


    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von gierig mit diesem Beitrag zusammengefügt.

    Zitat von gierig

    "Ip Port > 1024" oder auch "größer als

    Ach, so hab ich das ja gar nicht gedeutet... Dachte das es sowas wie ein Pfeil ist. JA, das leuchtet denn natürlich ein. :grinning_squinting_face:


    Zitat von gierig

    Hihi....

    sag ich ja selber vorbeischauen auf der Webseite reicht völlig aus. Hier meine Meldung...

    Wird sowas von ignoriert....:-)


    Ach schau an :grinning_face_with_smiling_eyes:


    Danke! So kann ich wieder ruhiger schlafen.