WinFuture-Forum.de: Seltsame ausgehende Verbindung - WinFuture-Forum.de

Zum Inhalt wechseln

Beiträge in diesem Forum erhöhen euren Beitragszähler nicht.
  • 2 Seiten +
  • 1
  • 2

Seltsame ausgehende Verbindung


#1 Mitglied ist offline   halaX 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.731
  • Beigetreten: 29. Oktober 06
  • Reputation: 93

geschrieben 08. März 2014 - 00:27

Hallo,
Meine Firewall meldet seit heute jeweils eine zusätzliche ausgehende Verbindung,
zur gewöhnlicherweise angezeigten Verbindung vom eingestellten Proxy.
Und zwar,wenn ich >diesen Forum Beitrag<
aufrufe bzw. den Tab neu lade wird die IP 31.13.81.87 aufgerufen.
Ist eine IP von Facebook in Irland (IP Bereich 31.13.64.0 - 31.13.127.255) und
möchte auch eine eingehende Verbindung aufbauen.
Firewall Protokoll dazu:
Ausgehend >[attachment=45429:tcpout01.JPG]
Eingehend >[attachment=45428:tcpin.JPG]

Wenn ich >diesen Forum Beitrag<
aufrufe bzw. den Tab neu lade wird zusätzlich die IP 212.252.176.241 aufgerufen.
Sollte eine IP von BCC Business C.C.GmbH (IP Bereich 213.252.128.0 - 213.252.191.255)
in Wolfsburg sein ?? Bei mehrmaliger (WHOIS)Abfrage wurde mir auch
schon ein türkischer Host angezeigt.
Firewall Protokoll dazu:
Ausgehend >[attachment=45427:tcpout02.JPG]

Öffnen der WF-Forum Page allein ist unproblematisch.
Facebook verwende ich nicht,habe auch nichts dergleichen installiert.
Habe alles mit Firefox,Chrome und IE 11 mit selben Ergebnissen getestet.

Beim Aufruf von Beiträgen in anderen Foren,konnte ich kein ähnliches
Verhalten feststellen !

Der PC ist Viren,Maleware etc. regelmäßig gescannt/sauber.
MfG.halaX
EDIT:Also die ausgehende Verbindung zu BCC Business C.C.GmbH(IP 212.252.176.241)
ist mir jetzt klar,das verursacht der Banner "World of Tanks" vom TE @Timm0

Dieser Beitrag wurde von halaX bearbeitet: 08. März 2014 - 00:45

Happy WIN and TUX Computing by halaX
0

Anzeige



#2 Mitglied ist offline   Urne 

  • Gruppe: Moderation
  • Beiträge: 17.829
  • Beigetreten: 12. Juni 05
  • Reputation: 385

geschrieben 08. März 2014 - 00:40

Bist Du eingeloggt oder als Gast hier unterwegs?
Facebook könnte ich mir noch erklären. Da ist ja hier unter jedem Thread so ein Knopf dafür. Müsstest Du dann aber nach meinem Verständnis bei jedem Thread hier bekommen, den Du aufrufst.
Woher die BBC oder Türkei IP da kommt, erschließt sich mir aber nicht.
Alkohol und Nikotin rafft die halbe Menschheit hin und nach alter Sitt und Brauch stirbt die andere Hälfte auch.
0

#3 Mitglied ist offline   halaX 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.731
  • Beigetreten: 29. Oktober 06
  • Reputation: 93

geschrieben 08. März 2014 - 00:49

Hallo Urne,
Bin manchmal eingeloggt,oft auch als Gast hier im Forum.
Unterschied macht das aber bezüglich der Problematik
offensichtlich keinen wie ich festgestellt habe.
MfG.halaX
Happy WIN and TUX Computing by halaX
0

#4 Mitglied ist offline   Q 1 

  • Gruppe: aktive Mitglieder
  • Beiträge: 900
  • Beigetreten: 11. Januar 14
  • Reputation: 96

geschrieben 08. März 2014 - 00:54

212.252.176.241 ist die IP von

Eingefügtes Bild

Signatur von Timm0.
0x00000WTF
0

#5 Mitglied ist offline   halaX 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.731
  • Beigetreten: 29. Oktober 06
  • Reputation: 93

geschrieben 08. März 2014 - 01:10

Hallo Q 1,
Ja,danke für deinen Hinweis,hatte das schon kurz vorher herausgefunden und
im EDIT meines ersten Beitrages angefügt.
Diese ausgehende Verbindung zu Facebook sowie auch eingehende Verbindung
von Facebook ist mir jedoch immer noch nicht klar,weil ich das zur Zeit
tatsächlich nur bei dem einen Beitrag nachvollziehen kann.
Mein Firewall Protokoll macht auch kontinuierlich jede einzelne Verbindung
ersichtlich(Datum/Uhrzeit/Dauer/Port/Protokoll/Aus-/Eingehend/blockiert etc.
Daher fällt mir sofort auf,wenn Veränderungen im Netzwerk auftreten.
MfG.halaX

Dieser Beitrag wurde von halaX bearbeitet: 08. März 2014 - 01:11

Happy WIN and TUX Computing by halaX
0

#6 Mitglied ist offline   Q 1 

  • Gruppe: aktive Mitglieder
  • Beiträge: 900
  • Beigetreten: 11. Januar 14
  • Reputation: 96

geschrieben 08. März 2014 - 01:46

Das kommt nicht von dem Beitrag. Es kommt von diesem Bild weiter oben:

Eingefügtes Bild
0x00000WTF
0

#7 Mitglied ist offline   halaX 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.731
  • Beigetreten: 29. Oktober 06
  • Reputation: 93

geschrieben 08. März 2014 - 02:23

@Q 1,
Also die "Eigenschaften" des Bildes im IE 11 betrachtet,erkenne ich,daß dein Hinweis
völlig richtig ist.

Habe nun schon wieder Neues in einem anderen Beitrag Thread hier im Forum entdeckt und zwar:
>>Dieser Beitrag<<
ruft diese IP 23.23.254.171 auf,ist http://ec2.amazonaws.com/(IP Bereich 23.20.0.0 - 23.23.255.255)
Address: Amazon Web Services, Elastic Compute Cloud, EC2
Address: 1200 12th Avenue South
City: Seattle
StateProv: WA
PostalCode: 98144
Country: US
Es werden da gleichzeitig mehrere Verbindungen hergestellt.
Firewall Teilprotokoll dazu:
[attachment=45431:out01.JPG]
Ist doch alles etwas ominös,warum der Aufruf eines Forum Beitrages dazu führt.
MfG.halaX
EDIT:Korrektur zu Thread angebracht.

Dieser Beitrag wurde von halaX bearbeitet: 08. März 2014 - 03:31

Happy WIN and TUX Computing by halaX
0

#8 Mitglied ist offline   Wiesel 

  • Gruppe: Supermoderation
  • Beiträge: 5.832
  • Beigetreten: 09. Mai 06
  • Reputation: 485

geschrieben 08. März 2014 - 07:18

Ich glaube deine "Firewall" hyperventiliert da ein wenig. Gab es da vielleicht irgend ein Update welches grundsätzlich irgendwelche CDN Server als bösartig ansieht?
Alle Klarheiten beseitigt.
1

#9 Mitglied ist offline   halaX 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.731
  • Beigetreten: 29. Oktober 06
  • Reputation: 93

geschrieben 08. März 2014 - 15:46

Hallo Wiesel,
Meine Firewall protokolliert diese beschriebenen,ausgehendenVerbindungen lediglich und
stuft jene nicht als bösartig ein bzw.blockiert diese Verbindungen.
Gewöhnlicherweise werden Verbindungen zum Winfuture Forum immer nur als ausgehende
Verbindung zu meinem vorgegebenen Proxy Server gelistet,was auch beim Aufruf fast aller
Threads hier(außer der bereits erwähnten) der Fall ist.


Im Fall von >>Diesem Thread<
beschrieben in meinem Beitrag #1 hier,versucht "xx-fbcdn-shv-06-fra2.fbcdn.net" jedoch
auch eine eingehende Verbindung aufzubauen(siehe Bild 2),wird jedoch von der FW geblockt.
Wie von @Q 1 in Beitrag #6 beschrieben,ist jenes eingestellte Bild von @Mootu,Auslöser der
aus-/eingehenden Verbindungen die Ursache,das ist auch nachvollziehbar wenn man die
*"(Grafik)Eigenschaften" des Bildes anzeigen läßt.

Werde gelegentlich mal die Data-Streams beschriebener Verbindungen protokollieren lassen
und diese dann auswerten mit meinem Linux BS.
EDIT:
*Eigenschaften der Grafik:
Ansicht dazu
[attachment=45434:graph01.JPG]
Natürlich wird die besagte Verbindung nun auch in diesem Thread hier aufgebaut,weil das
Bild von @Mootu auch hier in Beitrag #6 eingestellt ist.

Dieser Beitrag wurde von halaX bearbeitet: 08. März 2014 - 16:36

Happy WIN and TUX Computing by halaX
0

#10 Mitglied ist offline   Q 1 

  • Gruppe: aktive Mitglieder
  • Beiträge: 900
  • Beigetreten: 11. Januar 14
  • Reputation: 96

geschrieben 08. März 2014 - 23:45

Welches Programm ist denn da im Einsatz?
0x00000WTF
0

#11 Mitglied ist offline   halaX 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.731
  • Beigetreten: 29. Oktober 06
  • Reputation: 93

geschrieben 09. März 2014 - 04:03

@Q 1,
Zur Zeit nur Windows Boardmittel, GData TotalProtection und diverse Browsererweiterungen.
Das Firewall Protokoll habe ich auf einem separaten Monitor,pro aus-/eingehender Verbindung,
in Echtzeit jederzeit verfügbar.
Bei 99 Prozent meiner Internet Verbindungen,wird beim Verbindungsaufbau zum Zielhost nur
mein voreingestellter Proxy aufgeführt.Alles was den Proxy selbständig umgeht,betrachte ich
als bedenklich.

Schalte ich den Proxy ab,so wird jede einzelne Verbindung protokolliert,d.h.,daß in diesem
Fall, z.B. auch jede einzelne Verbindung zu Werbeservern des WF-Forums gelistet wird.

Warum nun ein eingestelltes Bild bzw. Signatur Banner hier im Forum dazu führt,daß eine
ausgehende Verbindung zu einer ?? IP meinen voreingestellten Proxy umgeht,ist bedenklich.
Noch bedenklicher empfinde ich allerdings,wenn in der Folge eine eingehende Verbindung
dazu versucht wird.

Auf einer z.B weißen Fläche xbeliebige weiße (Grafik)Pixel beliebiger Größe,können allerlei
ausführbaren Code beinhalten,dazu kann es genügen,nur die Page aufzurufen um den
versteckten Code auszuführen,dies gilt nicht nur für besagte Farbe(auch Bilder etc.).
MfG.halaX
Vertrauen ist gut,Kontrolle ist besser !!
Happy WIN and TUX Computing by halaX
0

#12 Mitglied ist offline   Q 1 

  • Gruppe: aktive Mitglieder
  • Beiträge: 900
  • Beigetreten: 11. Januar 14
  • Reputation: 96

geschrieben 09. März 2014 - 04:54

Möglicherweise spielt es eine Rolle, dass beide Bilder unüblicherweise über https eingebunden sind.
0x00000WTF
0

#13 Mitglied ist offline   Wiesel 

  • Gruppe: Supermoderation
  • Beiträge: 5.832
  • Beigetreten: 09. Mai 06
  • Reputation: 485

geschrieben 09. März 2014 - 11:02

Wo wir wieder am Anfang sind.

Das Problem was du hast hat definitiv nichts mit WinFuture zu tun. Warum Facebook versucht eine Verbindung zu dir aufzubauen, kann ich nicht erklären, obwohl ich da eine Vermutung habe (Stichwort: Datenkrake). Und dass https Verbindungen nicht über den Proxy laufen ist auch richtig und sollte man auch tunlichst unterlassen (Stichwort: Man in the Middle). Wo wir wieder bei #8 sind: Hyperventilierende Firewall.
Alle Klarheiten beseitigt.
0

#14 _doll-by-doll_

  • Gruppe: Gäste

geschrieben 10. März 2014 - 14:36

Welchen Router benutzt Du, vielleicht ist dort der Übeltäter zu suchen und die Einstellungen mal überprüfen.
In letzter Zeit gab es ja genug Hinweise diesbezüglich.

Mfg

Dieser Beitrag wurde von doll-by-doll bearbeitet: 10. März 2014 - 14:36

0

#15 Mitglied ist offline   halaX 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.731
  • Beigetreten: 29. Oktober 06
  • Reputation: 93

geschrieben 10. März 2014 - 17:35

Hallo doll-by-doll,
Kein Router Problem,habe dies alles schon eingehend überprüft.
Eigentlich brachte es @Q 1 mit Beitrag #12 hier auf den Punkt.Es ist nicht ungewöhnlich,
wenn hier im Forum eingestellte Bilder/Signaturen etc. welche sich auf einem externen Server
(Upload Space) befinden,durch Aufruf des Threads nachgeladen werden.
Dies und auch die WF-(Werbe)Partnerserver etc.protokolliert meine Firewall als ausgehende
Verbindung nur zu meinem konfigurierten HTTP-Proxy.

Daß HTTPS Verbindungen separat gelistet werden,ist mir natürlich auch klar,für diese
Verbindungen habe ich auch keinen Proxy konfiguriert.
Am Bemerkenswertesten finde ich allerdings,öffnet man diesen Thread bzw.>Diesen Thread<
so baut dort von Beitrag #1 das erste Bild(PC-Gehäuse) eine ausgehende https(443)Verbindung
zu "xx-fbcdn-shv-06-fra2.fbcdn.net(IP31.13.81.87)" auf,ist eine Facebook IP.
Die Grafik Eigenschaft dieses im WF-Forum eingestellten Bildes ist:
"https://scontent-b-fra.xx.fbcdn.net/hphotos-ash3/t1/p180x540/1901397_10203217125368389_1824053085_n. jpg"
Warum aber dann von selbiger IP auch(nicht jedesmal) eine eingehende HTTPS-Verbindung
aufzubauen versucht wird,ist mir nicht ganz geheuer.

Das Verhalten zeigte sich in jedem verwendeten Browser.
Meine FW hyperventiliert auch nicht,die FW prüft nur alle aus-/eingehenden Verbindungen
lt.meinen Vorgaben,protokolliert aber immer u.A. Lokaler Port/Entfernter Port/Protok./Zt.Dauer/
Blocked/Richtung Ein/Aus/Aufruf durch Anwendung/angewendete FW-Regel.
Das FW-Protokoll soll doch auch jede Verbindung meines PC zu einem entfernten Host
ersichtlich zeigen,das ist auch Sinn und Zweck eines FW-Protokolls.
MfG.halaX
Happy WIN and TUX Computing by halaX
0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0