Firewall-Einträge verstehen und wie reagieren?



  • Hallo zusammen,

    ich bräuchte mal jemanden, der mir ein wenig hilft, meine Einträge in den Firewall-Logs zu verstehen.
    pfBlockerNG, Listen wie pfB_firehol zeigen mir seit kurzem regelmäßig blockierte Pakete (TCP:R, TCP-S) zu Adressen, die wahrscheinlich zu Botnetzen gehören.

    Ich habe hinter meinem Telekom-Router eine APU-2 mit VPN. Daran ist hauptsächlich ein Laptop ausschließlich mit diversen Linux-VMs angeschlossen. Als Quelle werden regelmäßig sowohl 192.168.1 Adressen als auch von der Netzwerk-VM, also 10.137.10.10 Adressen, aufgeführt.

    Bedeutet das, dass der Rechner und/oder der Router infiziert sind? Wie kann ich das am besten herausfinden? Über Wireshark?
    Wie gefährdet sind meine persönlichen Daten?
    Ich benutze schon seit Längerem das Qubes OS und habe jeweils verschiedene VPN den jeweiligen VMs zugeordnet. Bisher dachte ich, dass da nicht so viel passieren sollte, bin mir aber nun fast sicher, dass irgendwo ein Trojaner oder sonstige Schadsoftware sitzt.

    Über Hilfe wäre ich sehr dankbar.



  • Ich versuche es noch mal mit der Bitte um Nachsicht bei meinen Beschreibungen:

    Hier ein paar geordnete Informationen:

    Source IP ist die des VPN-LAN der Pfsense-Box
    Destination: z.B. 176.10.107.180, die dem Gozi botnet zugeordnet wird
    Protocol: TCP-S

    Aufgefallen sind die Verbindungen über pfBlockerNG/ pfB_Firehol. Wie schon beschrieben habe ich an der pfsense-box ein Laptop mit Qubes 3.2. Die Einträge sind erst seit ein paar Tagen und nicht besonders zahlreich.

    Meine Frage: wie würde jemand, der sich wirklich auskennt, diese Einträge interpretieren und wie weiter vorgehen? TCPDUMP und Wireshark in den einzelnen VMs?
    Ist es wahrscheinlich oder unwahrscheinlich, dass der Rechner infiziert ist?
    Ein Muster konnte ich nicht erkennen, d.h. ich kann die Verbindung nicht mit dem Aufruf einer Webseite in Verbindung bringen.

    Der Router scheint in Ordnung zu sein, es waren keine Veränderungen in der Konfiguration, allerdings Einträge "DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)", die auf der Seite der Telekom meist auf gescheiterte Verbindungsversuche von Geräten im Netzwerk zurückgeführt werden. Bei mir sind nur pfsense und Laptop im Heimnetzwerk.

    Für Hilfe bin ich immer noch dankbar.



  • die angegebene ip ist nicht nur dem botnet zuzuordnen, da läuft anscheinend auch ein tor-ausgang (https://www.virustotal.com/en/ip-address/176.10.107.180/information/). nutzt du tor in den vms?



  • Hallo Birke,

    danke für die Rückmeldung!

    Tor nutze ich eher selten, allerdings halte ich die Whonix-templates, was Updates anbelangt, stets auf dem Laufenden. Ich habe in den letzten Tagen auch Qubes 4 eingerichtet, da war Whonix noch im Autostart. Den Tor-Browser habe ich jedoch nicht gestartet und ebenfalls nur Updates durchgeführt.

    Womöglich tauchten deshalb Verbindungen in der Firewall auf? Allerdings war ich mir fast sicher, dass die auch ohne Tor/Whonix zu sehen waren, da ich die Updates nur etwa 1-2 Mal die Woche mache. Fast sicher, denn ich habe keinen neuen Eintrag mehr und meine Routinen in den letzten beiden Tagen nicht geändert.

    Meine Befürchtungen bezüglich Schadsoftware waren womöglich etwas voreilig und leicht panisch, aber wo genau die Einträge herrühren, weiß ich immer noch nicht.



  • welche blocklisten nutzt du? wir nutzen einige liste und da taucht die angegebene ip zb nicht auf.
    vielleicht ist die ip fälschlicherweise auf der liste gelandet, da es ein tor-exit ist.



  • Die Warnungen tauchten alle in der FireHOL-Liste auf, da war ich im ersten Beitrag zu unpräzise.

    Ich habe, seit ich hier danach fragte, keine derartigen Einträge mehr in den Logs. Ich werde das weiter beobachten, kann mir aber nun vorstellen, dass das mit Tor und der Einrichtung von Qubes 4 zu tun hatte. Ich kann nicht mehr genau sagen, ob ich den Haken bei Autostart für Whonix erst nach ein paar Tagen oder gleich heraus genommen habe.

    Der VM Manager unter Qubes 4 hat im Vergleich zu 3.2 noch sehr  viele kleine Probleme, u.a. in der Anzeige von gestarteten VMs, so dass es durchaus möglich sein kann, dass ich beim Lösen anderer Probleme Whonix mal nicht sofort geschlossen habe, weil ich es schlicht vergessen habe und deshalb vielleicht im Hintergrund diverse Verbindungen bestanden?
    Klingt das plausibel, auch wenn der Tor-Browser gar nicht geöffnet war?



  • das kann ich dir nicht wirklich beantworten, kenne mich mit qubes/whonix/tor nicht wirklich aus.
    aber laut wikipedia installiert whonix auch updates via tor, also klingt das durchaus plausibel.



  • Mittlerweile bin ich mir sehr sicher, dass das so war. :-)

    Das Aufschreiben, Reden und Nachdenken haben mir dabei geholfen, dass ich das in Zukunft wohl besser einschätzen kann.
    Danke nochmal für die Reaktion und den Verweis, dass die Adresse nicht zu dem Botnetz gehören muss, sondern zu Tor.