[Erledigt] Spuren eines Staatstrojaners, oder was?

Pom-Fritz!

Aktives Mitglied
Mitglied seit
12 Nov 2016
Beiträge
1,519
Punkte für Reaktionen
148
Punkte
63
Hallo, Leute

Ich wollte mal so in die Runde fragen, was ihr davon haltet. Ich habe heute bemerkt, dass sich in in den "Ungenutzten Verbindungen" meiner Netzwerkübersicht ein 'unbekanntes' Gerät (PC-192-168-168-20) befindet. Es ist die IP meines Rechners "XXX-PC", der sich gerade in "Aktuelle Verbindungen" befindet. Die MAC-Adresse von (PC-192-168-168-20) existiert nirgendwo in meinem gesamten Netzwerk. Die Vendor-ID der MAC scheint auch nirgendwo in den MAC-Listen einschlägiger Webseiten zu existieren. Vielleicht kann sich jemand von euch einen Reim darauf machen. :rolleyes:
FB-1.jpgFB-2.jpg
 
  • Like
Reaktionen: Pom-Fritz!
Vollzitat gemäß Boardregeln entfernt by stoney
hab ich 2 stück von die mir schon bei der release version aufgefallen sind ich lösche die ständig aber die tauchen immer wieder als "ungenutzt" auf die mac adressen kennt auch keine seite.. würde mich auch mal interesieren was das ist!
 
Zuletzt bearbeitet von einem Moderator:
Nutzt du den iSCSI Dienst unter Windows? Der kann solche MAC Adressen hinterlassen.
 
Die Hinweise auf iSCSI verdichten sich, das schreibt ja auch @Grisu_. Dort würde ich also weitersuchen.

Läuft so ein Dienst vielleicht auf einem anderen Gerät? Ein NAS vielleicht? Oder war mal ein Rechner bei dir im Netz, auf dem es gelaufen haben könnte?
 
  • Like
Reaktionen: Pom-Fritz!
Vollzitat gemäß Boardregeln entfernt by stoney
also viel läuft hier nicht Media-reciever der telekom nen Raspberry pi Android handy.. drucker

netzwerk geräte kommen und gehen aber die werf ich dann meist aus der fritzbox wieder raus oder hängen im gäste-lan port

aber solange es nur ein ISCI ding ist ist das eher harmlos denke ich mal
 
Zuletzt bearbeitet von einem Moderator:
Also, Leute - super Feedback - Danke! :)
@Grisu_ Danke für den Link. Dort taucht tatsächlich die gleiche MAC-Adresse auf, wie bei mir. Den iSCSI Dientst nutze ich nicht. Aber @frank_m24: Auf meinem NAS existiert ein solcher Dienst. Aber auch der wird nicht genutzt. Hier werde ich aber noch mal genauer nachsehen.

Erst einmal: Vielen Dank an alle Beitragende. Zumindest bin ich jetzt betreffend Staatstrojaner beruhigt. ;)
 
  • Like
Reaktionen: jingoiro
@frank_m24: Ich habe jetzt die Firewall Einstellungen des NAS etwas korrigiert. Ich hatte als erste Zeile in der Firewall stehen, dass alle Ports und Dienste für das Heimnetz freigegeben sind - auch diverse Ports, die iSCSI betreffen. Der Dienst scheint dort immer zu laufen und scheint nicht separat deaktivierbar zu sein. Habe jetzt in der ersten Zeile der Firewall nur die Ports für das Heimnetz zugelassen, die ich auch nutze. Mal sehen, ob's hilft.

Danke nochmals für den Tipp.
 
  • Like
Reaktionen: jingoiro
Bei mir war es mal eine Virtualisierung die intern einen virtuellen Switch, also rein per Software erstellt hat der dann als Gerät mit gleicher IP wie der PC auf dem das lief in der Fritzbox auftauchte. Kam nach Löschen immer wieder zurück. War aber klar woher das kam also kein Problem.
 
Wenn es ein Trojaner wäre, hätte man solche "Spuren" gar nicht erst gefunden. :D DuW
 
  • Like
Reaktionen: bema
Das mit der Synology Firewall hat nichts gebracht. Der mysteriöse Eintrag war wieder da. Habe jetzt den Microsoft iSCSI-Initiator-Dienst in Windows 11 deaktiviert. Mal sehen, ob das hilft.
 
grade wieder eine Push-mail bekommen und wieder ist ein eintrag da!

Code:
PC-192-168-2-29
192.168.2.29
EA:A1:66:D7:2F:A8

die MaC gibts im netzwerk aber nicht und die IP ist auch nicht pingbar o.ä ich finde zu der Mac auch nichts bei Google o_O

edit:

Unbenannt.jpg
 
Zuletzt bearbeitet:
Bei mir ist heute auch nach Änderung lt. #13 wieder ein Eintrag dazugekommen. Diesmal aber nicht als gleiche IP, wie mein PC, sondern jetzt mit einer nächsten freien IP vom DHCP. Die MAC ist die gleiche, wie in #1 (E1-6C-D6-AE-52-90). Werde jetzt zusätzlich nochmals die Synology Firewall anpassen, die ich jetzt schon wieder auf die alte Einstellung zurückgestellt hatte.:confused:

@jingoiro: Hast du auch irgendwelche Geräte, die iSCSI können?
 
Zuletzt bearbeitet:
@[COLOR=rgb(0, 0, 0)]jingoiro[/COLOR]: Hast du auch irgendwelche Geräte, die iSCSI können?

solange ISCSI nur Windows betrifft hab ich nur meinen pc mit win 10 da hab ich den dienst aber gekillt

ansonsten tummelt sich hier nur noch nen drucker und Android(-TV) Geräte die fritzbox offeriert im lan ihren mediaserver aber der wird wohl kaum solche einträge generieren?
 
Zuletzt bearbeitet:
Habe jetzt die Synology Firewall für iSCSI nochmals blockiert. Ich beobachte weiter...:confused:
 
  • Like
Reaktionen: jingoiro
Was sagt denn zB die Supportdatei zu euren unbekannten MACs, vll findet sich ja dort noch etwas? (Kann man darüber irgendwelche Schlüsse ziehen)
 
Danke für den Tipp, @stoney! :) Habe eigentlich nicht viel erwartet von dem Dump der Supportdatei, doch einen wichtigen Hinweis konnte ich dennoch entnehmen: Der Zeitpunkt, bei dem die Adresse hinzugefügt wurde! Es war z.B. der 14.12.2021 20:47:01. Diesen Zeitpunkt habe ich dann in den "Administrativen Ereignissen" in Windows 11 gesucht und siehe da: Der Server "F9717507-6651-4EDB-BFF7-AE615179BCCF" ist der "WinInetBrokerServer", der nicht mit DCOM registriert werden konnte. Der müsste das verursacht haben! Doch diese Fehlermeldung von Windows ist wohl ziemlich belanglos - das haben andere Windows User auch.

Ausschnitt aus der Support Datei:
Fehler2.jpg

Windows Administrative Ereignisse:
Fehler1.jpg
 
Um ehrlich zu sein: Da sehe ich überhaupt keinen Zusammenhang zwischen der Windows Meldung und der MAC in der Fritzbox. Allein 3 Minuten Zeitunterschied. Und ich wüsste auch nicht, warum der Dienst eine virtuelle MAC braucht. Außerdem: Dann hätte jeder Windows Nutzer diese MAC Adressen in der Fritzbox.

Von daher: Eher nein.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.