Netzwerkforensik: Was war los in der Nacht vom 09.05.06 auf den 10.05.06?

Ich habe diverse Meldungen zu Netzwerkproblemen in der Nacht vom 09.05.06 auf den 10.05.06 bekommen.

Viele haben in dieser besagten Nacht Auffälligkeiten beobachtet. So wurden mir genannt:

• Extrem langsame Internetverbindung

• Extrem häufige Verbindungsanfragen

• Netzwerk-Angriffe

• Völliger Verlust der Internetverbindung – teilweise mehrere Stunden

• Keine Einwahl möglich in der Zeit von 03.00 bis ca. 09.00

Sind diese Meldungen reiner Zufall?

Da die Meldungen aus verschiedenen Teilen Deutschlands kommen, bezweifle ich die Zufallstheorie.

In dieser Nacht wurden auch die Microsoft Patche für den Monat Mai veröffentlicht. Siehe auch: http://www.security-dome.eu/Patchday_May06_Final.html

Sollte dies auch ein reiner Zufall sein?

Ich bin den Meldungen nachgegangen und habe sehr interessante Zusammenhänge entdeckt. Insgesamt ist in dieser Nacht der Internetverkehr in Deutschland rasant angestiegen! Teilweise mit einer Steigerung über 2-3 Tage.

Der Höhepunkt wurde jeweils in den frühen Morgenstunden des 10.05.06 erreicht. Danach nahmen die Kurven alle wieder stark ab.

Im Einzelnen:

Port: 3000 / Zeitraum: 04.05.06 bis 10.05.06 / Steigerung: 116 Prozent

Dienste:

• HBCI (Homebanking ? http://www.security-dome.eu/Online-Banking1.html

• Userlevel ppp Deamon

• Remote Ware Client

Port: 445 / Zeitraum: 08.05.06 bis 10.05.06 / Steigerung: 21 Prozent

• Microsoft Domain Service

• Microsoft Common Internet File Sharing (Datei-/Druckerfreigabe)

• Samba

Port: 25 / Zeitraum: 07.05.06 bis 10.05.06 / Steigerung: 71 Prozent

• SMTP (Standardport zum E-Mailversand)

Port: 1430 / Zeitraum: 08.05.06 bis 10.05.06 / Steigerung: 56 Prozent

• Hypercom TPDU

Port: 32459 / Zeitraum: 08.05.06 bis 10.05.06 / Steigerung: 211 Prozent

• Unbekannt – aber bereits unter Beobachtung

Port: 1433 / Zeitraum: 06.05.06 bis 10.05.06 / Steigerung: 120 Prozent

• Microsoft SQL Server

Port: 137 / Zeitraum: 08.05.06 bis 10.05.06 / Steigerung: 80 Prozent

• NetBios Name Service (Datei-/Druckerfreigabe)

• Samba

Port: 32779 / Zeitraum: am 06.05.06 Wert bei 0 – dann stark ansteigend bis 700.000 (Records) – ab besagter Nacht wieder fallend.

Sehr verdächtig!!!

• Port wird manchmal von SUN als RPC-Service genutzt (rpc.cmsd service)

Port: 138 / Zeitraum: 08.05.06 bis 10.05.06 / Steigerung: 100 Prozent

• NetBios Datagram Service (Datei-/Druckerfreigabe)

Port: 18120 / Zeitraum: 08.05.06 = Wert 0 – 10.05.06 = Wert 120000 (Records)!

Ebenfalls sehr verdächtig!!

• Port unbekannt

Was sagt uns diese Analyse?

Der Trend ist insgesamt für alle Ports gleich – er nimmt 1-3 Tage vor der besagten Nacht stark zu und fällt in den frühen Morgenstunden des 10.05. wieder ab.

Besonders bedenklich und beliebt sind immer die 137-139 und 445. Diese dienen der Datei- und Druckerfreigabe.

Extrem bedenklich sind immer hohe Portnummern, die plötzlich enormen Traffic erzeugen. In diesem Fall die Ports 32459, 32779 und 18120! Das deutet auf neue Bots bzw. neue Malware (Viren, Würmer oder Trojaner) hin.

Die gemeldeten Netzwerkprobleme scheinen damit erklärbar zu werden!!

Wohlgemerkt, die Zahlen gelten nur für Deutschland!

Wer mithelfen möchte, diese Erklärung zu stärken, kann mir gerne Erfahrungsberichte zusenden. Die E-Mail Adresse finden Sie hier: http://www.security-dome.eu/html/impressum.html .

Das Gästebuch finden Sie hier: http://www.security-dome.eu/html/gastebuch.html .

Alle Angaben werden von mir anonym bewertet!

Frank Richter