Heise hat ja die volle Breitseite abgefangen. In dem Artikel ist etwas vage von TCP/449 die Rede:
Ein schneller Check zeigte, dass bereits eine ganze Reihe von Rechnern über seltsame Verbindungen etwa auf TCP-Port 449 nach draußen kommunizierte.
Dieses etwa verstehe ich als: Das haben wir gesehen, aber da kann noch viel mehr sein… (als anständiger Hacker würde ich ja 443 nehmen).
449 ist scheinbar nicht Emotet, sondern ein nachgeladenes trickbot — was auch immer dieses tut.
Nun, da dachte ich mir: Schauste mal auf der Firewall nach, was da so passiert auf 449/TCP. Lustiges Zeug:
22:01:31.797731 IP scratch-01.sfj.corp.censys.io.16071 > x.x.x.x.as-servermap: S 176477258:176477258(0) win 1024 22:01:31.798031 IP x.x.x.x.as-servermap > scratch-01.sfj.corp.censys.io.16071: R 0:0(0) ack 176477259 win 0
as-servermap ist 449. Von diesen Einträgen mit src censys.io habe ich nicht viele, aber einige, seit ca. 6 Stunden ein halbes Dutzend ca.
censys.io bietet scheinbar Portscans für jedermann an. Jedenfalls für jedermann aus den Amish. Meine IP (2001:470:6d:c40:1419:897f:ed71:b17a) will er nicht 🙂
Dazu kommen noch ein paar russische Server, den Rest habe ich nicht kontrolliert. Ist aber alles überschaubar, und ich bin mir zu in etwa 183,73% sicher, daß ich TCP/449 nicht freigegeben habe…