Emotet

Hei­se hat ja die vol­le Breit­sei­te abge­fan­gen. In dem Arti­kel ist etwas vage von TCP/449 die Rede:

Ein schnel­ler Check zeig­te, dass bereits eine gan­ze Rei­he von Rech­nern über selt­sa­me Ver­bin­dun­gen etwa auf TCP-Port 449 nach drau­ßen kom­mu­ni­zier­te.

Die­ses etwa ver­ste­he ich als: Das haben wir gese­hen, aber da kann noch viel mehr sein… (als anstän­di­ger Hacker wür­de ich ja 443 neh­men).
449 ist schein­bar nicht Emo­tet, son­dern ein nach­ge­la­de­nes trick­bot — was auch immer die­ses tut.

Nun, da dach­te ich mir: Schaus­te mal auf der Fire­wall nach, was da so pas­siert auf 449/TCP. Lus­ti­ges Zeug:

22:01:31.797731 IP scratch-01.sfj.corp.censys.io.16071 > x.x.x.x.as-servermap: S 176477258:176477258(0) win 1024
22:01:31.798031 IP x.x.x.x.as-servermap > scratch-01.sfj.corp.censys.io.16071: R 0:0(0) ack 176477259 win 0

as-ser­ver­map ist 449. Von die­sen Ein­trä­gen mit src censys.io habe ich nicht vie­le, aber eini­ge, seit ca. 6 Stun­den ein hal­bes Dut­zend ca.

censys.io bie­tet schein­bar Port­scans für jeder­mann an. Jeden­falls für jeder­mann aus den Amish. Mei­ne IP (2001:470:6d:c40:1419:897f:ed71:b17a) will er nicht 🙂
Dazu kom­men noch ein paar rus­si­sche Ser­ver, den Rest habe ich nicht kon­trol­liert. Ist aber alles über­schau­bar, und ich bin mir zu in etwa 183,73% sicher, daß ich TCP/449 nicht frei­ge­ge­ben habe…

0

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.