Routerprotokoll: unerlaubter Zugriff von Aussen?

Hallo Forum,

bin neu hier. Hoffe der Beitrag befindet sich am richtigen Platz.

Hab mir neulich das Protokoll von meinem Router angeschaut. Hab versucht mit Hilfe von Google zu verstehen was diese Zeilen bedeuten. Dies ist mir nicht wirklich gelungen. Bin bisher immer recht gut klar gekommen mit meinem Wissen (Halbwissen) am Rechner. Doch seit ich mir neulich einen Virus/Trojaner eingefangen habe (PISH/Paypal...) und mich daraufhin im Netz informieren wollte, habe ich festgestellt, dass ich von der Material keinen blasen Schimmer hab. Der Trojaner wurde von Avira gefunden und gelöscht. Hab dann den Rechner noch mit spybot geprüft --> keinen Fund.
Über die Recherche im Internet bin ich dann auf den Hinweis gestossen, dass durch Trojaner eben auch der Router umgeleitet werden kann. Deshalb wollte ich mir das Routerprotokoll ansehen. Nur ansehen und verstehen sind zwei Paar Schuhe.

Hier mal das Routerprotokoll:


18.07.2012 15:08:49 NTP (Network Time Protokoll) aktiv - Aktuell empfangene Zeit:<18.07.2012> <15:08:49>
18.07.2012 09:08:26 NTP (Network Time Protokoll) aktiv - Aktuell empfangene Zeit:<18.07.2012> <09:08:26> Was bedeutet dieses NTP (bitte für Laien verständliche Wortwahl). Was mich hier beunruhigt, ist die Tatsache, dass um diese Uhrzeit niemand am Rechner, geschweige den im Internet war.
18.07.2012 03:08:03 NTP (Network Time Protokoll) aktiv - Aktuell empfangene Zeit:<18.07.2012> <03:08:03>
17.07.2012 22:37:46 NTP (Network Time Protokoll) aktiv - Aktuell empfangene Zeit:<17.07.2012> <22:37:46>
17.07.2012 22:33:57 Internetverbindung wurde erfolgreich hergestellt.(R010)
17.07.2012 22:33:56 Vom Internetanbieter zugewiesene Gateway-IP-Adresse:xx.xx.xx.xxx (R022)
17.07.2012 22:33:56 Benutzername und Passwort: OK
17.07.2012 22:33:55 PPPoE startet PPP
17.07.2012 22:33:55 PPPoE empfange PADS
17.07.2012 22:33:55 PPPoE sende PADR
17.07.2012 22:33:55 PPPoE empfange PADO
17.07.2012 22:33:54 PPPoE sende PADI
17.07.2012 22:33:53 Internetverbindung wurde getrennt.(R009)
17.07.2012 22:33:53 PPPoE beendet PPP
17.07.2012 22:33:47 PPPoE empfange PADT
17.07.2012 22:33:47 PPPoE Stopp
17.07.2012 22:33:47 Internetverbindung wurde getrennt.(R009)
17.07.2012 21:07:40 NTP (Network Time Protokoll) aktiv - Aktuell empfangene Zeit:<17.07.2012> <21:07:40>
17.07.2012 17:12:22 sende OFFER an xxx.xxx.x.xxx Was bedeutet OFFER?
…
17.07.2012 17:06:50 sende OFFER an xxx.xxx.x.xxx
17.07.2012 15:07:17 NTP (Network Time Protokoll) aktiv - Aktuell empfangene Zeit:<17.07.2012> <15:07:17>
17.07.2012 09:06:54 NTP (Network Time Protokoll) aktiv - Aktuell empfangene Zeit:<17.07.2012> <09:06:54>
17.07.2012 03:06:31 NTP (Network Time Protokoll) aktiv - Aktuell empfangene Zeit:<17.07.2012> <03:06:31>
16.07.2012 23:28:13 WLAN wurde auf dem Speedport deaktiviert.
16.07.2012 23:15:43 **TCP FIN Scan** 199.7.51.72, 80->> xxx.xxx.x.xxx, 49888 (von PPPoE - Eingang)
16.07.2012 23:15:43 **TCP FIN Scan** 66.220.153.70, 80->> xxx.xxx.x.xxx, 49955 (von PPPoE - Eingang)Bei dieser Adresse handelt es sich um Facebook. Ich bin aber nicht bei Facebook noch habe ich jemals etwas von Facebook angeklickt. Warum möchte diese Facebookseite auf meinen Rechner zugreifen? War das nur ein Versuch auf den Rechner zuzugreifen, oder hat hier tatsächlich schon ein Zugriff stattgefunden?
16.07.2012 22:40:27 **UDP Loop** 178.33.180.249, 58473->> 91.46.42.247, 19 (von PPPoE - Eingang)Bei dieser Seite handelt es sich um eine Apache Test page. Habe auf einer Seite gelesen, dass es zu dieser Seite bereits 7 Meldungen gab. Sechs Meldungen bezogen sich auf DoS und einer wurde mit Hacking gekennzeichnet. Bei dem Hacking Eintrag stimmte sogar die Portnummer wie bei meinem Log. Was bedeutet hier UDP Loop?
16.07.2012 22:36:14 NTP (Network Time Protokoll) aktiv - Aktuell empfangene Zeit:<16.07.2012> <22:36:14>
16.07.2012 20:00:57 DHCP ist aktiv: WLAN MAC Adresse <00:253:BC:FC:CB> IP-Adresse <xxx.xxx.x.xxx> Subnetzmaske <255.255.255.0> DNS-Server <xxx.xxx.x.x> Gateway <192.168.2.1> Lease Time <0> (H001)
16.07.2012 20:00:57 sende ACK an xxx.xxx.x.xxx
16.07.2012 19:51:50 **TCP FIN Scan** 199.7.52.72, 80->> xxx.xxx.x.xxx, 49301 (von PPPoE - Eingang)
16.07.2012 19:51:50 **TCP FIN Scan** 66.220.158.70, 80->> xxx.xxx.x.xxx, 49249 (von PPPoE - Eingang)Was heißt TCP FIN SCAN? Handelt es sich hier um einen Zugriff von Außen? Warum sind alle 5 Zugriffe zur selben Zeit?
16.07.2012 19:51:50 **TCP FIN Scan** 89.207.18.182, 80->> xxx.xxx.x.xxx, 49327 (von PPPoE - Eingang)
16.07.2012 19:51:50 **TCP FIN Scan** 46.137.171.45, 80->> xxx.xxx.x.xxx, 49225 (von PPPoE - Eingang)
16.07.2012 19:51:50 **TCP FIN Scan** 176.34.190.204, 80->> xxx.xxx.x.xxx, 49229 (von PPPoE - Eingang)
16.07.2012 19:51:50 **TCP FIN Scan** 173.194.69.113, 80->> xxx.xxx.x.xxx, 49172 (von PPPoE - Eingang)
16.07.2012 19:50:05 DHCP ist aktiv: WLAN MAC Adresse <00:253:BC:FC:CB> IP-Adresse <xxx.xxx.x.xxx> Subnetzmaske <255.255.255.0> DNS-Server <xxx.xxx.x.x> Gateway <192.168.2.1> Lease Time <0> (H001)
16.07.2012 19:50:05 sende ACK an xxx.xxx.x.xxx

16.07.2012 18:40:04 sende ACK an xxx.xxx.x.xxx
16.07.2012 18:10:27 **TCP FIN Scan** 23.21.237.38, 80->> xxx.xxx.x.xxx, 51400 (von PPPoE - Eingang)
16.07.2012 18:10:27 **TCP FIN Scan** 69.63.189.74, 80->> xxx.xxx.x.xxx, 51239 (von PPPoE - Eingang)
16.07.2012 17:58:35 DHCP ist aktiv: WLAN MAC Adresse <00:253:BC:FC:CB> IP-Adresse <xxx.xxx.x.xxx> Subnetzmaske <255.255.255.0> DNS-Server <xxx.xxx.x.x> Gateway <192.168.2.1> Lease Time <0> (H001)
16.07.2012 17:58:35 sende ACK an xxx.xxx.x.xxx

16.07.2012 15:05:44 NTP (Network Time Protokoll) aktiv - Aktuell empfangene Zeit:<16.07.2012> <15:05:44>
16.07.2012 09:05:21 NTP (Network Time Protokoll) aktiv - Aktuell empfangene Zeit:<16.07.2012> <09:05:21>
16.07.2012 03:04:59 NTP (Network Time Protokoll) aktiv - Aktuell empfangene Zeit:<16.07.2012> <03:04:59>
15.07.2012 22:50:11 DHCP ist aktiv: WLAN MAC Adresse <00:253:BC:FC:CB> IP-Adresse <xxx.xxx.x.xxx> Subnetzmaske <255.255.255.0> DNS-Server <xxx.xxx.x.x> Gateway <192.168.2.1> Lease Time <0> (H001)
15.07.2012 22:50:11 sende ACK an xxx.xxx.x.xxx

So, meine Fragen hab ich direkt im Protokoll an den entsprechenden Stellen rot eingetragen.

Denkt Ihr ich habe ein Problem mit meinem Router/Rechner?
Da ich eben auch Internetbanking betreibe, bin ich verunsichert.

Wäre schon, wenn hier jemand etwas Licht ins Dunkel bringen könnte.

Gruß Surfgott

NTP = Network Time Protokoll. Ein Verfahren. mit dem der Router die Uhrzeit über das Internet abfragen kann, um seine Uhr zu stellen.
Das OFFER könnte vom DHCP kommen. Hast du vielleicht um die Uhrzeit deinen Rechner eingeschaltet? Dann hat dieser deinen Router gefragt, welche IP er benutzen soll.

Alles korrekt, was Fox99 geschrieben hat.

DHCP = dynamic host configuration protocol. In Ergänzung zum DHCPOFFER: das findet in deinem internen Netz statt, der frisch eingeschaltete PC sucht per DHCPDISCOVER alle verfügbaren DHCP-Server, die ihm eine IP-Adresse geben können. Der Server antwortet mit einem DHCPOFFER, in dem er eine IP anbietet. Der Client fordert darauf explitzit diese Adresse an (DHCPREQUEST), und dein DHCP-Server (= in diesem Fall dein Speedport-Router) bestätigt die Adresse mit einem DHCPACK.

Am 16.7. hast du vermutlich den Router eingeschaltet oder rebootet: er hat seinen DHCP-Server hochgefahren, und seine externe Adresse erneuert. Vermutlich hatte jemand anderes kurz zuvor diese Adresse, die Absenderports der "TCP-FIN"-Adressen sind allesamt 80, d.h. dein Adressvorgänger war mit dem Browser auf diesen Seiten unterwegs.

Der einzige ungewöhnliche Eintrag ist der von 16.07.2012 22:40:27: Port 19 ist ziemlich unüblich. Das könnte eine Art Portscan sein, aber auch der Versuch, ein VPN (mit einer früher gültigen Adresse) aufzubauen. Besorgniserregend ist das aber trotzdem nicht, die Firewall des Routers blockiert solche Zugriffsversuche.

Hallo,

Danke schon mal für die Antworten.

Heißt das, die TCP FIN SCAN sind unkritisch?

Aber was ist mit dem **UDP Loop** 178.33.180.249, 58473?

Das meinte ich mit "16.07.2012 22:40:27". Unüblich, aber nicht besorgniserregend, weil die Firewall das blockiert.

ok.
Danke

Gruß Surfgott