Sicherheitslücke bei Firefox?

    Hallo,
    ich habe seid heute das Problem das mir Norton einen Eindringversuch von stua.montanastristr.net nach dem starten von Firefox meldet. Der Angriff wurde von \DEVICE\HARDDISKVOLUME7\PROGRAM FILES (X86)\MOZILLA FIREFOX\FIREFOX.EXE verursacht. ( Siehe auch Screenshot ). Die Quelladresse ist laut UTrace Artfiles New Media GmbH. Jetzt bin ich mir unsicher was ich davon halten soll :?::?: Ein kompletter Scan von Norton brachte sonst keine Warnmeldungen.

    Ohne dir was zu wollen, aber was spricht dagegen, eigene Recherchen dazu anzuleiern?
    zB
    http://whois.domaintools.com/212.48.121.140
    https://www.google.com/search?q=stua.montanastristr.net

    Ergebnis:
    http://domain-kb.com/www/montanastristr.net
    http://dnstoolkit.net/nslookup/montanastristr.net

    modcp ist ist das Adminpanel zu irgendeiner Forensoftware oder CMS.

    Was ist Cloudflare
    http://de.wikipedia.org/wiki/CloudFlare

    Jetzt musst du dir folgende Fragen stellen:
    - War ich auf so einer Seite oder IP?
    - Was habe ich mit denen überhaupt zu tun?
    - War ich oder nutze ich Cloudflare?
    - Wurde mir kurz vorher eine neue IP zugeteilt?

    Bei letzterem sind solche Anfragen möglich, wenn der Server noch die IP vom bisherigen Benutzer gespeichert hat, ihr aber beide inzwischen neu eingewählt habt und du zufällig seine alte IP zugewiesen bekommen hast.

    Norton registriert lediglich, dass ein Paket angekommen ist, welches gar nicht für dich bestimmt war. Normalerweise wird sowas direkt im Router abgefangen - sagt mir, dass du keinen Router benutzt, sondern nur ein Modem oder Stick, Direkteinwahl.

    Es wäre von Vorteil, wenn du dich mehr um die Fähigkeiten deiner Sicherheitssoftware kümmern würdest, um genau solche Meldungen besser interpretieren zu können. Aufgrund deiner Fragestellung jedoch gehe ich davon aus, dass du Norton noch nicht lange installiert hast oder deine Verbindungsmethode neu ist. Deswegen habe ich versucht, das für dich einfach aufzubereiten, wie man an sowas ran geht und was es letztlich bedeutet.

    Sollte das öfters vorkommen, solltest du dir schon Gedanken machen - um deine Einwahlmethode oder um die Schutzsoftware.

    Bis zum Zeitpunkt, als ich von Modem auf Router gewechselt habe, und das ist ewig her, brachte mir Outpost auch alle Nase lang irgendwelche Eindringversuche. Damals waren Portscans noch üblich, aber auch Torrentprogramme haben irrtümlich auf meiner IP Verbindung gesucht wegen IP-Wechsel. Inzwischen fängt der Router das ab und mir gehts am Popo vorbei.

    Danke erstmal für deine Antwort.
    jetzt mal ohne dir was zu wollen. Ich habe zuerst versucht selber was rauszubekommen. Habe über Utrace.com die IP-Adresse lokalisieren lassen, wie oben schon beschrieben. Da kam raus das die zu Artfiles New Media GmbH gehört. Die Recherche bei goole brachte mir genau so wenig Erfolg wie dir. Siehe deinen Link https://www.google.com/search?q=stua.montanastristr.net.
    Deine beiden anderen Links unter Ergebnis kannte ich leider nicht. Bin halt auch nicht perfekt. Das es sich dabei um modcp handelt, was ja auch tatsächlich so in der Meldung steht, bin ich nicht drauf gekommen. Da war deine Antwort ja schon hilfreich. Und Cloudfare? Keine Ahnung was das sein soll. Ich nutze keine Forensoftware und auch kein CMS. IP-Adresse vom Vorgänger. Ja könnte sein. Wenn ich aber in deiner Antwort richtig gelesen habe kommt der wohl aus Polen. Da ich schon lange bei Unitymedia bin ( also Fritzbox als Router und kein Modem habe ) glaube ich scheidet das auch aus, da Unitymedia in Polen wohl nicht vertreten ist. Norton nutze ich bereits seit über 5 Jahren mit guten Erfahrungen. Was mich halt stutzig gemacht hat ist, das der Angriff von Firefox verursacht wurde. Aber jetzt egal. Habe diese Meldung bis heute nicht wieder bekommen. Scheint also alles okay zu sein. Ich bin halt nur ein User, der seinen PC für E-Mail, Onlinebanking, Internet recherchieren und vielleicht mal bei Youtube, Ebay und Amazon schaut. Deswegen interessieren mich nicht "alle" Vorgänge die in meinem PC vorgehen. Ich gehe nicht auf illegale oder Porno-Seiten. Klicke nicht auf Anhänge in E-Mails die ich nicht kenne usw. Daher kam es mir ein wenig verdächtig vor. Aber wie gesagt, danke für deine Antwort.
    MfG
    Thomas Meyer

    Hallo Fox2Fox.
    Danke für deine Anleitung. Hat nut die Amazon Browserbar gefunden. Aber das wusste ich. hier der Bericht:

    Du verkennst ein wenig die Fakten. Artfiles hat den kopletten IP-Bereich für sich reserviert (212.48.121.0 - 212.48.121.255), wer oder was der der Verantwortliche dafür ist, spielt keine Rolle, auch nicht, das Artfiles hier im HRB eingetragen ist.

    Norton sagt lediglich aus, dass von stua... über diese IP irgendwelche Daten gesendet wurden.
    montanastristr wird aber von cloudflare angeboten, ist ein Internet-Dienstleister, zweiter Link dazu.
    Die IP von montanastristr ist auch eine ganz andere.
    Was bedeutet SOA in der Angabe: http://support.microsoft.com/kb/163971

    Meine Vermutung wäre, dass jemand über Cloudflare USA auf den Server von Artfiles Zugriff hatte, ob nun legal oder gehackt, spielt eigentlich keine Rolle, und über dieses Konstrukt Daten an deine IP (unbekannterweise) gesendet wurden.

    Posrt 12101 gehört u.a zu IBM Tivoli
    https://publib.boulder.ibm.com/infocenter/ese…ncept_ports.htm
    Port 12100 gehört zum WebAdmin, was auch das modcp erklären würde.

    Du könntest Artfiles mal anschreiben, ob die illegale Aktivitäten verzeichnet haben auch ihrem Tivoli :mrgreen:

    Hallo Bernd,
    Danke für deine Antwort. Klingt mir alles zu komliziert für einen "einfachen" User. Du kennst dich in der Materie anscheinend gut aus. Ich bin froh das ich bis jetzt keine neue Warnmeldung bekommen habe. Werde mich aber mal in der Materie versuchen. Klingt auf alle Fälle interessant. Danke dir.
    MfG
    Thomas Meyer

    Zitat von fireyeti

    Wenn Du dein System säubern lassen willst empfehle ich ...

    .. wenn es denn so ist, (was ich bezweifele), das das Teil Malware ist, dann hilft sowieso nur ein kompletter Neuanfang..
    PUP heißt Potential Unwanted Program, dies heißt sinngemäß übersetzt potentiell überflüssiges Programm. Dies sollte man mit Adwcleaner entfernen können