Kaspersky
Question

Angriffsversuch??? dt4oxny0f90is(punkt)cloudfront(punkt)net

  • 9 December 2019
  • 5 replies
  • 5051 views

Userlevel 2

Hallo!

Wieder ich und meine Paranoia ...
Nachdem ich meinen Computer gestartet habe und KIS 20 (f) vollständig geladen wurde, steckte ich erst das LAN-Kabel ein. Sofort danach poppte folgendes Fenster auf:

Ich klickte auf "Ignorieren". Hat jemand eine Ahnung, was hier eine Verbindung aufbauen wollte? Was meint ihr, sieht das nach Angriffsversuch aus??

In den Kaspersky-Berichten kann ich nichts finden. Wo gibt's noch andere Log-files z.B. von Windows, um herauszufinden was hier los war?

mfg und Danke im Voraus

PS:
Unter Erweitert, Netzwerkeinstellungen: Verschlüsselte Verbindungen immer untersuchen ist an.
Kann es sich dadurch um ein False-Positive handeln?
Aber schon komisch, dass sich sofort nach Herstellen der Internetverbindung irgendetwas mit Cloudfront verbinden will!?


5 replies

Userlevel 7
Badge +7

Hi @Kasperl,

gegen eine gesunde Paranoia ist nichts einzuwenden, alle sollten sie heutzutage haben.

Frage:
als Du das LAN angestöpselt hast, war da bereits Dein Browser geöffnet (und hat eventuell im Hintergrund Seiten aktualisiert)?

Das neue KL-Forum verwendet z. B. auch Ressourcen, die über cloudfront.net geladen werden:
 

Es gibt zwar bei Cloudfront die Möglichkeit, Links etwas besser zuordenbar zu machen, die Forensoftware nutzt das aber leider nicht.

Userlevel 2

Hallo!

Nein, es war gar nix offen, nur KIS (fertig geladen) und der Taskmanager. Darum hab ich mich ja “erschreckt”.

Ich hatte nie eine Meldung diesbezüglich, aber könnte das Ganze auf PunkBuster zurückzuführen sein? Laut den PunkBuster Log-files, könnte es zur selben Zeit geladen worden sein.

Gibt es sonst noch Log-files, die zeigen wann die Verbindung zu Cloudfront aufgebaut wurde?

 

mfg

 

Userlevel 7
Badge +7

Cloudfront ist ein “content delivery network”, das zu Amazon gehört. Hier kann jeder Daten hinterlegen und über dieses Netzwerk verteilen (spart eigene Ressourcen).

Natürlich macht das nicht nur KL, Dein Verdacht zu PunkBuster (kenne ich nicht aus eigener Erfahrung, bin kein Onlinespieler) ist also nicht unbegründet.

Userlevel 2

Ok ... mit PunkBuster hat das doch nichts zu tun.
Ohne dass ich mich damit sonderlich auskenne, habe ich in der Win7 Ereignisanzeige nach dem Begriff "cloudfront" gesucht.
Zu finden war nur das:

Wahrscheinlich ist es nichts bösartiges, trotzdem würde mich interessieren, was dahinter steckt. Habt ihr noch irgendwelche Tipps, wo ich in meinem System zu Infos über diese Verbindung komme?

mfg und gute N8

About system connections try to find way how data are delivered:

Look inside certificates delivered through dt4oxny0f90is.cloudfront.net with IP 99.86.245.114

eg  http://s.symcd.com - 20200116210308Z0s0q0I0 - google “s0q0I0” do you have the same?

Try tracert 99.86.245.114 from your machine:

  5     6 ms     6 ms     5 ms  193.203.0.215
  6    10 ms     8 ms     9 ms  52.93.38.36
  7     7 ms     6 ms     7 ms  150.222.80.49
  8     *        *        *     Request timed out.
  9     *        *        *     Request timed out.
 10     *        *        *     Request timed out.
 11     *        *        *     Request timed out.
 12     *        *        *     Request timed out.
 13     5 ms     6 ms     6 ms  server-99-86-245-114.vie50.r.cloudfront.net [99.86.245.114]

Then try traceroute to 99.86.245.114 from remote server eg:

2.|-- 173.255.239.6        0.0%     5    0.6   0.6   0.5   0.7   0.0
  3.|-- 199.245.16.77      0.0%     5    2.1   2.1   2.0   2.1   0.0
  4.|-- 129.250.8.230      0.0%     5    2.6   4.4   1.7  13.7   5.2
  5.|-- 80.91.254.15     20.0%     5    2.5   2.4   2.1   2.7   0.0
  6.|-- 62.115.113.21       0.0%     5   76.1  78.8  76.1  89.0   5.7
  7.|-- 80.91.249.11     0.0%     5   90.0  89.9  89.8  90.0   0.0
  8.|-- 62.115.119.67  0.0%     5  102.9 105.2 102.9 112.7   4.2
  9.|-- 62.115.113.69    0.0%     5  109.3 109.3 109.2 109.3   0.0
 10.|-- 213.248.94.21   0.0%     5  105.6 105.6 105.5 105.7   0.0
 11.|-- 52.93.38.52       0.0%     5  110.4 111.5 110.4 113.9   1.2
 12.|-- 150.222.80.51    0.0%     5  109.1 109.4 109.1 109.9   0.0
 13.|-- ???    100.0     5    0.0   0.0   0.0   0.0   0.0
 14.|-- ???       100.0     5    0.0   0.0   0.0   0.0   0.0
 15.|-- ???    100.0     5    0.0   0.0   0.0   0.0   0.0
 16.|-- ???      100.0     5    0.0   0.0   0.0   0.0   0.0
 17.|-- ???       100.0     5    0.0   0.0   0.0   0.0   0.0
 18.|-- 99.86.245.114       0.0%     5  105.7 105.7 105.7 105.9   0.0

Then try traceroute to dt4oxny0f90is.cloudfront.net from remote server eg:

  2.|-- 173.255.239.2    0.0%     5    4.9   2.1   0.5   4.9   2.1
  3.|-- 198.32.160.64      0.0%     5    2.0   1.5   1.4   2.0   0.0
  4.|-- 52.93.1.75        0.0%     5   10.4   6.6   2.1  10.4   3.1
  5.|-- 52.93.1.42      0.0%     5    1.4   2.9   1.4   8.7   3.2
  6.|-- ???           100.0     5    0.0   0.0   0.0   0.0   0.0
  7.|-- ???       100.0     5    0.0   0.0   0.0   0.0   0.0
  8.|-- ???      100.0     5    0.0   0.0   0.0   0.0   0.0
  9.|-- ??? 100.0     5    0.0   0.0   0.0   0.0   0.0
 10.|-- ???         100.0     5    0.0   0.0   0.0   0.0   0.0
 11.|-- 150.222.240.192  0.0%     5    2.7   2.9   2.5   4.0   0.5
 12.|-- ???    100.0     5    0.0   0.0   0.0   0.0   0.0

Try to check https://urlscan.io/result/486f886a-e02e-4dd7-8760-cd21c1d5e220#summary

The main IP is 2600:9000:21f3:3200:d:c7ee:7900:21

http://0.0.10.40:9000/
 

 

  

 

 

Reply / Ответить