Merkwürdigkeiten beim Neu-Verbinden mit einem PP Server - Unbekannte IP Adressen

[Lucy2018]

Hallo zusammen,

es ist jetzt schon ein paar Mal vorgekommen, dass, wenn ich bereits mit einem PP Server verbunden bin und ich diese Verbindung trenne und eine neue zu einem anderen PP Server herstelle, ich Meldungen von meiner Firewall erhalte, dass sich tstunnel.exe zu mir unbekannten IPs verbinden möchte. Siehe Screenshot.

Hat in diesem Fall diese IP irgendetwas mit PP zu tun, die in der Mongolei angeblich ansessig ist?

In diesem Fall war es ein Wechsel von Amsterdam1 zu Prag. Letze Woche war es eine IP eines türkischen Providers, als ich von Erfurt zum Berlin Server gewechselt bin. Es passiert nur beim Neu-Verbinden und es betrifft nur tstunnel.exe.

Auf meinem Win10 x64 PC ist nur Office2007 und Autocad installiert. PC auf mögliche Malware mehrfach ergebnislos untersuchen lassen.

 

[PP Frank]

Also ich hab die IP geprüft und die ist nicht von uns

 

[Lucy2018]

Danke. Das habe ich mir fast gedacht. Finde es nur merkwürdig, dass es nun zum 3. Mal vorgekommen ist. Nachdem ich den Server wechsle und die Verbindung zum neuen Server steht, kommt die Meldung, dass tstunnel.exe eine eingehende Verbindung herstellen möchte mit einer mir unbekannten IP. Ich werde das weiter beobachten und wieder hier posten.

 

[bigplayer]

viel interressanter wäre zu wissen welches Programm versucht tstunnel zu verwenden?
Stunnel ist normalerweise eine Anwendung um einen SSL Tunnel zu einem Server zu machen um z. Bsp ein Programm verschlüsselt mit diesem Server verbinden zu können.
Dabei wäre es möglich dass das Programm das Tstunnel verwendet sobald der Rechner nach Reconnect eine Internetverbindung bekommt sich random einen neuen Server zum verbinden sucht.
Dies kann etwas ganz harmloses sein, also dass zum Beispiel Office sich über tstunnel über jeweils verschiedene Microsoft Server syncronisiert, aber es kann natürlich genauso sein, dass eine andere Anwendung da kommuniziert die das eigentlich nicht machen sollte.

Deshalb sollte es Dein Ziel sein herauszufinden welche Anwendung denn überhaupt tstunnel benutzt?
Kannst natürlich auch einfach einmal tstunnel über die Firewall blockieren lassen und schauen was passiert. Funktioniert alles kannst Du es blockiert lassen.
Normalerweise sollte Dir Deine Firewall aber auch anzeigen können in welchem Verzeichnis die tstunnel.exe liegt und so kannst Du recht leicht feststellen um welche Anwendung es sich wohl handelt und dann selber entscheiden ob gutartig oder bösartig.

 

[PP Frank]

Hast du eigentlich Stealth VPN im Manager aktiviert?

 

[Lucy2018]

Ja, Stealth ist aktiviert. Zum Zeitpunkt, als die Abfrage kam, lief keine Anwendung, auch nicht im Hintergrund. Was mich an der Sache etwas verunsichert, ist, dass tstunnel.exe eine eingehende Verbindung eigehen möchte. Hätte ich eine Software wie Office geöffnet und wäre diese dafür verantwortlich, dann müsste es eine Anfrage zu einer ausgehenden Verbindung geben.

 

[PP Frank]

Dann vermutlich dort auch mit STunnel als Option. Die IP wundert mich nur die angezeigt wird

 

[Lucy2018]

Ja, auch STunnel ist aktiviert. Wie ich bereits geschrieben hatte, war es das letzte Mal ein IP Adresse aus der Türkei und zuvor eine aus Südamerika. Ich werde weiter Screenshots sammeln und hier posten.

 

[PP Frank]

Mach einfach mal Stealth aus oder schalte auf OBFSProxy um und gucke ob die Messages noch kommen, oder ob die sich verändern

 

[Lucy2018]

Hye, es ist schon wieder passiert. War mit London2 verbunden und habe dann auf Strassbourg gewechselt. Ein paar Sekunden später meldet sich die Firewall mit dieser Meldung. Meinen PC habe ich seit dem letzten Mal komplett formatiert und alles neu installiert (Windows 10 und Office 2010 und die Firewall, sonst nichts).

Was ist das blos, mit diesen eingehenden Verbindungsversuchen durch die tstunnel.exe??? Ist diese exe Datei nicht vertrauenswürdig? Die IP gehört angeblich einem Eduardo Vega aus Belize....

 

[PP Frank]

Ist stealthvpn an?

 

[Lucy2018]

Ja, es passiert nur, wenn stealthvpn aktiviert ist. Ist dies etwas, dem ihr in irgendeiner Art und Weise nachgehen könntet? Auch wenn diese IP wieder nicht zu PP gehört...

 

[PP Frank]

Dann wirst du wohl StealthVPN auf sTunnel gesetzt haben.
Was das für eine IP ist, kann ich dir so jetzt nicht sagen. (weiss ich nicht)

 

[MixMaster]

Die letzte Adresse 45.227.254.5 gehört zu einer "CryptoBet"-Seite (xwin.io). Verwunderlich ist, daß es sich um eine "eingehende Verbindung" handeln soll. Wie kommt die überhaupt rein? Port-Forwarding über den Tunnel kann es da nocht nicht sein, glaube ich. tstunnel sollte doch erstmal nur eine Verbindung zu einem PP-Server herstellen, über die dann OpenVPN getunnelt wird.

Es kann irgendwas fischiges in deiner tstunnel.exe sein, genausogut kann es aber auch nur eine fehlerhafte Meldung der Comodo-Firewall sein.
Hast du tstunnel.exe mal bei VirusTotal o.ä. prüfen lassen?

Ich wollte es gerade selber ausprobieren. In meinem virtuellen Windows 7 funktioniert stunnel momentant überhaupt nicht. Vielleicht habe ich da etwas kaputtinstalliert.
Stealth über SSH oder obfsproxy funktioniert.

 

[Wioli]

Hi, klinke mich mal auch mit ein. Verwende Comodo seit einem Jahrzehnt und es gab nie Fehlalarme. Rein aus Neugier habe habe ich StealthVPN mit Obfsproxy bei mir aktiviert. Stunnel noch nie aktiv bei mir. Das war am Freitag Abend. Gestern Abend habe ich meine VPN Verbindung getrennt und aus heiterem Himmel meldet sich auch bei mir die "tstunnel.exe", um eine Verbindung ins Internet aufzubauen. So wie ich das verstanden habe, wird die "tstunnel.exe" nur verwendet, wenn Stunnel aktiviert ist. Wie kann das sein?

Meinungen?

 

[MixMaster]

Das ist sehr merkwürdig. Kannst du dabei in der Prozessliste sehen, ob wirklich eine tstunnel.exe läuft? Wenn ich im VPN-Manager obfsproxy auswähle, sehe ich neben openvpn.exe wie erwartet eine obfs4proxy.exe, aber keine tstunnel.exe
Die tstunnel.exe aus dem PP-Paket wird mir bei VirusTotal jedenfalls als "clean" angezeigt.

Irgendeine P2P- oder andere VPN-Software habt ihr nicht zufällig nebenbei laufen?

 

[Wioli]

Bei mir laufen bzw. liefen auch nur openvpn und ofbsproxy. Als ich die Verbindung getrennt hatte, habe ich gesehen wie die tstunnel.exe plötzlich in der Prozessliste auftauchte. Bei mir zuminest läuft keine andere VPN Software noch P2P. Zu dem Zeitpunkt waren alle Anwedungen beendet.

Werde das mal rein aus Neugier weiter beobachten und PP auch mit aktiviertem STunnel testen.

Wer ist denn eigentlich Urheber der tstunnel.exe? Ist die exe Open Source?

 

[MixMaster]

Die tstunnel.exe sollte wohl von stunnel.org stammen. Die aktuell dort herunterladbare Version ist aber etwas größer als die Version, die im obfs-Verzeichnis des PP-Managers liegt.

 

[Lucy2018]

Hallo, ich habe mal testweise die aktueller tstunnel.exe von stunnel.org gegen die Originaldatei im PP Verzeichnis ausgetauscht. Danke an MixMaster für den Hinweis. Was soll ich sagen, ich habe in den letzten 5 Tagen unzählige Male Verbindungen aufgebaut und wieder getrennt und wieder neu aufgebaut. Keine einzige Meldung, wie weiter oben beschrieben...

 

[Wioli]

@Lucy2018: Kann ich bestätigen. Habe auch die tstunnel durch die aktuellere ersetzt. Bisher keine verdächtigen Verbindungsversuche.