Merkwürdigkeiten beim Neu-Verbinden mit einem PP Server - Unbekannte IP Adressen

Discussion in 'Dienste - Fragen & Antworten (Q&A)' started by Lucy2018, Jul 2, 2018.

  1. L

    Lucy2018 New Member

    Hallo zusammen,

    es ist jetzt schon ein paar Mal vorgekommen, dass, wenn ich bereits mit einem PP Server verbunden bin und ich diese Verbindung trenne und eine neue zu einem anderen PP Server herstelle, ich Meldungen von meiner Firewall erhalte, dass sich tstunnel.exe zu mir unbekannten IPs verbinden möchte. Siehe Screenshot.

    Hat in diesem Fall diese IP irgendetwas mit PP zu tun, die in der Mongolei angeblich ansessig ist?

    In diesem Fall war es ein Wechsel von Amsterdam1 zu Prag. Letze Woche war es eine IP eines türkischen Providers, als ich von Erfurt zum Berlin Server gewechselt bin. Es passiert nur beim Neu-Verbinden und es betrifft nur tstunnel.exe.

    Auf meinem Win10 x64 PC ist nur Office2007 und Autocad installiert. PC auf mögliche Malware mehrfach ergebnislos untersuchen lassen.
     

    Attached Files:

  2. PP Frank

    PP Frank Staff Member

    Also ich hab die IP geprüft und die ist nicht von uns
     
  3. L

    Lucy2018 New Member

    Danke. Das habe ich mir fast gedacht. Finde es nur merkwürdig, dass es nun zum 3. Mal vorgekommen ist. Nachdem ich den Server wechsle und die Verbindung zum neuen Server steht, kommt die Meldung, dass tstunnel.exe eine eingehende Verbindung herstellen möchte mit einer mir unbekannten IP. Ich werde das weiter beobachten und wieder hier posten.
     
  4. b

    bigplayer Member

    viel interressanter wäre zu wissen welches Programm versucht tstunnel zu verwenden?
    Stunnel ist normalerweise eine Anwendung um einen SSL Tunnel zu einem Server zu machen um z. Bsp ein Programm verschlüsselt mit diesem Server verbinden zu können.
    Dabei wäre es möglich dass das Programm das Tstunnel verwendet sobald der Rechner nach Reconnect eine Internetverbindung bekommt sich random einen neuen Server zum verbinden sucht.
    Dies kann etwas ganz harmloses sein, also dass zum Beispiel Office sich über tstunnel über jeweils verschiedene Microsoft Server syncronisiert, aber es kann natürlich genauso sein, dass eine andere Anwendung da kommuniziert die das eigentlich nicht machen sollte.

    Deshalb sollte es Dein Ziel sein herauszufinden welche Anwendung denn überhaupt tstunnel benutzt?
    Kannst natürlich auch einfach einmal tstunnel über die Firewall blockieren lassen und schauen was passiert. Funktioniert alles kannst Du es blockiert lassen.
    Normalerweise sollte Dir Deine Firewall aber auch anzeigen können in welchem Verzeichnis die tstunnel.exe liegt und so kannst Du recht leicht feststellen um welche Anwendung es sich wohl handelt und dann selber entscheiden ob gutartig oder bösartig. ;)
     
  5. PP Frank

    PP Frank Staff Member

    Hast du eigentlich Stealth VPN im Manager aktiviert?
     
  6. L

    Lucy2018 New Member

    Ja, Stealth ist aktiviert. Zum Zeitpunkt, als die Abfrage kam, lief keine Anwendung, auch nicht im Hintergrund. Was mich an der Sache etwas verunsichert, ist, dass tstunnel.exe eine eingehende Verbindung eigehen möchte. Hätte ich eine Software wie Office geöffnet und wäre diese dafür verantwortlich, dann müsste es eine Anfrage zu einer ausgehenden Verbindung geben.
     
  7. PP Frank

    PP Frank Staff Member

    Dann vermutlich dort auch mit STunnel als Option. Die IP wundert mich nur die angezeigt wird
     
  8. L

    Lucy2018 New Member

    Ja, auch STunnel ist aktiviert. Wie ich bereits geschrieben hatte, war es das letzte Mal ein IP Adresse aus der Türkei und zuvor eine aus Südamerika. Ich werde weiter Screenshots sammeln und hier posten.
     
  9. PP Frank

    PP Frank Staff Member

    Mach einfach mal Stealth aus oder schalte auf OBFSProxy um und gucke ob die Messages noch kommen, oder ob die sich verändern
     
  10. L

    Lucy2018 New Member

    Hye, es ist schon wieder passiert. War mit London2 verbunden und habe dann auf Strassbourg gewechselt. Ein paar Sekunden später meldet sich die Firewall mit dieser Meldung. Meinen PC habe ich seit dem letzten Mal komplett formatiert und alles neu installiert (Windows 10 und Office 2010 und die Firewall, sonst nichts).

    Was ist das blos, mit diesen eingehenden Verbindungsversuchen durch die tstunnel.exe??? Ist diese exe Datei nicht vertrauenswürdig? Die IP gehört angeblich einem Eduardo Vega aus Belize....
     

    Attached Files:

  11. PP Frank

    PP Frank Staff Member

    Ist stealthvpn an?
     
  12. L

    Lucy2018 New Member

    Ja, es passiert nur, wenn stealthvpn aktiviert ist. Ist dies etwas, dem ihr in irgendeiner Art und Weise nachgehen könntet? Auch wenn diese IP wieder nicht zu PP gehört...
     
  13. PP Frank

    PP Frank Staff Member

    Dann wirst du wohl StealthVPN auf sTunnel gesetzt haben.
    Was das für eine IP ist, kann ich dir so jetzt nicht sagen. (weiss ich nicht)
     
  14. MixMaster

    MixMaster Member

    Die letzte Adresse 45.227.254.5 gehört zu einer "CryptoBet"-Seite (xwin.io). Verwunderlich ist, daß es sich um eine "eingehende Verbindung" handeln soll. Wie kommt die überhaupt rein? Port-Forwarding über den Tunnel kann es da nocht nicht sein, glaube ich. tstunnel sollte doch erstmal nur eine Verbindung zu einem PP-Server herstellen, über die dann OpenVPN getunnelt wird.

    Es kann irgendwas fischiges in deiner tstunnel.exe sein, genausogut kann es aber auch nur eine fehlerhafte Meldung der Comodo-Firewall sein.
    Hast du tstunnel.exe mal bei VirusTotal o.ä. prüfen lassen?

    Ich wollte es gerade selber ausprobieren. In meinem virtuellen Windows 7 funktioniert stunnel momentant überhaupt nicht. Vielleicht habe ich da etwas kaputtinstalliert.
    Stealth über SSH oder obfsproxy funktioniert.
     
  15. W

    Wioli New Member

    Hi, klinke mich mal auch mit ein. Verwende Comodo seit einem Jahrzehnt und es gab nie Fehlalarme. Rein aus Neugier habe habe ich StealthVPN mit Obfsproxy bei mir aktiviert. Stunnel noch nie aktiv bei mir. Das war am Freitag Abend. Gestern Abend habe ich meine VPN Verbindung getrennt und aus heiterem Himmel meldet sich auch bei mir die "tstunnel.exe", um eine Verbindung ins Internet aufzubauen. So wie ich das verstanden habe, wird die "tstunnel.exe" nur verwendet, wenn Stunnel aktiviert ist. Wie kann das sein?

    Meinungen?
     

    Attached Files:

  16. MixMaster

    MixMaster Member

    Das ist sehr merkwürdig. Kannst du dabei in der Prozessliste sehen, ob wirklich eine tstunnel.exe läuft? Wenn ich im VPN-Manager obfsproxy auswähle, sehe ich neben openvpn.exe wie erwartet eine obfs4proxy.exe, aber keine tstunnel.exe
    Die tstunnel.exe aus dem PP-Paket wird mir bei VirusTotal jedenfalls als "clean" angezeigt.

    Irgendeine P2P- oder andere VPN-Software habt ihr nicht zufällig nebenbei laufen? :)
     
  17. W

    Wioli New Member

    Bei mir laufen bzw. liefen auch nur openvpn und ofbsproxy. Als ich die Verbindung getrennt hatte, habe ich gesehen wie die tstunnel.exe plötzlich in der Prozessliste auftauchte. Bei mir zuminest läuft keine andere VPN Software noch P2P. Zu dem Zeitpunkt waren alle Anwedungen beendet.

    Werde das mal rein aus Neugier weiter beobachten und PP auch mit aktiviertem STunnel testen.

    Wer ist denn eigentlich Urheber der tstunnel.exe? Ist die exe Open Source?
     
  18. MixMaster

    MixMaster Member

    Die tstunnel.exe sollte wohl von stunnel.org stammen. Die aktuell dort herunterladbare Version ist aber etwas größer als die Version, die im obfs-Verzeichnis des PP-Managers liegt.