Wer die Webseiten Ebay.de und Ebay.com aufruft, dessen Rechner wird vom Betreiber der Server auf offene Ports gescannt. Per Javascript klopft Ebay an 14 Ports des lokalen Rechners an, die von den verbreitetsten Fernwartungs-Tools genutzt werden.

Bei einem offenen Port kann man davon ausgehen, dass ein entsprechender Dienst auf diesem Rechner aktiv ist. Dies Vorgehen hat der Sicherheitsforscher Charlie Belmer herausgefunden.

Mit einem Javascript namens Check.js versucht Ebay über Websockets eine Verbindung zu 127.0.0.1, der eigenen IP-Adresse des lokalen Rechners, aufzubauen. Beim ersten Aufruf der Webseiten Ebay.de und Ebay.com werden unter Windows die nachfolgenden Ports gescannt:

RDP: (Remote Desktop Protocol): 3389
Teamviewer: 5939, 5944, 6039, 6040
VNC: 5900, 5901, 5902, 5903
Anyplace Control: 5279
Anydesk: 7070
Aeroadmin: 5950
Tripp Lite Power Alert: 63333
Ammyy Admin: 5931

Interessant: Wenn man Ebay.de oder Ebay.com unter Linux aufruft, wird der Portscan nicht durchgeführt. Bei den Fernwartungstools in der Liste handelt es sich in erster Linie um Windows-Tools. Sie werden zum Beispiel von Administratoren benutzt, um auf entfernte Rechner zugreifen zu können und Computerprobleme der Mitarbeiter zu lösen oder die Rechner zu administrieren.

Die Ports bzw. Tools könnten aber auch von Angreifern verwendet werden, um Rechner zu übernehmen oder mit ihnen zu kommunizieren. Deshalb ist auch ein offener Port diesbezüglich wenig aussagekräftig.

Auf Nachfragen, wieso dieser Portscan durchgeführt wird, hat sich Ebay bisher noch nicht geäußert. Eventuell führt Ebay den Scan aus Sicherheitserwägungen durch und möchte dadurch einen Schadsoftwarebefall erkennen. “Unabhängig davon, ob der Portscan als Teil einer Infektion oder als Teil von sogenannten Sicherheitskontrollen im E-Commerce oder bei Banken verwendet wird, handelt es sich eindeutig um böswilliges Verhalten”, betont der Sicherheitsforscher. Offene Ports seien von Haus aus ein “schlechter Indikator für Schadsoftware”.

Foto: Wikimedia – gemeinfrei