8 berichten aan het bekijken - 1 tot 8 (van in totaal 8)
  • Q:
    Bijdrager
    gbruit

    Hacked door Spammers?

    Via mijn ADSL modem/router (Dlink G604) en Apple webservices (Apple server 10.3) mijn iMac als webserver ingesteld. Ik ben niet zo goed op de hoogte van beveiligingen, dus zoveel mogelijk firewall achtige dingen aangezet. (O.a. in de router).
    Dit (alarmerende??) berichtje verscheen in mijn logfile.

    192.168.1.1 – – [08/Apr/2005:00:43:44 +0700] “GET http://www.yahoo.com/ HTTP/1.0” 200 1040
    192.168.1.1 – – [08/Apr/2005:10:30:27 +0700] “CONNECT smtp.rol.ru:25 HTTP/1.0” 405 302
    192.168.1.1 – – [08/Apr/2005:10:31:01 +0700] “CONNECT smtp.rol.ru:25 HTTP/1.0” 405 302
    192.168.1.1 – – [08/Apr/2005:11:11:49 +0700] “CONNECT maila.microsoft.com:25 HTTP/1.0” 405 310
    192.168.1.1 – – [08/Apr/2005:11:11:51 +0700] “CONNECT maila.microsoft.com:25 HTTP/1.0” 405 310
    192.168.1.1 – – [08/Apr/2005:11:11:52 +0700] “CONNECT maila.microsoft.com:25 HTTP/1.0” 405 310
    192.168.1.1 – – [08/Apr/2005:11:35:14 +0700] “CONNECT smtp.rol.ru:25 HTTP/1.0” 405 302
    192.168.1.1 – – [08/Apr/2005:12:23:52 +0700] “CONNECT smtp.rol.ru:25 HTTP/1.0” 405 302

    Weet iemand wat er aan de hand is?

    Bijdrager
    rburgt

    Het “zou” kunnen zijn dat je pc slachtoffer is geworden omeen zombie pc te worden. Maar dit lijkt me hoogst onwaarschijnlijk. Probeer te kijken of deze evenementen synchoom lopen met een ander evenement op je computer dan kan je achterhalen waar het in zit.

    Bijdrager
    @GHB

    Wat ook kan is dat ze jouw mac gebruiken als mail relay server (om bijvoorbeeld SPAM te versturen, wat jezelf ook al vermoed). Als je geen SMTP server nodig heb, dan zou ik deze ook uitzetten (poort 25 -> postfix of andere software wat je hebt draaien).

    En houdt het inderdaad in de gaten.

    Bijdrager
    rburgt
    @GHB

    Wat ook kan is dat ze jouw mac gebruiken als mail relay server (om bijvoorbeeld SPAM te versturen, wat jezelf ook al vermoed). Als je geen SMTP server nodig heb, dan zou ik deze ook uitzetten (poort 25 -> postfix of andere software wat je hebt draaien).

    En houdt het inderdaad in de gaten.

    Als je deze poort alleen van buitenaf blokkeerd dan kan je intern nog gebruik maken v/d mailserver. Maar zo te zien komen de requests alleen van binnen uit het netwerk ( of zie ik dat verkeerd? )

    Bijdrager
    @GHB
    ”rburgt”

    Als je deze poort alleen van buitenaf blokkeerd dan kan je intern nog gebruik maken v/d mailserver. Maar zo te zien komen de requests alleen van binnen uit het netwerk ( of zie ik dat verkeerd? )

    Dat klopt, alleen als je de mailserver toch niet gebruikt, waarom dan wel opstarten? Lijkt mij veiliger.

    Bijdrager
    Herman

    De code 405 (Method Not allowed) geeft aan dat het de aanvaller niet lukt om een
    verbinding te leggen. Iemand scant jouw computer op zoek naar een oude bug.
    Typ voor de grap maar eens een regel uit de log-entry in Google in.

    Niets alarmerend dus.

    Bijdrager
    rburgt
    ”Herman”

    De code 405 (Method Not allowed) geeft aan dat het de aanvaller niet lukt om een
    verbinding te leggen. Iemand scant jouw computer op zoek naar een oude bug.
    Typ voor de grap maar eens een regel uit de log-entry in Google in.

    Niets alarmerend dus.

    ouch dit had ik ook moeten weten… Even voor de duidelijkheid code 200 betekend dat het OK is en het is een GET dus van binnen uit volgendsmij…

    Bijdrager
    Sad

    die eerste regel met GET is gewoon iemand die http://www.yahoo.com ingetikt heeft in de browser

8 berichten aan het bekijken - 1 tot 8 (van in totaal 8)

Je moet ingelogd zijn om een reactie op dit onderwerp te kunnen geven.