9 berichten aan het bekijken - 1 tot 9 (van in totaal 9)
  • Q:
    Bijdrager
    Mrzl

    Poging tot inbraak?

    Ik zag het volgende in het logbestand staan van de firewall:

    Aug 12 16:23:15 marcel ipfw: Stealth Mode connection attempt to TCP 10.0.0.12:5900 from 10.0.0.10:50963
    Aug 12 16:23:18 marcel ipfw: Stealth Mode connection attempt to TCP 10.0.0.12:5900 from 10.0.0.10:50963
    Aug 12 19:45:37 marcel ipfw: 35000 Deny UDP 0.0.0.0:68 255.255.255.255:67 in via en0
    Aug 12 19:45:39 marcel ipfw: 35000 Deny UDP 0.0.0.0:68 255.255.255.255:67 in via en0
    Aug 12 19:47:36 marcel ipfw: 35000 Deny UDP 10.0.0.14:49187 255.255.255.255:2222 in via en0
    Aug 12 19:47:58 marcel ipfw: 35000 Deny UDP 10.0.0.14:49188 255.255.255.255:2222 in via en0

    Wat houdt dit precies in, weet iemand dit?

    Bijdrager
    junkiesxl

    Redelijk wat het logbestand zelf zegt.

    (naar mijn mening) zijn de belangrijkste dingen de ip-nummmers, de pogingen zijn afkomstig van je eigen netwerk, dus moet je ns kijken wie er nog op je netwerk zit en waarom die iets zou willen uitsteken.

    De eerte en tweede regel betekent dat iets/iemand vanaf ip 10.0.0.10 poort 50963 probeert een verbinding te maken met 10.0.0.12

    En dan heb je de UDP requests die ook geblockt worden.

    Bijdrager
    WouterReyntjens
    ”Mrzl”

    Aug 12 16:23:15 marcel ipfw: Stealth Mode connection attempt to TCP 10.0.0.12:5900 from 10.0.0.10:50963
    Aug 12 16:23:18 marcel ipfw: Stealth Mode connection attempt to TCP 10.0.0.12:5900 from 10.0.0.10:50963

    Dit wil zeggen dat 10.0.0.10 geprobeerd heeft verbinding te maken op de pc van marcel via poort 5900. De persoon is niet doorgegaan/doorgekunnen want je firewall deed zen werk en hij is waterdicht:p

    Junkiesxl was me voor:p

    Bijdrager
    Mrzl

    Dank voor de uitleg, dan is dit nog raarder:

    Aug 12 20:55:48 marcel ipfw: Stealth Mode connection attempt to TCP 10.0.0.12:49622 from 38.113.169.202:80
    Aug 12 20:56:00 marcel ipfw: Stealth Mode connection attempt to TCP 10.0.0.12:49617 from 38.113.169.202:80
    Aug 12 20:56:00 marcel ipfw: Stealth Mode connection attempt to TCP 10.0.0.12:49618 from 38.113.169.202:80
    Aug 12 20:56:00 marcel ipfw: Stealth Mode connection attempt to TCP 10.0.0.12:49619 from 38.113.169.202:80
    Aug 12 20:56:00 marcel ipfw: Stealth Mode connection attempt to TCP 10.0.0.12:49620 from 38.113.169.202:80
    Aug 12 20:56:00 marcel ipfw: Stealth Mode connection attempt to TCP 10.0.0.12:49621 from 38.113.169.202:80
    Aug 12 20:56:00 marcel ipfw: Stealth Mode connection attempt to TCP 10.0.0.12:49622 from 38.113.169.202:80

    Even gecheckt (via http://www.dnsstuff.com/) en blijkt een ip afkomstig uit Washinton te zijn, maar dit betekent toch dat diegene er niet in kan komen neem ik aan? Zou er ook een abuse mailtje heengestuurd moeten worden?

    de reden waarom ik dit post is dat ik vanmiddag even mijn mail wilde checken en ineens zag dat virtual pc opgestart was en er was geprobeerd een bestand via yousendit op te pikken, wat niet gelukt was, want VPC heeft kuren bij mij.

    Nu bleek dat mijn firewall niet aanstond, waarschijnlijk door eigen fout per ongeluk uitgezet en vergeten weer te activeren. Nu hij weer aanstaat hield ik dus even de log in de gaen en kreeg ik deze info.

    Bijdrager
    Yaris
    ”Mrzl”

    blijkt een ip afkomstig uit Washington te zijn

    Waarschijnlijk beschouwen de Amerikaanse veiligheidsdiensten je als een potentiƫle terrorist en willen ze op je computer nagaan of je een terreuraanslag aan het voorbereiden bent. :wink:

    Bijdrager
    junkiesxl

    Dat VPC opstart en probeert een bestand binnen te halen via yousendit uit zichzelf is toch heel raar (om niet meteen te zeggen onmogelijk). Je moet al VPC scripten en dan ook nog ns mee een windows-script erachteraan. Of een .exe hebben gedownload die zich automatisch heeft geopend.

    Maar echt schrik moet je normaal niet hebben van deze inbraakpogingen, het is meer dan wsl een script kiddie die op zoek is naar een computer die wel een poort open heeft staan. Alleen vind ik het nog gek dat er zoveel van je eigen netwerk komt.

    Bijdrager
    Mrzl

    Ik heb mijn macs allemaal met elkaar in verbinding via Chicken of the VNC, vandaar denk ik die vermeldingen. Maar goed, het is nu weer dichtgetimmemrd en nu maar hopen dat er geen lastpakken meer in de macs proberen te komen…

    Bijdrager
    LoveBug356

    Eerste 2 zijn gewoon een poging om een VNC verbinding te maken. standaard poort 5900
    De laatste zijn broadcasts. Ze worden naar iedereen in het netwerk gestuurt. Dit kan bijvoorbeeld zijn dat de computer zich met bepaalde services aanmeld op het netwerk en dit aan iedereen wilt laten weten. (Bonjour,…)

    10.*.*.* is gewoon een klasse B netwerk. Het is voorbehouden voor prive netwerken en bijgevolg zijn deze pakketjes dus allemaal van je eigen netwerk afkomstig.

    Hellemaal geen reden tot paniek dus

    Bijdrager
    Mrzl

    Dank voor de uitleg, inderdaad geen reden voor paniek als ik het zo lees:D

9 berichten aan het bekijken - 1 tot 9 (van in totaal 9)

Je moet ingelogd zijn om een reactie op dit onderwerp te kunnen geven.