SYN_SENT pakketjes naar verschillende ip's in netwerk. - Privacy en beveiliging

zaterdag 11 juni 2005 02:51

Acties:

Verwijderd

Topicstarter

Ik heb een vraagje. Ik had achter een routertje een webservertje hangen. Ik zeg bewust 'HAD', want ik heb het systeem maar uitgeschakeld om de volgende reden:

Wanneer ik met netstat -a kijk zie ik dat er constant SYN_SENT pakketjes vanaf dit doosje het netwerk opgeslingerd worden naar ip's binnen mijn interne ipreeks. En ook elke keer staat er een 'established' verbindinkje open naar: hack3rs.owns-the.us:5553. Kortom, ik heb systeempje maar es uitgezet.

Het systeempje is een Windows2000 doosje welke niets anders doet dan IIS en een website draaien. Deze zit achter een huis-tuin en keukenroutertje. Met alleen poort 80 open. Op dit doosje draait Norman Viruscontrol.

Wat heb ik zelf gedaan? Virusscan gedraaid, Online virusscan gedraaid (Trend Micro), HiJackThis gedraaid... Poort 5553 dichtgegooid op routertje. gezocht op google naar "poort 5553" Blijkt dat dit het xlog virus zou kunnen zijn. Was het blijkbaar niet. Geen Xlog.exe kunnen vinden, welke je dus had moeten verwijderen. Gezocht naar hack3rs.owns-the.us:5553. Google zegt er nix over. Gekeken of er vreemde processen draaiden. Ook stuk voor stuk de processen opzoeken bij Google leverde nix op (Ja google is blij met me :-)). O ja, ook Stinger vond ik helemaal noppes...
Mogelijk is het te laat voor me en zie ik van alles over het hoofd, maar als iemand een ideetje heeft, wat ik nog zou kunnen proberen, zou ik erg happy zijn $_/-\o_$

[ Voor 4% gewijzigd door Verwijderd op 11-06-2005 20:20 ]

zaterdag 11 juni 2005 09:35

Acties:

Verwijderd

Gezien die hack3rd naam lijkt deze me toch iets beter op z'n plaats in BV

Move WOS -> BV

zaterdag 11 juni 2005 22:53

Acties:

kris_112

Kun je niks in het access-log van je webserver terugvinden over hack3rs.owns-the.us?

Verder betekent SYN_SENT alleen dat je server geprobeert heeft een tcp-connectie te maken met een pc in je netwerk en dat deze pc niet heeft gereageerd. Anders zou de verbinding wel een andere status hebben.

zondag 12 juni 2005 12:58

Acties:

niels_999348

Vrij eenvoudig, er draait een botje op,
Irc maar is naar hack3rs.owns-the.us:5553

code:

* Connecting to hack3rs.owns-the.us (5553)
-
-irc.l33tnet.org- *** Looking up your hostname...
-
-irc.l33tnet.org- *** Found your hostname
-
Welcome to the L33tNet.org IRC Network weg@*****.dsl.hccnet.nl
Your host is irc.l33tnet.org, running version Unreal3.2.3
This server was created Sun Jun 5 2005 at 10:03:56 EDT
irc.l33tnet.org Unreal3.2.3 iowghraAsORTVSxNCWqBzvdHtGp lvhopsmntikrRcaqOALQbSeIKVfMCuzNTGj
SAFELIST HCN MAXCHANNELS=10 CHANLIMIT=#:10 MAXLIST=b:60,e:60,I:60 NICKLEN=30 CHANNELLEN=32 TOPICLEN=307 KICKLEN=307 AWAYLEN=307 MAXTARGETS=20 WALLCHOPS WATCH=128 are supported by this server
SILENCE=15 MODES=12 CHANTYPES=# PREFIX=(ohv)@%+ CHANMODES=beIqa,kfL,lj,psmntirRcOAQKVGCuzNSMTG NETWORK=L33tNet.org CASEMAPPING=ascii EXTBAN=~,cqnr ELIST=MNUCT STATUSMSG=@%+ EXCEPTS INVEX CMDS=KNOCK,MAP,DCCALLOW,USERIP are supported by this server
-
There are 1391 users and 895 invisible on 1 servers
1 unknown connection(s)
9 channels formed
I have 2286 clients and 0 servers
-
Current Local Users: 2286  Max: 2969
Current Global Users: 2286  Max: 2969
-
MOTD File is missing
-
* weg! sets mode: +iwx
-
Local host: censor (iphier)

en die SYN pakketjes is dat het botje probeerde te lanhacken.
Kortom ff hijackthis log posten en dan botje eraf en klaar

[ Voor 1% gewijzigd door niels_999348 op 12-06-2005 15:44 . Reden: even m'n ip weggehaald :P ]