RPC verkeer van onbekend IP adres

maandag 19 december 2005 11:54

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Het ip komt af van:
OrgName: RIPE Network Coordination Centre
OrgID: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

Acties:

Moderator SSC/PB

Moooooh!

Je zegt dat het wordt toegestaan, waaruit maak je dat op? Ik neem aan dat je de live logging gebruikt, daar zie je ook welke regel van toepassing is op het verkeer. Het zou kunnen dat je op een bepaalde regel het verkeer verboden hebt maar dat daarboven nog ergens een regel staat die het wel toestaat.

maandag 19 december 2005 12:00

Acties:

pizzaboertje

Topicstarter

Jazzy schreef op maandag 19 december 2005 @ 11:54:
Je zegt dat het wordt toegestaan, waaruit maak je dat op? Ik neem aan dat je de live logging gebruikt, daar zie je ook welke regel van toepassing is op het verkeer. Het zou kunnen dat je op een bepaalde regel het verkeer verboden hebt maar dat daarboven nog ergens een regel staat die het wel toestaat.

Ja klopt dit had ik inderdaad verwacht. Hij geeft bij rule helemaal niets aan. Ik krijg eerst 2x een Denied en vervolgens meerdere malen achter elkaar closed, initiated. De access rule die RPC verkeer tegen moet houden van external naar internal staat bovenaan en staat 100% zeker op denied. Dus hij moet hem uit de system policy halen maar daar staat hij ook niet.

maandag 19 december 2005 12:01

Acties:

Verwijderd

Outerspace schreef op maandag 19 december 2005 @ 11:51:
Het ip komt af van:
OrgName: RIPE Network Coordination Centre
OrgID: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL

En hoe weet je dat zo zeker?

volgens: http://ripe.net/fcgi-bin/...submit.y=12&submit=Search

code:

inetnum:         82.136.64.0 - 82.136.81.255
netname:         TELEZUG-HFC
descr:           TELEZUG AG CableTV Customer
country:         CH
remarks:         ****************************************************
remarks:         For Spam/Abuse, please contact ONLY abuse@telezug.ch
remarks:         E-mails to other addresses will be IGNORED
remarks:         ****************************************************
admin-c:         TZE1-RIPE
tech-c:          TZN1-RIPE
rev-srv:         dns01.datazug.ch
rev-srv:         dns02.datazug.ch
status:          ASSIGNED PA "status:" definitions
mnt-by:          AS8821-MNT
source:          RIPE # Filtered

maandag 19 december 2005 12:03

Acties:

maandag 19 december 2005 12:12

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Ik gaf gewoon het verkeerde door

stom

Thanks voor de verbetering, de TS kan er wat meer mee nu

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

Acties:

Moderator SSC/PB

Moooooh!

Outerspace schreef op maandag 19 december 2005 @ 12:03:
Thanks voor de verbetering, de TS kan er wat meer mee nu

En wat is dat precies?

maandag 19 december 2005 12:27

Acties:

pizzaboertje

Topicstarter

Heb zojuist een mail gestuurd naar zowel abuse@ripe.net als abuse@telezug.ch. Ben benieuwd wat hier uit gaat komen. Naar mijn weten is het namelijk niet noodzakelijk (eerder kwaadaardig) wanneer er geprobeerd word om connectie (vanaf extern naar intern) te maken over RPC.

maandag 19 december 2005 12:34

Acties:

Moderator SSC/PB

Moooooh!

pizzaboertje schreef op maandag 19 december 2005 @ 12:27:
Heb zojuist een mail gestuurd naar zowel abuse@ripe.net als abuse@telezug.ch. Ben benieuwd wat hier uit gaat komen. Naar mijn weten is het namelijk niet noodzakelijk (eerder kwaadaardig) wanneer er geprobeerd word om connectie (vanaf extern naar intern) te maken over RPC.

Mwah, het kan van alles zijn. Bijvoorbeeld een verkeerd geconfigureerd systeem wat met Outlook over RPC probeert te connecten naar jouw IP-adres of hostnaam.

Als ik jou was dan zou ik je gewoon focussen op de firewall, dan hoef je je niet druk te maken over al dan niet opzettelijke aanvallen.

maandag 19 december 2005 13:01

Acties:

pizzaboertje

Topicstarter

Jazzy schreef op maandag 19 december 2005 @ 12:34:
[...]
Mwah, het kan van alles zijn. Bijvoorbeeld een verkeerd geconfigureerd systeem wat met Outlook over RPC probeert te connecten naar jouw IP-adres of hostnaam.

Als ik jou was dan zou ik je gewoon focussen op de firewall, dan hoef je je niet druk te maken over al dan niet opzettelijke aanvallen.

Er stond inderdaad een access rule voor Exchange over rpc. Dit gebruik ik niet meer dus heb de rule verwijderd. Nu worden netjes alle rpc pogingen denied.

Het kan inderdaad een fout zijn van hun kant uit. Zit zelf vanuit tiscali ook in de ip range van 82.136.x.x

Topic kan wat mij betreft dicht.

[ Voor 3% gewijzigd door pizzaboertje op 19-12-2005 13:02 ]

maandag 19 december 2005 13:19

Acties:

Moderator SSC/PB

Moooooh!

pizzaboertje schreef op maandag 19 december 2005 @ 13:01:
[...]

Er stond inderdaad een access rule voor Exchange over rpc. Dit gebruik ik niet meer dus heb de rule verwijderd. Nu worden netjes alle rpc pogingen denied.

Super! Mooi dat je de fout hebt kunnen achterhalen.

woensdag 21 december 2005 01:26

Acties:

woensdag 21 december 2005 06:10

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Jazzy schreef op maandag 19 december 2005 @ 12:12:
[...]
En wat is dat precies?

offtopic:
De TS is de TopicStarter. Soms wil 'de TS' ook wel eens staan voor TopicStart (de eerste post in een topic

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

Acties:

Moderator SSC/PB

Moooooh!

Outerspace schreef op woensdag 21 december 2005 @ 01:26:
[...]

offtopic:
De TS is de TopicStarter. Soms wil 'de TS' ook wel eens staan voor TopicStart (de eerste post in een topic

Wauw! Dat vraag ik me nu al af sinds de dag dat ik geregistreerd ben, dat is 5 jaar en 5000 geschreven berichten geleden.

Ik bedoelde, wat kan de TS er nu mee dat hij weet waar het IP adres is uitgegeven. NIet zo veel als je het mij vraagt.

woensdag 21 december 2005 13:52

Acties:

pasta

Ondertitel

Met wat andere informatie (logs e.d.) kan je de provider mailen op abuse@provider.ext, deze kan (niet iedereen doet het jammer genoeg) acties ondernemen.

Signature

woensdag 21 december 2005 14:00

Acties: