Toon posts:

Wat is port 11671?

Pagina: 1
Acties:

zondag 25 februari 2007 13:39

Acties:
  • scsirob
  • Registratie: November 2001
  • Laatst online: 01-03 17:34

scsirob

Topicstarter
Mijn firewall log staat bomvol met pogingen van allerlei systemen om een verbinding naar port 11671 te maken, soms wel 100 per minuut. Lijkt me op een botnet in actie. Ik heb alleen kunnen vinden dat er ooit een php code injectie op sommige forums mee mogelijk is geweest. Iemand een idee wat er nog meer mee geprobeert kan worden?

To terminate or not to terminate, that's the question...

zondag 25 februari 2007 13:43

Acties:
  • geforce5_guy
  • Registratie: December 2001
  • Niet online

geforce5_guy

Scan je pc op virussen etc.
Kijk in je taakmanager / task manager of er processen zijn die er niet in horen.

Er draait iets op je computer wat niet gewenst is...

zondag 25 februari 2007 13:45

Acties:
  • pven
  • Registratie: Oktober 1999
  • Niet online

pven

Waar haal je uit dat het in zijn netwerk zit? Zo te lezen is het iets van buitenaf.

Kortom: twee reacties, twee meningen; scsirob: geef eens wat meer informatie.

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

zondag 25 februari 2007 13:46

Acties:
  • scsirob
  • Registratie: November 2001
  • Laatst online: 01-03 17:34

scsirob

Topicstarter
Op zich goed advies, maar ik zie geen enkele activiteit de andere kant op. Dit is trouwens een hardware firewall (Zyxel), niet de Windows software F/W.

To terminate or not to terminate, that's the question...

zondag 25 februari 2007 13:58

Acties:
  • scsirob
  • Registratie: November 2001
  • Laatst online: 01-03 17:34

scsirob

Topicstarter
pven schreef op zondag 25 februari 2007 @ 13:45:
Waar haal je uit dat het in zijn netwerk zit? Zo te lezen is het iets van buitenaf.

Kortom: twee reacties, twee meningen; scsirob: geef eens wat meer informatie.
Ik denk ook dat het van buitenaf komt. Inmiddels wordt er ook nog een tweede poort actief gescant. Hierbij een klein stukje log, waarbij te zien is dat de verbindingen overal vandaan komen, maar allemaal naar mijn IP adres op twee poorten geprobeerd worden:
# Time Message Source Destination Note
1 02/25/2007 13:53:27 Firewall default policy: UDP (W to W/ZW) 82.170.81.63:26582 62.194.242.81:11671 ACCESS BLOCK
2 02/25/2007 13:53:27 Firewall default policy: UDP (W to W/ZW) 86.120.233.21:2321 62.194.242.81:12779 ACCESS BLOCK
3 02/25/2007 13:53:24 Firewall default policy: UDP (W to W/ZW) 80.39.29.101:13165 62.194.242.81:12779 ACCESS BLOCK
4 02/25/2007 13:53:22 Firewall default policy: UDP (W to W/ZW) 88.247.170.139:2352 62.194.242.81:12779 ACCESS BLOCK
5 02/25/2007 13:53:22 Firewall default policy: UDP (W to W/ZW) 62.194.204.4:2300 62.194.242.81:11671 ACCESS BLOCK
6 02/25/2007 13:53:19 Firewall default policy: UDP (W to W/ZW) 86.87.206.238:52577 62.194.242.81:12779 ACCESS BLOCK
7 02/25/2007 13:53:18 Firewall default policy: UDP (W to W/ZW) 82.170.81.63:26582 62.194.242.81:11671 ACCESS BLOCK
8 02/25/2007 13:53:18 Firewall default policy: UDP (W to W/ZW) 86.120.233.21:2321 62.194.242.81:12779 ACCESS BLOCK

To terminate or not to terminate, that's the question...

zondag 25 februari 2007 20:07

Acties:
  • soulrider
  • Registratie: April 2005
  • Laatst online: 27-11-2017

soulrider

http://www.google.be/search?q=list+port+udp
geeft al enkele lijsten van gebruikelijke udp-poorten.

maar wrs is dit een messenger-protocol-spam-run ...

(maw: de spam die over het messenger-protocol van windows komt - het oh zo bekende "net send"-achtige)

wil je zekers zijn:
snif effe met een goede packetsniffer/ontleder. zoals packetyzer
(gebruik ik hier intern meestal om zulke troep te detecteren en te ontleden)

't kan je helpen iets meer info te vinden.
mss een 0day-exploit-run tegen je router/modem ?

je kan ook deze logs verzamelen in een tekst-bestand ofzo en deze dan bezorgen aan een CERT-team voor onderzoek, mss help je zo wel een botnetje lam te leggen ?

en anders niet blokkeren maar naar een onbestaand intern adres sturen
gebeurd hier ook (als standaard server in mijn 510 een intern-ip opgegeven dat niet in zijn dhcp-range zit en ook niet gebruikt wordt op deze moment - mss ooit wel door een op vmware lopende NIDS)

[ Voor 9% gewijzigd door soulrider op 25-02-2007 20:08 ]

zondag 25 februari 2007 23:06

Acties:
  • ChaserBoZ_
  • Registratie: September 2005
  • Laatst online: 04-01 10:58

ChaserBoZ_

Op zich kan iedere soort verkeer over die poort worden gestuurd natuurlijk.

Zolang je router/firewall het tegenhoudt . . . . .

'Maar het heeft altijd zo gewerkt . . . . . . '

maandag 26 februari 2007 01:23

Acties:
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Heb je niet toevalling een bittorrent client draaien of limewire of kazaa oid?

QnJhaGlld2FoaWV3YQ==

maandag 26 februari 2007 01:44

Acties:

Verwijderd

dat kan inderdaad, op veel P2P systeemen melden clients zich niet af en dan kan er wel een nachtje overheen gaan voordat andere clients door hebben dat je er niet meer bent.

verder zou ik je pc scannen en zorgen dat ze gewoon clean zijn. dus geen spyware/virussen of wat dan ook maar aan ongedierte wat er niet op thuis hoort.

je kun in je firewall een rule maken om alle traffic op die poorten zowel uitgaand als inkomend verkeer te droppen. dan weet je zeker dat je in iedergeval niet via die poorten deel uitmaakt van een botnet.

verder zou ik het gewoon een dag of 2 aankijken. als het niet overgaat dan kun je beter echt actie ondernemen. en volg je logs om te zien of ze niet overspringen naar een andere port.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq