Toon posts:

Abnormale upload.

Pagina: 1
Acties:

zaterdag 5 februari 2011 12:32

Acties:

Verwijderd

Topicstarter
Hallo,

sinds afgelopen nacht heeft mijn servertje (windows XP) een abnormale upload.
Hij is af en toe met 10MB/s aan het uploaden (wat in theorie helemaal niet zou kunnen aangezien mijn maximale upload op 0,4MB/s is). Als mijn servertje om onbekende reden aan het upload is ligt het internet in het hele huis helemaal plat. Geen webpagina kan meer opgevraagd worden. Vandaar dat ik het ontdekte.

Ik heb de pc opnieuw gestart en gescand met de virusscanner, router en modem opnieuw opgestart. Helaas heeft dit niet gewerkt. Hij heeft nu zelfs afgelopen nacht 270GB geupload volgens mijn internet meter. Zie ook de afbeelding: Afbeeldingslocatie: http://www.jjdrive-in.nl/media/diversen/sloofje3.jpg en dan rechts onderin.

Ik begrijp er niets van wat er aan de hand is. Aangezien er een website van mij op die pc staat wil ik niet meteen de stekker er uit trekken.

Weet iemand van jullie wat hier in hemelsnaam aan de hand is?

Alvast bedankt!

zaterdag 5 februari 2011 12:34

Acties:

Verwijderd

-

[ Voor 100% gewijzigd door Verwijderd op 05-02-2011 12:34 ]

zaterdag 5 februari 2011 12:35

Acties:
  • Aloys
  • Registratie: Juni 2005
  • Niet online

Aloys

Je zou een tooltje kunnen downloaden om het echte verkeer te monitoren. Dus requests naar verschilllende adressen zien gaan. Dan kan je veel sneller uitvinden waar dit om gaat denk ik.

edit: zo'n tooltje is dus een tcp monitor :) .

[ Voor 12% gewijzigd door Aloys op 05-02-2011 12:36 ]

zaterdag 5 februari 2011 12:36

Acties:
  • Nielson
  • Registratie: Juni 2001
  • Laatst online: 00:15

Nielson

Verwijderd schreef op zaterdag 05 februari 2011 @ 12:32:
Ik begrijp er niets van wat er aan de hand is. Aangezien er een website van mij op die pc staat wil ik niet meteen de stekker er uit trekken. Weet iemand van jullie wat hier in hemelsnaam aan de hand is?
Klinkt alsof je pc of iig webserver gehacked is. Geen rare bestanden in je webdirectory? Welke software gebruik je hier voor en is deze up to date, net zoals je (legale?) XP?

zaterdag 5 februari 2011 12:37

Acties:

Verwijderd

Topicstarter
@ Aloys: heb je wat namen van tooltjes die hiervoor geschikt zijn?

zaterdag 5 februari 2011 12:37

Acties:
  • crizyz
  • Registratie: Juli 2009
  • Laatst online: 22-11-2025

crizyz

ne.t.weaker

Kun je niet met een programma als meuk: Wireshark 1.5.0 kijken waar je servertje naar upload?

zaterdag 5 februari 2011 12:51

Acties:
  • Aloys
  • Registratie: Juni 2005
  • Niet online

Aloys

Crizyz geeft een goed voorbeeld :) . Analyseer daar eens je verkeer mee en bekijk of er vreemde connecties zijn of misschien idioot veel.

zaterdag 5 februari 2011 12:56

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Klinkt een beetje alsof je pc onderdeel is van een botnet en tracht bij te dragen aan een ddos. Hij stuurt dan gewoon zoveel mogelijk udp packets. Dat die niet door je internetverbinding passen doet er niet toe.

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 5 februari 2011 13:02

Acties:
  • aZuL2001
  • Registratie: September 2002
  • Laatst online: 31-01 11:11

aZuL2001

Je loopt iig achter met je update's ;)

Maar website of niet, het lijkt me toch zaak om dit snel uit te zoeken.
Je provider kan ook gaan klagen.
Lostrekken van je (interne) netwerk is ook niet onverstandig.

Wat zeggen de windows log files ?
Welke bestanden zijn er gewijzigd sinds het vreemde gedrag ?
Welke beschermingssoftware draai je ?
Zie je vreemde processen bij je taakbeheer ?
Wat zegt Netstat -a (command promt tool) ?
Al een online scan gedaan ? Trend Micro Housecall bijvoorbeeld.

[ Voor 4% gewijzigd door aZuL2001 op 05-02-2011 13:02 ]

Abort, Retry, Quake ???

zaterdag 5 februari 2011 13:02

Acties:
  • barfieldmv
  • Registratie: Maart 2004
  • Laatst online: 10-10-2025

barfieldmv

CyBeR schreef op zaterdag 05 februari 2011 @ 12:56:
Klinkt een beetje alsof je pc onderdeel is van een botnet en tracht bij te dragen aan een ddos. Hij stuurt dan gewoon zoveel mogelijk udp packets. Dat die niet door je internetverbinding passen doet er niet toe.
10 MB/s is ongeveer 100Mbit wat waarschijnlijk je netwerk snelheid is. De bot knalt als DDOS dus je hele netwerk plat.

Even een virus scanner of met een wireshark tool kijken wat er gebeurd.

zaterdag 5 februari 2011 13:35

Acties:

Verwijderd

Topicstarter
aZuL2001 schreef op zaterdag 05 februari 2011 @ 13:02:
Je loopt iig achter met je update's ;)
Ik draai XAMPP als webserver.
Verder beschikken XP en Norton Internet Security over de laatste updates.

Ik heb niet zo heel veel ervaring op dit gebied maar mij vallen wel een paar opmerkelijke dingen op met TCP monitor. Afbeeldingslocatie: http://www.jjdrive-in.nl/media/diversen/sloofje4.jpg Zie onder aan de lijst. Zijn dit inderdaad abnormale processen?

Tevens lijkt het of ik er nu niet zo veel last meer van heb. Laatste 30min. Is er geen abnormaal verkeer meer geweest.

Edit: En wat kan ik er aan doen? Inmiddels ben ik weer 10MB/s aan het uploaden :-(

[ Voor 6% gewijzigd door Verwijderd op 05-02-2011 13:42 ]

zaterdag 5 februari 2011 13:48

Acties:
  • crizyz
  • Registratie: Juli 2009
  • Laatst online: 22-11-2025

crizyz

ne.t.weaker

Lijkt mij of dat unknown proces alle lokale poorten af aan het gaan is (hier 4869-4893). Maar then again, ik ben geen expert op dit gebied...
aZuL2001 schreef op zaterdag 05 februari 2011 @ 13:02:
Lostrekken van je (interne) netwerk is ook niet onverstandig.

[ Voor 38% gewijzigd door crizyz op 05-02-2011 13:50 ]

zaterdag 5 februari 2011 13:48

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

1e100.net is google. Dit is alleen tcp. We hebben het hoogstwaarschijnlijk over udp.

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 5 februari 2011 13:54

Acties:
  • Beatboxx
  • Registratie: April 2010
  • Laatst online: 26-10-2022

Beatboxx

Certified n00b

Als ik jou was, zou ik eens heel goed gaan scannen op virussen...

zaterdag 5 februari 2011 14:02

Acties:
  • Pogostokje
  • Registratie: September 2001
  • Laatst online: 19-02 19:43

Pogostokje

* twiet *

Zonder dat je weet wat het is, ben je misschien wel heel veel mensen tot last. Dus, doe een netstat -a en/of check in je router waar al het verkeer heen gaat en haal hem dan van het netwerk af. Anders doet je provider het misschien straks en zit je een tijd zonder internet.

... ook ik heb soms per ongeluk gelijk.

zaterdag 5 februari 2011 14:15

Acties:
  • kluyze
  • Registratie: Augustus 2004
  • Niet online

kluyze

Naast wireshark kan je ook eens Netlimiter proberen (er is een gratis trial die alle functionaliteit heeft) Dan zie je welke processen welke bandbreedte innemen en naar welk IP dit is.

http://www.netlimiter.com/img/scrshots/nl2shot_limit.png

Ik vind het in elk geval makkelijker werken als wireshark. In de opties staat de mogelijkheid om UDP te negeren, dus ik neem aan dat die dat standaard ook mee neemt.

zaterdag 5 februari 2011 14:19

Acties:
  • aZuL2001
  • Registratie: September 2002
  • Laatst online: 31-01 11:11

aZuL2001

Verwijderd schreef op zaterdag 05 februari 2011 @ 13:35:
[...]
Verder beschikken XP en Norton Internet Security over de laatste updates.
En toch staat er een geel schildje rechtsonderin op je eerste screenie....

Abort, Retry, Quake ???

zaterdag 5 februari 2011 14:19

Acties:
  • Nielson
  • Registratie: Juni 2001
  • Laatst online: 00:15

Nielson

Sluit via taakbeheer ook zoveel mogelijk onnodige processen even af, waarom heb je bv LogMeIn draaien als je ook via rdp ingelogd bent, gebruik je filezilla momenteel ook, etc.

zaterdag 5 februari 2011 14:25

Acties:
  • _trickster_
  • Registratie: Mei 2005
  • Laatst online: 24-02 17:58

_trickster_

Probeer anders eens Enditall, dat is een tooltje die alle proccessen sluit, ook je webserver, en laat dan alleen het echt nodige van windows draaien, waarschijnlijk ben je inderdaad geinfecteerd door een botnet tool, of is er een FTP server remotely geinstalleerd en ben je een FTP Warz host, dat laatste is mij ook een keer overkomen.

Dit komt meestal door een lek in een web-site via php/mysql.

zaterdag 5 februari 2011 16:26

Acties:

Verwijderd

Topicstarter
kluyze schreef op zaterdag 05 februari 2011 @ 14:15:
Naast wireshark kan je ook eens Netlimiter proberen (er is een gratis trial die alle functionaliteit heeft) Dan zie je welke processen welke bandbreedte innemen en naar welk IP dit is.

http://www.netlimiter.com/img/scrshots/nl2shot_limit.png

Ik vind het in elk geval makkelijker werken als wireshark. In de opties staat de mogelijkheid om UDP te negeren, dus ik neem aan dat die dat standaard ook mee neemt.
Dank voor dit overzichtelijke programma. Tevens dank voor alle andere reacties.
Ik heb daarmee ontdekt dat Apache HTTP Server de boosdoener is. Hij opent soms opeens abnormaal veel processen. Blokkeren met Netlimiter heeft geen zin.

Afbeeldingslocatie: http://www.jjdrive-in.nl/media/diversen/sloofje6.jpg

Kan ik het probleem verhelpen door de laatste versie XAMPP (Apache is onderdeel XAMPP) installeren en oude dus verwijderen?

zaterdag 5 februari 2011 16:35

Acties:
  • Compizfox
  • Registratie: Januari 2009
  • Laatst online: 19:09

Compizfox

Bait for wenchmarks

barfieldmv schreef op zaterdag 05 februari 2011 @ 13:02:
[...]


10 MB/s is ongeveer 100Mbit wat waarschijnlijk je netwerk snelheid is. De bot knalt als DDOS dus je hele netwerk plat.

Even een virus scanner of met een wireshark tool kijken wat er gebeurd.
100Mbit upload thuis? :D
:+

Gewoon een heel grote verzameling snoertjes

zaterdag 5 februari 2011 16:38

Acties:

Verwijderd

Topicstarter
Compizfox schreef op zaterdag 05 februari 2011 @ 16:35:
[...]

100Mbit upload thuis? :D
:+
Dat snap ik dus ook niet hoe dat kan. Maar ik ben geen computer expert ;)

zaterdag 5 februari 2011 16:47

Acties:
  • The Eagle
  • Registratie: Januari 2002
  • Laatst online: 23:17

The Eagle

I wear my sunglasses at night

Simpel, FTTH, 100Mbit up en down.
Glasvezelftje dus :)
Maar dat was de vraag niet ;)

TS zou eens kunnen proberen wat er gebeurt als hij zijn kabel naar buiten toe er uit trekt, Dus niet die naar de switch maar een andere, die naar zijn ISP. Het HOEFT namelijk niet zo te zijn dat hij de oorzaak is; kan ook een van de machines van huisgenoot / familie zijn die loopt te mekkeren :)

[ Voor 75% gewijzigd door The Eagle op 05-02-2011 16:49 ]

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

zaterdag 5 februari 2011 16:51

Acties:
  • kluyze
  • Registratie: Augustus 2004
  • Niet online

kluyze

Heb je toevallig een phpMyAdmin draaien?

http://www.malwarecity.co.../index.php?showtopic=1177

Ik weet alleen niet of dit ook met een Windows server geldig is.

zaterdag 5 februari 2011 17:13

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Verwijderd schreef op zaterdag 05 februari 2011 @ 16:38:
[...]


Dat snap ik dus ook niet hoe dat kan. Maar ik ben geen computer expert ;)
Heel simpel met UDP: je stuurt gewoon packets zo hard als je kunt en daarna maakt 't je niet meer uit. De eerstvolgende stap waar de verbinding wat smaller wordt (je modem) moet dan 96mbps aan packets weggooien, maar daar merkt je pc niets van.

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 5 februari 2011 17:14

Acties:
  • DiedX
  • Registratie: December 2000
  • Laatst online: 16:28

DiedX

kluyze schreef op zaterdag 05 februari 2011 @ 16:51:
Heb je toevallig een phpMyAdminscript draaien?
Wat heb je allemaal op je webserver geinstalleerd? Denk vooral aan de Joomla!'s etc.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

zaterdag 5 februari 2011 17:27

Acties:

Verwijderd

Topicstarter
DiedX schreef op zaterdag 05 februari 2011 @ 17:14:
[...]

Wat heb je allemaal op je webserver geinstalleerd? Denk vooral aan de Joomla!'s etc.
Ik ben nog een beginneling :-) Naast XAMMP had ik nog niks op de webserver geïnstalleerd.
Enkel een Flash bestand in de Htdocs map. Die een website van mij weergaf.
De volgende stap was voor mij d.m.v. virtual hosts Website baker te installeren.

Ik heb XAMMP nu verwijderd en ga even kijken of het probleem blijft.

zaterdag 5 februari 2011 22:00

Acties:
  • aZuL2001
  • Registratie: September 2002
  • Laatst online: 31-01 11:11

aZuL2001

Je bent dus symptomen aan het bestrijden.
Had je de logging al nagekeken ?
En de diverse andere suggesties die ik deed ?

Het gedrag van de machine is vreemd.
De kans dat iemand anders dat ding bestuurt is mij te groot.
Formateren en opnieuw beginnen imho.

Abort, Retry, Quake ???

zondag 6 februari 2011 00:35

Acties:

Verwijderd

Topicstarter
aZuL2001 schreef op zaterdag 05 februari 2011 @ 13:02:
Je loopt iig achter met je update's ;)

Maar website of niet, het lijkt me toch zaak om dit snel uit te zoeken.
Je provider kan ook gaan klagen.
Lostrekken van je (interne) netwerk is ook niet onverstandig.

Wat zeggen de windows log files ?
Welke bestanden zijn er gewijzigd sinds het vreemde gedrag ?
Welke beschermingssoftware draai je ?
Zie je vreemde processen bij je taakbeheer ?
Wat zegt Netstat -a (command promt tool) ?
Al een online scan gedaan ? Trend Micro Housecall bijvoorbeeld.
Ik had graag meer adviezen geprobeerd maar of ik weet niet hoe ik b.v. in de windows log files kan komen en kan daar b.v. ook geen conclusie uit trekken. Zelfde geld b.v. voor Netstat -a de resultaten zeggen mij weinig.

Met het Tooltje Netlimiter ben ik wel verder gekomen en zag ik dat Apache vreemd deed.
Ik heb een nieuwe versie van XAMPP geïnstalleerd. En het probleem is tot nu toe verholpen.

Iemand misschien een tip hoe ik mijn beveiliging kan verbeteren?
Misschien windows server draaien?

zondag 6 februari 2011 01:38

Acties:
  • aZuL2001
  • Registratie: September 2002
  • Laatst online: 31-01 11:11

aZuL2001

Beginnen met de machine opnieuw te installeren.
Deze setup is niet meer van jou. Wie zegt dat je met Xamp update klaar bent ?

En je zou ook eens een linux doosje kunnen overwegen.
Zijn in bepaalde versies beduidend beter bestand tegen continu aan het internet dan windows en een eigenaar die er te weinig van afweet.

ClearOS kan ik je zo aanraden.

Abort, Retry, Quake ???

zondag 6 februari 2011 01:57

Acties:
  • jeroen3
  • Registratie: Mei 2010
  • Laatst online: 19:31

jeroen3

Op de site van Xampp staat:
Afbeeldingslocatie: http://www.apachefriends.org/cache/4b62b32d3774a91af255ab8806551d8c.png
As mentioned at another place, XAMPP is not meant for production use but only for developers in a development environment. XAMPP is configured is to be as open as possible and to allow the web developer anything he/she wants. For development environments this is great but in a production environment it could be fatal.

Here a list of missing security in XAMPP:
[list]
• The MySQL administrator (root) has no password.
• The MySQL daemon is accessible via network.
• phpMyAdmin is accessible via network.
• The XAMPP demopage is accessible via network.
• The default users of Mercury and FileZilla are known.
[/list]
Lijkt me duidelijk waar het aan ligt...

[ Voor 23% gewijzigd door jeroen3 op 06-02-2011 01:58 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq