zaterdag 13 oktober 2012 12:28

Acties:
  • 0 Henk 'm!

Anoniem: 291620

Topicstarter
Vanochtend zat ik eens te bedenken of het misschien lollig is een van de 64GB-usbsticks die ik heb liggen, in mijn experiabox te steken. Ik log in in de box en zie dat er net daarvoor een portscan is uitgevoerd. Nieuwsgierig als ik ben, check ik wie de eigenaar is van de ip-adressen die ik in de logfiles zie en tot mijn verbazing behoort de hele reeks aan Facebook. Nu heb ik zelf geen achtergrond in de ICT en weet ik van portscannen niet meer dan dat ik er in wikipedia over gelezen heb. Volgens de logfiles zijn de scans Outbound, wat lijkt alsof ik die scans uitgevoerd zou hebben. M'n MBP is voorzien van laatste updates en virusscanner geeft aan geen virussen of malware gevonden te hebben.

Weet iemand van jullie wat hier aan de hand kan zijn?

CW.


Dit is het logfile:
10/13/2012 11:45:00 **TCP SYN,FIN Scan** 192.168.2.12, 53792->> 69.171.229.24, 443 (from PPPoE1 Outbound)
10/13/2012 11:45:00 **TCP SYN,FIN Scan** 192.168.2.12, 53794->> 69.171.229.28, 443 (from PPPoE1 Outbound)
10/13/2012 11:45:00 **TCP SYN,FIN Scan** 192.168.2.12, 53796->> 69.171.229.75, 443 (from PPPoE1 Outbound)
10/13/2012 11:45:00 **TCP SYN,FIN Scan** 192.168.2.12, 53798->> 69.171.234.98, 443 (from PPPoE1 Outbound)
10/13/2012 11:45:00 **TCP SYN,FIN Scan** 192.168.2.12, 53800->> 69.171.228.22, 443 (from PPPoE1 Outbound)
10/13/2012 11:45:00 **TCP SYN,FIN Scan** 192.168.2.12, 53802->> 69.171.228.44, 443 (from PPPoE1 Outbound)
10/13/2012 11:43:59 **TCP SYN,FIN Scan** 192.168.2.12, 53792->> 69.171.229.24, 443 (from PPPoE1 Outbound)
10/13/2012 11:43:59 **TCP SYN,FIN Scan** 192.168.2.12, 53794->> 69.171.229.28, 443 (from PPPoE1 Outbound)
10/13/2012 11:43:59 **TCP SYN,FIN Scan** 192.168.2.12, 53796->> 69.171.229.75, 443 (from PPPoE1 Outbound)
10/13/2012 11:43:59 **TCP SYN,FIN Scan** 192.168.2.12, 53798->> 69.171.234.98, 443 (from PPPoE1 Outbound)
10/13/2012 11:43:59 **TCP SYN,FIN Scan** 192.168.2.12, 53800->> 69.171.228.22, 443 (from PPPoE1 Outbound)
10/13/2012 11:43:59 **TCP SYN,FIN Scan** 192.168.2.12, 53802->> 69.171.228.44, 443 (from PPPoE1 Outbound)



Resultaat van een whois op de ip's:
NetRange: 69.171.224.0 - 69.171.255.255
CIDR: 69.171.224.0/19
OriginAS: AS32934
NetName: TFBNET3
NetHandle: NET-69-171-224-0-1
Parent: NET-69-0-0-0-0
NetType: Direct Assignment
RegDate: 2010-08-05
Updated: 2012-02-24
Ref: http://whois.arin.net/rest/net/NET-69-171-224-0-1

OrgName: Facebook, Inc.
OrgId: THEFA-3
Address: 1601 Willow Rd.
City: Menlo Park
StateProv: CA
PostalCode: 94025
Country: US
RegDate: 2004-08-11
Updated: 2012-04-17
Ref: http://whois.arin.net/rest/org/THEFA-3

zaterdag 13 oktober 2012 12:40

Acties:
  • 0 Henk 'm!
  • photofreak
  • Registratie: Augustus 2009
  • Laatst online: 22-03 01:02

photofreak

Het lijken me gewoon false positives aangezien alle portscans naar poort 443 zouden gaan wat de standaard SSL poort is en laat facebook nu heel toevallig een ssl verbinding gebruiken voor het vervoer van gegevens.

Aan de timestaps kan je zien dat het vandaag om 11:43-11:45 moet zijn gebeurd, het lijkt me dan ook voor de hand liggend dat je vanochtend nog op facebook hebt gezeten.

zaterdag 13 oktober 2012 12:45

Acties:
  • 0 Henk 'm!

Anoniem: 291620

Topicstarter
Ben inmiddels iets verder. Het device op 192.168.2.12 is mijn iPhone. Ik heb en gebruik de FB-app op m'n iPhone en die zal die log-entries wel veroorzaakt hebben. Typisch.

@photofreak, bedankt voor je toelichting. Ben weer gerustgesteld.

CW
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq