verdachte inkomende netwerkverbinding geblokkeerd - Privacy en beveiliging

donderdag 24 januari 2013 13:39

Acties:

0 Henk 'm!

Topicstarter

Hallo,

Ik zag dat er vandaag een verdachte inkomende netwerkverbinding geblokkeerd werd door McAfee.

Tot mijn schrik zag ik in McAfee dat er vele verbindingen geblokkeerd zijn de afgelopen maand. Ik let er verder nooit zo op wat er in en uitgaat, ik weet niet of het normaal is dat je iedere dag McAfee nakijkt hierop maar afgezien dat ik het veel vond zag ik dat er zelfs verbindingen van facebook geblokkeerd werden.

Weet iemand van jullie onder welke omstandigheden dat gebeurt af is facebook nu fout? Wat niet zo is lijkt me.

donderdag 24 januari 2013 13:42

Acties:

0 Henk 'm!

Mad Marty

Je bent slimmer als je denkt!

Kun je concreet aangeven welke melding je krijgt, en om welke 'verbindingen' (ik neem aan URLs?) het gaat?

Rail Away!

donderdag 24 januari 2013 14:25

Acties:

0 Henk 'm!

HD-readonly

Topicstarter

Mad Marty schreef op donderdag 24 januari 2013 @ 13:42:
Kun je concreet aangeven welke melding je krijgt, en om welke 'verbindingen' (ik neem aan URLs?) het gaat?

Precies zoals de titel zegt incl. een ipnummer. Bij dit ipnummer hoort een adres.

vb.: verdachte inkomende netwerkverbinding geblokkeerd
Bron IP adres: 31.13.62.23
met de pc star-01-02-ams2.facebook.com is geprobeerd toegang te krijgen
tot uw systeempoort TCP-poort 3809

donderdag 24 januari 2013 14:33

Acties:

0 Henk 'm!

Mad Marty

Je bent slimmer als je denkt!

Een russisch IP (http://whois.net/ip-address-lookup/31.13.62.23) + een min of meer random poort zou bij mij inderdaad alarmbellen doen afgaan. In ieder gevaal eerst op virussen/spyware scannen dus, zie ook Beveiliging en Virussen - FAQ (antwoorden)

Is dit het enige IP en poort die aangegeven wordt? Wees volledig in je beschrijvingen, want wij hebben geen glazen bol waardoor we precies weten wat er op jouw scherm staat. Geef zo veel mogelijk relevante (!) informatie.

Dat de hostname behorend bij dat IP-adres onder andere 'facebook' bevat betekent natuurlijk niet dat het ook daadwerkelijk van Facebook afkomstig is, dat zijn juist trucjes waardoor nietsvermoedende en niet-oplettende personen mee om de tuin geleid worden.

[ Voor 25% gewijzigd door Mad Marty op 24-01-2013 14:34 ]

Rail Away!

donderdag 24 januari 2013 16:30

Acties:

0 Henk 'm!

serkoon

mekker.

Zo te zien heeft HD-readonly gewoon een typfoutje gemaakt in het IP-adres, en is het 31.13.64.23, die op naam staat van Facebook.

Waarschijnlijk is het dus gewoon een pakketje van een van de webservers van Facebook die door de firewall is gezien. Misschien wel nadat de verbinding al verbroken was waardoor de firewall het niet meer herkende als onderdeel van de uitgaande verbinding.

donderdag 24 januari 2013 16:39

Acties:

0 Henk 'm!

HD-readonly

Topicstarter

serkoon schreef op donderdag 24 januari 2013 @ 16:30:
Zo te zien heeft HD-readonly gewoon een typfoutje gemaakt in het IP-adres, en is het 31.13.64.23, die op naam staat van Facebook.

Waarschijnlijk is het dus gewoon een pakketje van een van de webservers van Facebook die door de firewall is gezien. Misschien wel nadat de verbinding al verbroken was waardoor de firewall het niet meer herkende als onderdeel van de uitgaande verbinding.

Ja sorry idd een tikfoutje was 64.

Maar dan is het nog vreemd dat op een dag dat ik niet op facebook zit dit soort pakketen onderschept worden.

Ik vraag me af wat voor pakketten facebook dan verzend dat die onderschept moeten worden.

vrijdag 25 januari 2013 13:08

Acties:

0 Henk 'm!

LnC

The offending line...

De poort 3809 maakt volgens deze pagina met de Java desktop system agent.
Heb je ook Java op je systeem staan? En is die ook up-to-date?
Mocht je nog meer rare logs tegen komen, dan zou ik eens dieper zoeken of er iets aan de hand is.