Inkomende requests op mijn router / pc? - Netwerken

woensdag 6 februari 2013 16:30

Acties:

0 Henk 'm!

Topicstarter

Hallo allen,

zojuist was ik even in mijn router aan het neuzen en kwam het volgende tegen:

[LAN access from remote] from 94.144.63.7:47806 to 192.168.1.2:20866 Wednesday, Feb 06,2013 15:25:39
[LAN access from remote] from 80.57.56.112:31959 to 192.168.1.2:20866 Wednesday, Feb 06,2013 15:25:35
[LAN access from remote] from 188.176.17.113:50054 to 192.168.1.2:20866 Wednesday, Feb 06,2013 15:25:24
[LAN access from remote] from 188.79.41.64:55544 to 192.168.1.2:20866 Wednesday, Feb 06,2013 15:24:59
[LAN access from remote] from 77.249.189.215:55842 to 192.168.1.2:20866 Wednesday, Feb 06,2013

** KNIP ** De lijst is te lang.. **

[LAN access from remote] from 85.150.184.126:58900 to 192.168.1.2:20866 Wednesday, Feb 06,2013 15:13:24
[LAN access from remote] from 85.150.184.126:58899 to 192.168.1.2:20866 Wednesday, Feb 06,2013 15:13:24
[LAN access from remote] from 41.69.70.254:12305 to 192.168.1.2:20866 Wednesday, Feb 06,2013 15:13:22
[LAN access from remote] from 82.136.234.95:10140 to 192.168.1.2:20866 Wednesday, Feb 06,2013 15:13:08
[LAN access from remote] from 83.87.178.77:56255 to 192.168.1.2:20866 Wednesday, Feb 06,2013 15:13:07
[LAN access from remote] from 41.248.75.212:50922 to 192.168.1.2:20866 Wednesday, Feb 06,2013 15:13:06
[LAN access from remote] from 77.168.79.123:49224 to 192.168.1.2:20866 Wednesday, Feb 06,2013 15:13:06

Het lijkt erop dat er iemand met een botnet binnen probeert te komen op mijn pc. Voorals nog geen rare processen / bestanden tegengekomen op mijn pc, gelukkig. Maar is hier wat aan te doen?

Even wat informatie over mijn router, ik heb een Netgear WNR3500.
Alles is gewoon netjes afgeschermd, er draait een FTP op mijn pctje die momenteel uitstaat.
Verder gebruik ik RDP om mijn pc op afstand te benaderen.

Ik gebruik alleen een antivirus pakket (AVG).

Iemand ideeën wat ik hier aan kan doen? Is een firewall een oplossing of pak ik daar het probleem niet mee aan?

Alvast bedankt voor de reacties!

5100wp Zuid-Oost - SMA 7000TL20 30xSF170s - Live PVoutput - Daikin US 3.5

woensdag 6 februari 2013 16:52

Acties:

0 Henk 'm!

Mijzelf

Heb je niet gewoon een torrent client draaien of zo?

woensdag 6 februari 2013 16:54

Acties:

0 Henk 'm!

Xaph

Professioneel Dyslecticus

Heb je randomize port each startup disabled? Dan kan het wel een torrent client zijn, zoniet is het iets anders.

woensdag 6 februari 2013 16:59

Acties:

0 Henk 'm!

Zanzibar-1337

Topicstarter

Mijzelf schreef op woensdag 06 februari 2013 @ 16:52:
Heb je niet gewoon een torrent client draaien of zo?

Nee, ik doe alles via Nieuwsgroepen.

Xaph schreef op woensdag 06 februari 2013 @ 16:54:
Heb je randomize port each startup disabled? Dan kan het wel een torrent client zijn, zoniet is het iets anders.

uPnP staat wel aan in mijn router. Kan het daar aan liggen?

*Edit*

Bij uPnP stond een lijstje waar de poort 20866 ook in stond. Ik heb deze lijst even gecleared en tot nu toe geen nieuwe request meer gehad.

Voorlopig lijkt het 'opgelost'.

Is het verstandig om een firewall te installeren? Of is dit niet persé nodig (kan mijn internetverkeer checken met het programma netbalancer)..

[ Voor 25% gewijzigd door Zanzibar-1337 op 06-02-2013 17:34 ]

5100wp Zuid-Oost - SMA 7000TL20 30xSF170s - Live PVoutput - Daikin US 3.5

woensdag 6 februari 2013 17:36

Acties:

0 Henk 'm!

Mijzelf

uPnP kan die poort openen, ja. Maar er moet iets zijn die je router die opdracht geeft. Je zou kunnen kijken welk proces luistert op poort 20866 op machine 192.168.1.2

woensdag 6 februari 2013 17:36

Acties:

0 Henk 'm!

SambalBij

We're all MAD here

Het lijkt er naar mijn idee eerder op alsof er iets op jouw PC verbinding staat te maken naar al die IP adressen...
Als je alles hebt afgeschermd (en dus niet poort 20866 vanaf extern naar je PC hebt gemapped) dan zou dit alleen kunnen gebeuren als jouw PC vanaf poort 20866 verbinding maakt naar die IP adressen, en die adressen vervolgens antwoord geven. Alleen dan zal de router het van buiten naar binnen toe doorsturen (tijdelijke NAT mapping voor uitgaand verkeer)

Kijk voor de grap eens welk proces die poort gebruikt?
(Kun je doen met 'netstat -ona' en dan kijken of er entries in die lijst staan met in de tweede kolom 192.168.1.2:20866. Zo ja, de laatste kolom is het process id. Die kun je weer terugvinden in je taskmanager. (Kolom PID onder details)

Dit laatste werkt uiteraard alleen als dat proces en het bijbehorende verkeer nog actief is

edit:
Hmm Mijzelf was me al voor... (Klinkt dat overigens schizofreen?

)

[ Voor 4% gewijzigd door SambalBij op 06-02-2013 17:37 ]

Sometimes you just have to sit back, relax, and let the train wreck itself

woensdag 6 februari 2013 17:48

Acties:

0 Henk 'm!

Zanzibar-1337

Topicstarter

Het proces staat niet meer in het lijstje helaas.
Kan ook geen proces vinden die eventueel naar poort 20866 zou luisteren.

Zie nu de volgende meldingen voorbij komen in mijn log:

[DOS attack: FIN Scan] attack packets in last 20 sec from ip [173.194.78.120], Wednesday, Feb 06,2013 17:46:37
[DOS attack: FIN Scan] attack packets in last 20 sec from ip [173.194.78.102], Wednesday, Feb 06,2013 17:46:34
[DOS attack: FIN Scan] attack packets in last 20 sec from ip [173.194.78.101], Wednesday, Feb 06,2013 17:46:33
[DOS attack: ACK Scan] attack packets in last 20 sec from ip [173.194.66.16], Wednesday, Feb 06,2013 17:40:42

Lijkt erop dat ze toch proberen binnen te komen?