Hallo allemaal.
Allereerst excuus voor de vage topictitel, maar dit is wat het dichtst in de buurt komt. Sinds 2 dagen heb ik last van een raar fenomeen waarbij het lijkt alsof er remote commando's naar mijn pc gestuurd worden in de vorm van keystrokes, zoals de windows toets, pijltjestoetsen, spatie en/of enter. Dit komt nu ongeveer elk kwartier voor en duurt dan een halve minuut. Toen op een gegeven moment het start menu opende en de zoekbalk geselecteerd werd zag ik echter dat er tekst ingevoerd werd. Ik heb een aantal keer een deel van dit commando kunnen opvangen in een kladblok en ziet er ongeveer zo uit:
Er wordt dus een poort open gezet, maar dat ben ik zelf niet. Deze poort komt overigens ook niet voor in de port mapping table. Daarnaadt staat de rest van de logging vol met die UDP flood (beetje googlen leert me dat dit DOS aanval gerelateerd is, maar ik kan uit de logging niet direct afleiden of het om een bericht gaat dat alleen checkt of het adres bestast (de router moet dan antwoorden en bij een veelvoud van dit soort requests gaat de router om zeep, heb ik van de wiki begrepen) of dat er ook daadwerkelijk data gecommuniceerd wordt. Er wordt voor mijn gevoel wel erg vaask van/naar poort 6969 verwezen, dit was ook een bestaande port mapping maar heb ik uit voorzorg maar even dicht gegooid.
Goed, terug naar het probleem waarbij de commando's ingevoerd worden. Als eerst natuurlijkeen systeemherstel naar vorige week gedaan (wordt elke zondag gebackupped) toen het probleem er nog niet was, maar dit moch niet baten. Op internet kwam ik een aardig artikel tegen waarin wat tips/tricks gegeven worden met betrekking tot het bestrijden van malware. Ik heb de pc gescand met:
- Microsoft Essentials
- Avast
- Spybot
- Hitman Pro
- TDSSKiller
- Comodo cleaning essentials
- CCleaner
CCleaner, spybot en hitman konden wel wat vinden, maar niet meer dan cookie trackers en het probleem is hiermee dus nog niet opgelost.
Tot zover reik mijn kennis en ik kom niet heel veel verder. Is dit probleem wellicht bekend of zijn er suggesties hoe ik nu verder kan? Zou het probleem opgelost zijn met een verse windows installatie of heeft dat geen nut op de aannvallen van buitenaf?
Hulde als je het tot hier hebt volgehouden en alvast bedankt
Allereerst excuus voor de vage topictitel, maar dit is wat het dichtst in de buurt komt. Sinds 2 dagen heb ik last van een raar fenomeen waarbij het lijkt alsof er remote commando's naar mijn pc gestuurd worden in de vorm van keystrokes, zoals de windows toets, pijltjestoetsen, spatie en/of enter. Dit komt nu ongeveer elk kwartier voor en duurt dan een halve minuut. Toen op een gegeven moment het start menu opende en de zoekbalk geselecteerd werd zag ik echter dat er tekst ingevoerd werd. Ik heb een aantal keer een deel van dit commando kunnen opvangen in een kladblok en ziet er ongeveer zo uit:
Dit is dus niet het volledige script/commando, maar alles wat hiervoor komt kan ik niet opvangen. Ik heb geprobeerd een deel in te voeren in de opdrachtprompt, maar deze herkent de commando's niet. Gezien de context lijkt het me erop dat er geprobeerd wordt een ftp van/naar mijn pc op te zetten. In de logging van mijn router (kpn experia box) kom zie ik in de logging het volgende:
09/07/2013 14:57:53 192.168.2.1 Admin login success 09/07/2013 14:57:33 UPnP add port mapping from 192.168.2.1 to port number 51268 Successful. 09/07/2013 14:56:53 UPnP add port mapping from 192.168.2.1 to port number 51268 Successful. 09/07/2013 14:56:18 UPnP add port mapping from 192.168.2.1 to port number 51268 Successful. 09/07/2013 14:55:41 UPnP add port mapping from 192.168.2.1 to port number 51268 Successful. 09/07/2013 14:55:09 UPnP add port mapping from 192.168.2.1 to port number 51268 Successful. 09/07/2013 14:54:29 UPnP add port mapping from 192.168.2.1 to port number 51268 Successful. 09/07/2013 14:53:48 UPnP add port mapping from 192.168.2.1 to port number 51268 Successful. 09/07/2013 14:53:13 UPnP add port mapping from 192.168.2.1 to port number 51268 Successful. 09/07/2013 14:52:39 UPnP add port mapping from 192.168.2.1 to port number 51268 Successful. 09/07/2013 14:51:58 UPnP add port mapping from 192.168.2.1 to port number 51268 Successful. 09/07/2013 14:51:21 UPnP add port mapping from 192.168.2.1 to port number 51268 Successful. 09/07/2013 14:50:37 UPnP add port mapping from 192.168.2.1 to port number 51268 Successful. 09/07/2013 14:50:31 sending ACK to 192.168.2.4 09/07/2013 14:49:54 UPnP add port mapping from 192.168.2.1 to port number 51268 Successful. 09/07/2013 14:49:09 UPnP add port mapping from 192.168.2.1 to port number 51268 Successful. 09/07/2013 14:49:05 sending ACK to 192.168.2.3 09/07/2013 14:48:27 UPnP add port mapping from 192.168.2.1 to port number 51268 Successful. 09/07/2013 14:47:51 UPnP add port mapping from 192.168.2.1 to port number 51268 Successful. 09/07/2013 14:47:19 UPnP add port mapping from 192.168.2.1 to port number 51268 Successful. 09/07/2013 14:46:37 UPnP add port mapping from 192.168.2.1 to port number 51268 Successful. 09/07/2013 14:46:01 UPnP add port mapping from 192.168.2.1 to port number 51268 Successful. 09/07/2013 14:45:21 UPnP add port mapping from 192.168.2.1 to port number 51268 Successful. 09/07/2013 14:44:48 UPnP add port mapping from 192.168.2.1 to port number 51268 Successful. 09/07/2013 14:44:08 UPnP add port mapping from 192.168.2.1 to port number 51268 Successful. 09/07/2013 14:44:03 **UDP flood** 120.7.101.8, 26601->> 192.168.2.1, 6969 (from PPPoE1 Inbound) 09/07/2013 14:44:03 **UDP Flood Stop** (from PPPoE1 Outbound) 09/07/2013 14:44:02 **UDP flood** 192.168.2.1, 6969->> 115.119.37.66, 22933 (from PPPoE1 Outbound) 09/07/2013 14:44:02 **UDP flood** 192.168.2.1, 6969->> 61.74.118.225, 33548 (from PPPoE1 Outbound) 09/07/2013 14:44:02 **UDP flood** 37.139.84.217, 65109->> 192.168.2.1, 6969 (from PPPoE1 Inbound) 09/07/2013 14:44:02 **UDP flood** 83.81.135.52, 63383->> 192.168.2.1, 6969 (from PPPoE1 Inbound) 09/07/2013 14:44:02 **UDP flood** 192.168.2.1, 6969->> 188.24.104.140, 17484 (from PPPoE1 Outbound) 09/07/2013 14:44:02 **UDP flood** 192.168.2.1, 6969->> 200.114.108.183, 24539 (from PPPoE1 Outbound) 09/07/2013 14:44:02 **UDP flood** 221.221.176.35, 7635->> 192.168.2.1, 6969 (from PPPoE1 Inbound) 09/07/2013 14:44:01 **UDP flood** 192.168.2.1, 6969->> 128.73.71.170, 6881 (from PPPoE1 Outbound) 09/07/2013 14:44:01 **UDP flood** 192.168.2.1, 6969->> 203.236.27.94, 43065 (from PPPoE1 Outbound) 09/07/2013 14:44:01 **UDP flood** 192.168.2.1, 6969->> 95.81.217.135, 49001 (from PPPoE1 Outbound) 09/07/2013 14:44:01 **UDP flood** 5.48.124.235, 13400->> 77.170.178.63, 7257 (from PPPoE1 Inbound) 09/07/2013 14:44:01 **UDP flood** 217.65.125.193, 20594->> 192.168.2.1, 6969 (from PPPoE1 Inbound) 09/07/2013 14:44:01 **UDP flood** 190.230.4.80, 22367->> 77.170.178.63, 7257 (from PPPoE1 Inbound)
Er wordt dus een poort open gezet, maar dat ben ik zelf niet. Deze poort komt overigens ook niet voor in de port mapping table. Daarnaadt staat de rest van de logging vol met die UDP flood (beetje googlen leert me dat dit DOS aanval gerelateerd is, maar ik kan uit de logging niet direct afleiden of het om een bericht gaat dat alleen checkt of het adres bestast (de router moet dan antwoorden en bij een veelvoud van dit soort requests gaat de router om zeep, heb ik van de wiki begrepen) of dat er ook daadwerkelijk data gecommuniceerd wordt. Er wordt voor mijn gevoel wel erg vaask van/naar poort 6969 verwezen, dit was ook een bestaande port mapping maar heb ik uit voorzorg maar even dicht gegooid.
Goed, terug naar het probleem waarbij de commando's ingevoerd worden. Als eerst natuurlijkeen systeemherstel naar vorige week gedaan (wordt elke zondag gebackupped) toen het probleem er nog niet was, maar dit moch niet baten. Op internet kwam ik een aardig artikel tegen waarin wat tips/tricks gegeven worden met betrekking tot het bestrijden van malware. Ik heb de pc gescand met:
- Microsoft Essentials
- Avast
- Spybot
- Hitman Pro
- TDSSKiller
- Comodo cleaning essentials
- CCleaner
CCleaner, spybot en hitman konden wel wat vinden, maar niet meer dan cookie trackers en het probleem is hiermee dus nog niet opgelost.
Tot zover reik mijn kennis en ik kom niet heel veel verder. Is dit probleem wellicht bekend of zijn er suggesties hoe ik nu verder kan? Zou het probleem opgelost zijn met een verse windows installatie of heeft dat geen nut op de aannvallen van buitenaf?
Hulde als je het tot hier hebt volgehouden en alvast bedankt
/u/256438/crop5dbb270939de4.png?f=community)
:strip_icc():strip_exif()/u/99521/Triviumsmall2.jpg?f=community)
/u/103920/Boobs.png?f=community)
/u/3842/w55.JPG?f=community)
:strip_icc():strip_exif()/u/58343/Turtle.jpg?f=community)