Onbekend IP probeert connectie te maken - Netwerken

donderdag 17 oktober 2013 19:16

Acties:

Topicstarter

Beste,
Ik zit een beetje met een vreemd probleem, de situatie is als volgt:

Ik heb een adsl verbinding van Telfort met het volgende modem zyxel P-2602HW-D1A, hierop heb ik ingesteld dat alle firewall logs doorgemaild worden naar mijn mailbox en nu zie ik de laatste dagen dat er continue een ip verbinding probeert te maken via telnet. Het gaat om dit ip-adres 82.171.140.44.

Nu heb ik uit voorzorg maar even een rule gemaakt in de zyxel dat al het verkeer van dit ip Reject wordt, nu zie ik netjes in mijn mail dat het verkeer Rejected wordt:

No. Time Source IP Destination IP Note
1|10/17/2013 18:52:41 |82.171.140.44:51577 |MIJN-IP:23 |ACCESS REJECTED
Firewall rule match: TCP (W to W/PRESTIGE, rule:2)

End of Alert

No. Time Source IP Destination IP Note
1|10/17/2013 18:38:41 |82.171.140.44:42444 |MIJN-IP:23 |ACCESS REJECTED
Firewall rule match: TCP (W to W/PRESTIGE, rule:2)

End of Alert

Toch vraag ik me af wat dit is, ik heb even een tracert naar dit ip gedaan en zie dat het ook een telfort adres is. Als ik het ip in de browser in geef kom ik op een beveiligde OpenWebif. pagina. Weet iemand waarom ik dit in de logs zie en is dit een aanval ? ik krijg de melding ongeveer elk kwartier.

donderdag 17 oktober 2013 19:18

Acties:

Releases

Ja maar!

Hoef je niks van aan te trekken.
Mijn router staat vol met deze logs.

Zijn gewoon servers die het hele internet afscannen op gaten in netwerken.

donderdag 17 oktober 2013 19:21

Acties:

markverhoef

Topicstarter

Mooi, wel vreemd dat het continue van dat ip af komt verder krijg ik geen meldingen.

donderdag 17 oktober 2013 19:54

Acties:

fast-server

Het is een NL IP van een Telfort klant, je kan daar altijd een abuse melding doen.

Op dat IP draait ook een OpenWebif.

[ Voor 19% gewijzigd door fast-server op 17-10-2013 19:55 ]

PV Output SolarEdge SE5000H, 12x Jinko JKM390N-6RL3 Tiger> 4,68 kWp, Helling 42°, Oriëntatie 196° (ZZW)

donderdag 17 oktober 2013 20:30

Acties:

CyBeR

💩

Internetruis. Regeren.

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 18 oktober 2013 10:42

Acties:

Giftcard

CyBeR schreef op donderdag 17 oktober 2013 @ 20:30:
Internetruis. Regeren.

Negeren?

Maar verder wat CyBeR zegt, internetruis. Er zijn honderden scanners "out-there" die niks anders doen dan lijsten met ip adressen afscannen om vervolgens te checken of ze het kunnen misbruiken.

Ik heb ooit wel eens een oude laptop als honeypot ingezet, uit pure intresse. Dan zie je ook al die request binnen komen, en vervolgens en heleboel "root", "admin" en "anonymous" attemps via telnet/ftp/ssh.
Zijn allemaal fully automated attemps, waar je niks aan kan doen. ( aangezien de meeste modems alle request rejecten, tenzij je zelf de porten open zet.)

[ Voor 6% gewijzigd door Giftcard op 18-10-2013 10:50 ]

"Secrets are only secrets if they are secret."

vrijdag 18 oktober 2013 10:49

Acties:

Giftcard

markverhoef schreef op donderdag 17 oktober 2013 @ 19:16:
...nu zie ik de laatste dagen dat er continue een ip verbinding probeert te maken via telnet. Het gaat om dit ip-adres 82.171.140.44.

Nu heb ik uit voorzorg maar even een rule gemaakt in de zyxel dat al het verkeer van dit ip Reject wordt, nu zie ik netjes in mijn mail dat het verkeer Rejected wordt:

Nog wel een vraagje over dit verhaal... Als ik goed tussen de regels door probeer te lezen dan staat er:
Dat iemand van buitenaf toegang probeert te krijgen op je router via Telnet. Lees ik dat dan goed?

Ik zou die functie uitschakelen en alleen je router manageble maken vanuit het lokale netwerk. Tenzij je het uiteraard zelf gebruikt, maar dan kan je overwegen om SSH te gaan gebruiken ipv telnet.

"Secrets are only secrets if they are secret."

vrijdag 18 oktober 2013 13:08

Acties:

CyBeR

💩

Giftcard schreef op vrijdag 18 oktober 2013 @ 10:42:
[...]

Negeren?

Euh, ja. Autocorrect.

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 18 oktober 2013 13:13

Acties:

TECHcrime

niet voor het een of ander.. maar miss heb je hier iets aan:

code:

1 2	pi@pi ~ $ host 82.171.140.44 44.140.171.82.in-addr.arpa domain name pointer 82-171-140-44.ip.telfort.nl.

code:

pi@pi ~ $ whois 82.171.140.44
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '82.171.0.0 - 82.171.255.255'

% Abuse contact for '82.171.0.0 - 82.171.255.255' is 'abuse@planet.nl'

inetnum:        82.171.0.0 - 82.171.255.255
netname:        KPN-NSO
descr:          Customer Network
country:        NL
admin-c:        PBOS-RIPE
tech-c:         GITR1-RIPE
status:         ASSIGNED PA
remarks:        Please mail abuse issues to: abuse@tiscali.nl
mnt-by:         KPN-MNT
source:         RIPE # Filtered

role:           Green ISP Technical Role
address:        ------------------------------------------------------------
address:        Telfort NOC - For Routing DDOS Issues only!
address:        ------------------------------------------------------------
address:        Telfort B.V. Network Operations Centre Postbus 23079 1100 DN Amsterdam Zuidoost - The Netherlands 
phone:          +31-20-200.2000
fax-no:         +31-30-275.2220
remarks:        ------------------------------------------------------------
remarks:        We are an Internet Service Provider
remarks:        These IP-numbers are in use by our customers.
remarks:        In case of Spam/Virus/Portscan/Attack/Etc.
remarks:        please send an e-mail to abuse@tiscali.nl
remarks:        containing the IP-numbers involved and timestamps.
remarks:        ------------------------------------------------------------
abuse-mailbox:  abuse@tiscali.nl
admin-c:        KPN-RIPE
tech-c:         KPN-RIPE
nic-hdl:        GITR1-RIPE
mnt-by:         KPN-MNT
source:         RIPE # Filtered

person:         Peter Bosman
address:        KPN
address:        IP registration office
address:        P.O. Box 30000
address:        NL-2500 GA The Hague
address:        NETHERLANDS
phone:          +31 (0)70-4513398
fax-no:         +31 (0)70-4511116
nic-hdl:        PBOS-RIPE
mnt-by:         PBOS-MNT
source:         RIPE # Filtered

% Information related to '82.168.0.0/14AS5615'

route:          82.168.0.0/14
descr:          Green ISP B.V.
origin:         AS5615
mnt-by:         WOLADM-MNT
source:         RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.69 (WHOIS4)

Extra uitgelicht:

code:

remarks:        ------------------------------------------------------------
remarks:        We are an Internet Service Provider
remarks:        These IP-numbers are in use by our customers.
remarks:        In case of Spam/Virus/Portscan/Attack/Etc.
remarks:        please send an e-mail to abuse@tiscali.nl
remarks:        containing the IP-numbers involved and timestamps.
remarks:        ------------------------------------------------------------

[ Voor 8% gewijzigd door TECHcrime op 18-10-2013 13:15 ]

vrijdag 18 oktober 2013 14:46

Acties:

markverhoef

Topicstarter

Dankje, ik zal er is een mailtje aan wagen ik ben benieuwd.

vrijdag 18 oktober 2013 16:01

Acties:

Dr Pro

Daarnaast, ik zou voor 'Drop' kiezen ipv 'Reject' (als dat bestaat).
Bij een 'Reject' stuur je namelijk een NACK pakket, met andere woorden, je laat weten dat er 'iets' of iemand aanwezig is, want je stuurt een antwoord terug.
Bij een 'Drop' of iets soortgelijks, stuur je helemaal niets terug en verdwijnt het pakketje in een (voor de verzernder) zwart gat.

Pagina: 1

Reageer