Verdacht verkeer

Pagina: 1
Acties:

  • Centropy
  • Registratie: Oktober 2007
  • Niet online

Centropy

Let there be light.

Topicstarter
Ik schijn een besmetting te hebben op 1 van mijn clients, nu is dat uber moeilijk te vinden en ben ik daar al erg lang mee bezig,

Nu heb ik een sniffer als gateway ingesteld, en nu kom ik verkeer tegen naar deze site source en plaatje:

code:
1
http://www.poneytelecom.eu/


Afbeeldingslocatie: http://www.plaatjesdump.nl/upload/3de03921b24f5867b1ba49a0970a132e.png

<html>
<head>
<title>Poney Telecom</title>
<!-- More poneys to come ... -->
</head>
<body>
<pre>
,;;*;;;;,
.-'``;-');;.
/' .-. /*;;
.' \d \;; .;;;,
/ o ` \; ,__. ,;*;;;*;,
\__, _.__,' \_.-') __)--.;;;;;*;;;;,
`""`;;;\ /-')_) __) `\' ';;;;;;
;*;;; -') `)_) |\ | ;;;;*;
;;;;| `---` O | | ;;*;;;
*;*;\| O / ;;;;;*
;;;;;/| .-------\ / ;*;;;;;
;;;*;/ \ | '. (`. ;;;*;;;
;;;;;'. ; | ) \ | ;;;;;;
,;*;;;;\/ |. / /` | ';;;*;
;;;;;;/ |/ / /__/ ';;;
'*jgs/ | / | ;*;
`""""` `""""` ;'
</pre>
<br/>
AS12876 is back ;)<br/>
Troubles contact : noc at as12876 dot net
<br />
<br />
<a href=http://lg.as12876.net/>Looking Glass</a>
</body>
</html>


Dat staat er op die site, en die site waar hij heen linkt is niet berijkbaar.

Wie zegt dit iets?

[ Voor 3% gewijzigd door Rupie op 15-11-2013 10:27 . Reden: linkje aangepast om per ongeluk klikken te voorkomen ]

Beter 1 hand in de lucht, dan geen hand!


  • Farg0
  • Registratie: Juli 2009
  • Laatst online: 08:59
AS12876 is volgens mij online.net

http://networktools.nl/asinfo/AS12876

  • Centropy
  • Registratie: Oktober 2007
  • Niet online

Centropy

Let there be light.

Topicstarter
Maar wat houd het denk je in als een client daar heel regelmatig contact mee maakt?

Beter 1 hand in de lucht, dan geen hand!


  • Farg0
  • Registratie: Juli 2009
  • Laatst online: 08:59
Heb je een IP + poort kunnen vinden van online.net waarnaar hij connectie maakt ?

  • Centropy
  • Registratie: Oktober 2007
  • Niet online

Centropy

Let there be light.

Topicstarter
jawel 212-83-132-87.rev.poneytelecom.eu

Beter 1 hand in de lucht, dan geen hand!


Acties:
  • 0 Henk 'm!

  • LnC
  • Registratie: Juni 2005
  • Laatst online: 24-03 20:32

LnC

The offending line...

Rare site inderdaad. Kan je ook zien met welke poort deze site praat. En in je TS zeg je dat je misschien een virus / malware hebt. Waaruit blijkt dat, of wat heb je al gevonden?

Acties:
  • 0 Henk 'm!

  • Centropy
  • Registratie: Oktober 2007
  • Niet online

Centropy

Let there be light.

Topicstarter
Port 80, afsluiting door xs4all mebroot torpig

Beter 1 hand in de lucht, dan geen hand!


Acties:
  • 0 Henk 'm!

  • ImNotnoa
  • Registratie: September 2011
  • Niet online
Centropy schreef op vrijdag 15 november 2013 @ 16:05:
Port 80, afsluiting door xs4all mebroot torpig
Scannen met TDSS killer, en de geinfeceerde pc herinstalleren. torpig nestelt zich ook in de MBR geloof ik dus hou daar rekening mee.

Heb je (te) veel clients om handmatig met TDSS te scannen dan kun je poort 25 (uitgaand) gaan blokkeren voor alle clients behalve je exchange server en dmv de firewall logs kijken welke pc geinfecteerd is

Try SCE to Aux


Acties:
  • 0 Henk 'm!

  • Centropy
  • Registratie: Oktober 2007
  • Niet online

Centropy

Let there be light.

Topicstarter
TDSS Killer en allerhande tools en Rescue cd's vinden niets, en XS4all zegt dat het over poort 80 gaat.
Dus het sniffen wat ik doe nu is mijn laatste redmiddel om te detecteren welke pc het is

Beter 1 hand in de lucht, dan geen hand!

Pagina: 1