Verdacht verkeer - Privacy en beveiliging

donderdag 14 november 2013 21:01

Acties:

0 Henk 'm!

Let there be light.

Topicstarter

Ik schijn een besmetting te hebben op 1 van mijn clients, nu is dat uber moeilijk te vinden en ben ik daar al erg lang mee bezig,

Nu heb ik een sniffer als gateway ingesteld, en nu kom ik verkeer tegen naar deze site source en plaatje:

code:

1	http://www.poneytelecom.eu/

Afbeeldingslocatie: http://www.plaatjesdump.nl/upload/3de03921b24f5867b1ba49a0970a132e.png

<html>
<head>
<title>Poney Telecom</title>

</head>
<body>
<pre>
,;;*;;;;,
.-'``;-');;.
/' .-. /*;;
.' \d \;; .;;;,
/ o ` \; ,__. ,;*;;;*;,
\__, _.__,' \_.-') __)--.;;;;;*;;;;,
`""`;;;\ /-')_) __) `\' ';;;;;;
;*;;; -') `)_) |\ | ;;;;*;
;;;;| `---` O | | ;;*;;;
*;*;\| O / ;;;;;*
;;;;;/| .-------\ / ;*;;;;;
;;;*;/ \ | '. (`. ;;;*;;;
;;;;;'. ; | ) \ | ;;;;;;
,;*;;;;\/ |. / /` | ';;;*;
;;;;;;/ |/ / /__/ ';;;
'*jgs/ | / | ;*;
`""""` `""""` ;'
</pre>
<br/>
AS12876 is back ;)<br/>
Troubles contact : noc at as12876 dot net
<br />
<br />
<a href=http://lg.as12876.net/>Looking Glass</a>
</body>
</html>

Dat staat er op die site, en die site waar hij heen linkt is niet berijkbaar.

Wie zegt dit iets?

[ Voor 3% gewijzigd door Rupie op 15-11-2013 10:27 . Reden: linkje aangepast om per ongeluk klikken te voorkomen ]

Beter 1 hand in de lucht, dan geen hand!

donderdag 14 november 2013 21:10

Acties:

0 Henk 'm!

Farg0

AS12876 is volgens mij online.net

http://networktools.nl/asinfo/AS12876

donderdag 14 november 2013 21:12

Acties:

0 Henk 'm!

Centropy

Let there be light.

Topicstarter

Maar wat houd het denk je in als een client daar heel regelmatig contact mee maakt?

Beter 1 hand in de lucht, dan geen hand!

donderdag 14 november 2013 21:14

Acties:

0 Henk 'm!

Farg0

Heb je een IP + poort kunnen vinden van online.net waarnaar hij connectie maakt ?

donderdag 14 november 2013 21:18

Acties:

0 Henk 'm!

Centropy

Let there be light.

Topicstarter

jawel 212-83-132-87.rev.poneytelecom.eu

Beter 1 hand in de lucht, dan geen hand!

vrijdag 15 november 2013 12:44

Acties:

0 Henk 'm!

LnC

The offending line...

Rare site inderdaad. Kan je ook zien met welke poort deze site praat. En in je TS zeg je dat je misschien een virus / malware hebt. Waaruit blijkt dat, of wat heb je al gevonden?

vrijdag 15 november 2013 16:05

Acties:

0 Henk 'm!

Centropy

Let there be light.

Topicstarter

Port 80, afsluiting door xs4all mebroot torpig

Beter 1 hand in de lucht, dan geen hand!

vrijdag 15 november 2013 16:29

Acties:

0 Henk 'm!

ImNotnoa

Centropy schreef op vrijdag 15 november 2013 @ 16:05:
Port 80, afsluiting door xs4all mebroot torpig

Scannen met TDSS killer, en de geinfeceerde pc herinstalleren. torpig nestelt zich ook in de MBR geloof ik dus hou daar rekening mee.

Heb je (te) veel clients om handmatig met TDSS te scannen dan kun je poort 25 (uitgaand) gaan blokkeren voor alle clients behalve je exchange server en dmv de firewall logs kijken welke pc geinfecteerd is

Try SCE to Aux

zaterdag 16 november 2013 08:56

Acties:

0 Henk 'm!

Centropy

Let there be light.

Topicstarter

TDSS Killer en allerhande tools en Rescue cd's vinden niets, en XS4all zegt dat het over poort 80 gaat.
Dus het sniffen wat ik doe nu is mijn laatste redmiddel om te detecteren welke pc het is

Beter 1 hand in de lucht, dan geen hand!