Toon posts:

>10.000 externe actieve connecties op router. Gehacked?

Pagina: 1
Acties:

zondag 19 januari 2014 21:47

Acties:
  • 0Henk 'm!
  • immetjes
  • Registratie: Juli 2003
  • Laatst online: 23-03 16:59

immetjes

HIER is BERN-E

Topicstarter
Rond 25-dec-2013 is mijn website (Calibre en NZBGet) draaiend op mijn Synology NAS 210j gedefaced door een Indonesian Hacker groep (Gantengers Crew). Ik heb daarop alles in de WEB-Folder gedelete en dacht dat dit het wel was.

Probleem is nu dat mijn router geflood wordt. Dit zijn allemaal connections tussen mijn Telfort externe IP-adres en de DNS server van Telfort (ik heb ook 8.8.8.8 geprobeerd, maar dit maakte niets uit).
Ook IP-adres 72.20.22.17 zie ik veel voorbij komen. Dit zie ik in "Active Connections" van de OpenWRT Luci GUI.

Alles -behalve gebridged Zyxel modem, iPad en de TP-LINK router- staat nu uit (ik type dit van de iPad). Nog steeds gaan de actieve connecties door het dak.

Ik heb overal de stroom vanaf gehad, maar binnen een minuut ofzo staan de connecties weer boven de 10.000.

Kan iemand me helpen dit op te lossen of tips te geven?

Edt: Hier is de HTM die op m'n WEB folder geplaatst werd.
Edit2: Ik heb nu port 53 outbound dicht gegooid op m'n router en nu is het aantal active connecties gedaald tot "maar" 1200. ("Refuse Forward" From IP 195.241.xx.xxx in wan
To any host, port 53 in wan) Ging gewoon weer omhoog.

[Voor 18% gewijzigd door immetjes op 19-01-2014 23:30. Reden: Website link hackgroep toegevoegd]

maandag 20 januari 2014 01:23

Acties:
  • 0Henk 'm!
  • Allovich
  • Registratie: December 2013
  • Laatst online: 21-06-2022

Allovich

In principe kan alles gehackt worden, zo ook je router. Bestaat er een mogelijkheid om deze volledig te resetten (incl. firmware)? Verder: staan er andere poorten wijd open waardoor ze makkelijk naar binnen kunnen? Gooi deze goed dicht (firewall) en scan de hele hap (waarschijnlijk al gedaan, but just in case)

Daarnaast zou je contact op kunnen nemen met Telfort om de situatie aan te geven, misschien is een nieuw IP-adres de enige oplossing om van de radar van die vervelende Gantengers Moeslim Crew te verdwijnen. Verder zou je dat IP-adres aan kunnen geven bij abuse@staminus.net (de provider). Staminus is kennelijk een hoster (die pronkt met DDoS protection op hun site...) dus het is vast een VPS die jou steeds bezoekt.

Hoop dat de NSA en Interpol hun werk goed doen en het vervelende groepje hackers snel oppakt en ze een enkeltje Guantanamo Bay cadeau kan doen. :P Blegh wat kan ik slecht tegen dit soort hackers :+ misschien kan dat Twitter account van ze ook wel ff opgeheven worden.

Succes ermee, ik hoop dat je er snel vanaf komt.

maandag 20 januari 2014 01:37

Acties:
  • 0Henk 'm!
  • Speedmaster
  • Registratie: Juli 2005
  • Laatst online: 20:48

Speedmaster

Make my day...

Gewoon beginnen met je ZyXEL uit bridge te halen en weer gewoon in routermode zetten.
Hiermee haal je de grootste ellende direct weg.

maandag 20 januari 2014 09:23

Acties:
  • 0Henk 'm!
  • immetjes
  • Registratie: Juli 2003
  • Laatst online: 23-03 16:59

immetjes

HIER is BERN-E

Topicstarter
Dank voor de reacties.

Ik had zelf al gedacht om het MAC adres van mijn Router te spoofen om zo een ander IP adres te krijgen. Tot nu toe werkt dit niet (is inmiddels gelukt en probleem is opgelost)

Mijn router is niet zomaar over port 80 van buiten benaderbaar (ik heb web access uit staan). ipv daarvan kan je er met SSH (putty) van buiten wel op over port 443 dmv client/public RSA keys authentication. FTP server op de Synology NAS ook uitgezet.

Ik heb gisteren de laatste built van Ultraman geflashed. Qua actieve connecties maakte dit niets uit. Ik heb ook DDNS van Synology en DNSexit uitgezet.

Maar goed, voor mijn informatie wat betekent het nu dat er een heleboel UDP pakketjes gaan tussen "resource" mijn-externe-IP-adres en "destination" de DNS server van Telfort of van Google. Wat betekent dat?

Kan het zijn dat het ZyXEL model kapot is en er een soort loop is? Volgens speedtest is de snelheid van de DSL ok. Ping fluctueert wel tussen 15 en 60.

Edit:
Dit is een klein stukje van de actieve connecties (195-241-xx-xxx is mijn externe IP van Telfort):

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210

Network Protocol Source                                     Destination             Transfer
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:56044  cns2.net.telfort.nl:53  924.00 B (14 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:30719  cns2.net.telfort.nl:53  924.00 B (14 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:22566  cns2.net.telfort.nl:53  858.00 B (13 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:51856  cns1.net.telfort.nl:53  858.00 B (13 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:58749  cns2.net.telfort.nl:53  858.00 B (13 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:20224  cns1.net.telfort.nl:53  858.00 B (13 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:20224  cns1.net.telfort.nl:53  858.00 B (13 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:6559   cns1.net.telfort.nl:53  840.00 B (15 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:27231  cns1.net.telfort.nl:53  840.00 B (15 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:51632  cns1.net.telfort.nl:53  840.00 B (15 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:51632  cns1.net.telfort.nl:53  840.00 B (15 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:51632  cns1.net.telfort.nl:53  840.00 B (15 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:49379  cns1.net.telfort.nl:53  828.00 B (12 Pkts.)
IPV4    UDP no-reverse-defined.surreycc.gov.uk:48952    195-241-xx-xxx.ip.telfort.nl:53 828.00 B (12 Pkts.)
IPV4    UDP no-reverse-defined.surreycc.gov.uk:48952    195-241-xx-xxx.ip.telfort.nl:53 828.00 B (12 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:20224  cns2.net.telfort.nl:53  792.00 B (12 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:51856  cns2.net.telfort.nl:53  792.00 B (12 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:51856  cns2.net.telfort.nl:53  792.00 B (12 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:6559   cns2.net.telfort.nl:53  784.00 B (14 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:58839  cns1.net.telfort.nl:53  784.00 B (14 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:60905  cns1.net.telfort.nl:53  784.00 B (14 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:27231  cns2.net.telfort.nl:53  784.00 B (14 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:51632  cns2.net.telfort.nl:53  784.00 B (14 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:2559   cns1.net.telfort.nl:53  759.00 B (11 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:39113  cns1.net.telfort.nl:53  759.00 B (11 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:39113  cns1.net.telfort.nl:53  759.00 B (11 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:49379  cns2.net.telfort.nl:53  759.00 B (11 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:41374  cns1.net.telfort.nl:53  728.00 B (13 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:41860  cns2.net.telfort.nl:53  728.00 B (13 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:41860  cns2.net.telfort.nl:53  728.00 B (13 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:55412  cns1.net.telfort.nl:53  728.00 B (13 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:60905  cns2.net.telfort.nl:53  728.00 B (13 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:2559   cns2.net.telfort.nl:53  690.00 B (10 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:39113  cns2.net.telfort.nl:53  690.00 B (10 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:63975  cns1.net.telfort.nl:53  672.00 B (12 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:27867  cns1.net.telfort.nl:53  672.00 B (12 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:55412  cns2.net.telfort.nl:53  672.00 B (12 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:24082  cns1.net.telfort.nl:53  660.00 B (10 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:5009   cns1.net.telfort.nl:53  616.00 B (11 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:63975  cns2.net.telfort.nl:53  616.00 B (11 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:4096   cns1.net.telfort.nl:53  616.00 B (11 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:27867  cns2.net.telfort.nl:53  616.00 B (11 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:31466  cns2.net.telfort.nl:53  616.00 B (11 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:18472  cns1.net.telfort.nl:53  594.00 B (9 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:24082  cns2.net.telfort.nl:53  594.00 B (9 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:24082  cns2.net.telfort.nl:53  594.00 B (9 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:4096   cns2.net.telfort.nl:53  560.00 B (10 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:5009   cns2.net.telfort.nl:53  560.00 B (10 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:54517  cns1.net.telfort.nl:53  560.00 B (10 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:48401  cns1.net.telfort.nl:53  560.00 B (10 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:18472  cns2.net.telfort.nl:53  528.00 B (8 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:11197  cns1.net.telfort.nl:53  528.00 B (8 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:15450  cns1.net.telfort.nl:53  504.00 B (9 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:54517  cns2.net.telfort.nl:53  504.00 B (9 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:48401  cns2.net.telfort.nl:53  504.00 B (9 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:60831  cns1.net.telfort.nl:53  504.00 B (9 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:34086  cns1.net.telfort.nl:53  483.00 B (7 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:3166   cns1.net.telfort.nl:53  465.00 B (7 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:60831  cns2.net.telfort.nl:53  448.00 B (8 Pkts.)
IPV4    UDP 94-236-40-124.static.cloud-ips.co.uk:5065   195-241-xx-xxx.ip.telfort.nl:5060   443.00 B (1 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:34086  cns2.net.telfort.nl:53  414.00 B (6 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:43044  cns1.net.telfort.nl:53  405.00 B (7 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:37565  cns2.net.telfort.nl:53  396.00 B (6 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:17630  cns1.net.telfort.nl:53  392.00 B (7 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:20594  cns1.net.telfort.nl:53  392.00 B (7 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:44838  cns2.net.telfort.nl:53  392.00 B (7 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:23855  cns1.net.telfort.nl:53  392.00 B (7 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:23855  cns1.net.telfort.nl:53  392.00 B (7 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:20594  cns2.net.telfort.nl:53  336.00 B (6 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:23855  cns2.net.telfort.nl:53  336.00 B (6 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:44838  cns1.net.telfort.nl:53  336.00 B (6 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:53488  cns1.net.telfort.nl:53  330.00 B (5 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:3166   cns2.net.telfort.nl:53  330.00 B (5 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:3166   cns2.net.telfort.nl:53  330.00 B (5 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:43044  cns2.net.telfort.nl:53  280.00 B (5 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:54102  cns1.net.telfort.nl:53  276.00 B (4 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:53488  cns2.net.telfort.nl:53  264.00 B (4 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:22266  cns1.net.telfort.nl:53  261.00 B (4 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:5729   cns1.net.telfort.nl:53  224.00 B (4 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:45903  cns2.net.telfort.nl:53  224.00 B (4 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:63954  cns1.net.telfort.nl:53  224.00 B (4 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:63954  cns1.net.telfort.nl:53  224.00 B (4 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:38336  cns1.net.telfort.nl:53  217.00 B (3 Pkts.)
IPV4    UDP 93.115.210.50:8010  195-241-xx-xxx.ip.telfort.nl:53 207.00 B (3 Pkts.)
IPV4    UDP 93.115.210.50:49604 195-241-xx-xxx.ip.telfort.nl:53 207.00 B (3 Pkts.)
IPV4    UDP 93.115.210.50:64265 195-241-xx-xxx.ip.telfort.nl:53 207.00 B (3 Pkts.)
IPV4    UDP 93.115.210.50:52257 195-241-xx-xxx.ip.telfort.nl:53 207.00 B (3 Pkts.)
IPV4    UDP 93.115.210.50:29986 195-241-xx-xxx.ip.telfort.nl:53 207.00 B (3 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:54102  cns2.net.telfort.nl:53  207.00 B (3 Pkts.)
IPV4    UDP 93.115.210.50:4579  195-241-xx-xxx.ip.telfort.nl:53 207.00 B (3 Pkts.)
IPV4    UDP 93.115.210.50:48781 195-241-xx-xxx.ip.telfort.nl:53 207.00 B (3 Pkts.)
IPV4    UDP 93.115.210.50:13532 195-241-xx-xxx.ip.telfort.nl:53 207.00 B (3 Pkts.)
IPV4    UDP 93.115.210.50:38711 195-241-xx-xxx.ip.telfort.nl:53 207.00 B (3 Pkts.)
IPV4    UDP 93.115.210.50:12340 195-241-xx-xxx.ip.telfort.nl:53 207.00 B (3 Pkts.)
IPV4    UDP 93.115.210.50:25090 195-241-xx-xxx.ip.telfort.nl:53 207.00 B (3 Pkts.)
IPV4    UDP 93.115.210.50:53270 195-241-xx-xxx.ip.telfort.nl:53 207.00 B (3 Pkts.)
IPV4    UDP 93.115.210.50:32546 195-241-xx-xxx.ip.telfort.nl:53 207.00 B (3 Pkts.)
IPV4    UDP 93.115.210.50:27736 195-241-xx-xxx.ip.telfort.nl:53 207.00 B (3 Pkts.)
IPV4    UDP irc.dal.net:34063   195-241-xx-xxx.ip.telfort.nl:53 207.00 B (3 Pkts.)
IPV4    UDP 93.115.210.50:5177  195-241-xx-xxx.ip.telfort.nl:53 207.00 B (3 Pkts.)
IPV4    UDP 93.115.210.50:5177  195-241-xx-xxx.ip.telfort.nl:53 207.00 B (3 Pkts.)
IPV4    UDP 93.115.210.50:47502 195-241-xx-xxx.ip.telfort.nl:53 207.00 B (3 Pkts.)
IPV4    UDP 93.115.210.50:4850  195-241-xx-xxx.ip.telfort.nl:53 207.00 B (3 Pkts.)
IPV4    UDP 93.115.210.50:4850  195-241-xx-xxx.ip.telfort.nl:53 207.00 B (3 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:24077  cns1.net.telfort.nl:53  200.00 B (3 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:52356  cns1.net.telfort.nl:53  197.00 B (3 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:36880  cns1.net.telfort.nl:53  197.00 B (3 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:13204  cns1.net.telfort.nl:53  197.00 B (3 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:64280  cns1.net.telfort.nl:53  197.00 B (3 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:32061  cns1.net.telfort.nl:53  197.00 B (3 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:45158  cns1.net.telfort.nl:53  196.00 B (3 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:14989  cns1.net.telfort.nl:53  192.00 B (3 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:11402  cns1.net.telfort.nl:53  192.00 B (3 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:30085  cns1.net.telfort.nl:53  192.00 B (3 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:58025  cns1.net.telfort.nl:53  192.00 B (3 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:48115  cns1.net.telfort.nl:53  192.00 B (3 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:55500  cns1.net.telfort.nl:53  192.00 B (3 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:18563  cns1.net.telfort.nl:53  192.00 B (3 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:38223  cns1.net.telfort.nl:53  192.00 B (3 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:38223  cns1.net.telfort.nl:53  192.00 B (3 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:5386   cns1.net.telfort.nl:53  192.00 B (3 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:2408   cns2.net.telfort.nl:53  192.00 B (3 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:60605  cns1.net.telfort.nl:53  192.00 B (3 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:23397  cns1.net.telfort.nl:53  181.00 B (3 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:52078  cns2.net.telfort.nl:53  168.00 B (3 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:52078  cns2.net.telfort.nl:53  168.00 B (3 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:63954  cns2.net.telfort.nl:53  168.00 B (3 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:19444  cns1.net.telfort.nl:53  144.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:35764  cns1.net.telfort.nl:53  141.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:1056   cns1.net.telfort.nl:53  141.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:21861  cns1.net.telfort.nl:53  141.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:12342  cns1.net.telfort.nl:53  141.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:36067  cns1.net.telfort.nl:53  141.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:32862  cns1.net.telfort.nl:53  141.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:11372  cns1.net.telfort.nl:53  141.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:23035  cns1.net.telfort.nl:53  141.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:61054  cns1.net.telfort.nl:53  141.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:21992  cns1.net.telfort.nl:53  140.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:12620  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:61171  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:55323  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:21340  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:65291  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP no-reverse-defined.surreycc.gov.uk:54078    195-241-xx-xxx.ip.telfort.nl:53 138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:13706  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:19883  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:14904  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:11482  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:14184  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:3911   cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:33832  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:4009   cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:41694  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:52756  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:8597   cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:51162  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:2852   cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:57862  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:43906  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:43906  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:11892  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:41258  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:41258  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:30457  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:42166  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:64117  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:40317  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:52974  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:52974  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:47477  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:47477  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:20026  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:27238  cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:1537   cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:1537   cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:1537   cns1.net.telfort.nl:53  138.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:3764   cns1.net.telfort.nl:53  136.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:53201  cns1.net.telfort.nl:53  136.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:16087  cns1.net.telfort.nl:53  136.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:9856   cns1.net.telfort.nl:53  136.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:44635  cns1.net.telfort.nl:53  136.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:35802  cns1.net.telfort.nl:53  136.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:32073  cns1.net.telfort.nl:53  136.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:32073  cns1.net.telfort.nl:53  136.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:65016  cns1.net.telfort.nl:53  136.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:35723  cns1.net.telfort.nl:53  136.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:55156  cns1.net.telfort.nl:53  133.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:7598   cns1.net.telfort.nl:53  133.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:54766  cns1.net.telfort.nl:53  133.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:58476  cns1.net.telfort.nl:53  133.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:30545  cns1.net.telfort.nl:53  133.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:35023  cns1.net.telfort.nl:53  133.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:50854  cns1.net.telfort.nl:53  133.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:7102   cns1.net.telfort.nl:53  133.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:38877  cns1.net.telfort.nl:53  133.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:38877  cns1.net.telfort.nl:53  133.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:44816  cns1.net.telfort.nl:53  133.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:10887  cns1.net.telfort.nl:53  133.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:32061  cns2.net.telfort.nl:53  133.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:13885  cns1.net.telfort.nl:53  133.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:41170  cns1.net.telfort.nl:53  133.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:60304  cns1.net.telfort.nl:53  133.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:60304  cns1.net.telfort.nl:53  133.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:1458   cns1.net.telfort.nl:53  133.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:57254  cns1.net.telfort.nl:53  133.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:48794  cns1.net.telfort.nl:53  133.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:51651  cns1.net.telfort.nl:53  133.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:51651  cns1.net.telfort.nl:53  133.00 B (2 Pkts.)
IPV4    UDP 195-241-xx-xxx.ip.telfort.nl:17206  cns1.net.telfort.nl:53  133.00 B (2 Pkts.)

[Voor 94% gewijzigd door immetjes op 20-01-2014 12:31. Reden: Code toegeveogd.]

maandag 20 januari 2014 09:55

Acties:
  • 0Henk 'm!
  • Schnoop
  • Registratie: Juli 2006
  • Laatst online: 06-02 11:25

Schnoop

immetjes schreef op zondag 19 januari 2014 @ 21:47:
Alles -behalve gebridged Zyxel modem, iPad en de TP-LINK router- staat nu uit (ik type dit van de iPad). Nog steeds gaan de actieve connecties door het dak.
Begin eens met duidelijk uit te leggen hoe jouw netwerk eruit ziet. Het is mij totaal niet duidelijk wat bij je waar op draait.

Ik gok:
Zyxel met openwrt->bridge->tp-link met originele firmware?


Als mijn aaname correct is:
-Haal zyxel zoals eerder geadviseerd eens uit bridge mode en controleer het dan opnieuw zonder de tp-link eraan. En dan met. (Resultaat: Of je zyxel of je tp-link zorgt voor de connecties).
-Wellicht dat je tp-link router (toen HTTP acces aanstond) gehacked is en er iemand iets in heeft gestopt?

In het kort: Sluit even uit welk device hier nu voor de connecties zorgt.

maandag 20 januari 2014 10:11

Acties:
  • 0Henk 'm!
  • immetjes
  • Registratie: Juli 2003
  • Laatst online: 23-03 16:59

immetjes

HIER is BERN-E

Topicstarter
Origineel Telfort ADSL+ ZyXEL model. IP-adres 192.168.2.1. Deze is gebridged naar WAN-port van een TP-Link TL-WR1043ND (192.168.1.2) waar dus de genoemde OpenWRT op draait.

Aan die TP-Link hangen een Synology 210j (192.168.1.3), Dune mediaplayer, TV, PS3 en twee PC's (mbv van unmanaged switches); draadloos nog laptops, tablets en mobiele telefoons.

HTTP access heeft nooit aangestaan op mijn router. Hij is alleen lokaal te benaderen of via SSH op poort 443.

Ik ga vanavond de ZyXEL uit bridged halen om zo uit te sluiten dat de TP-link router dit verkeer veroorzaakt.

Edit: Nog wat info: Mijn ZyXEL modem viel van z'n plankje afgelopen week en daarbij trok ie de POTS draadjes los uit het ISRA punt. Dit heb ik gewoon weer vastgeschroeft. DSL lampje brand en snelheid en ping zijn ok. Kan het modem hierbij beschadigd zijn dat ie DNS requests genereert?

[Voor 19% gewijzigd door immetjes op 20-01-2014 11:27. Reden: info toegevoegd]

maandag 20 januari 2014 12:02

Acties:
  • 0Henk 'm!
  • Schnoop
  • Registratie: Juli 2006
  • Laatst online: 06-02 11:25

Schnoop

Het lijkt er gewoon op dat er een belachelijk grote hoeveelheid aan DNS requests gestuurd worden naar telfort.

Wellicht een idee om even logging aan te zetten op dnsmasq.
/etc/dnsmasq.conf --> regel toevoegen:log-queries
Dan kan je achterhalen wat er precies ge-queried wordt.

Hier overigens een thread welke enige vergelijking met jouw probleem toont.

Draai je nog aparte dingen op openwrt? Wellicht dat iets wat op openwrt draait gewoon continue dns requests via UDP zit te sturen.

Wat overigens wel "vreemd" is dat het ip 72.20.22.17 toebehoort aan staminus, een bedrijf wat ddos oplossing aanbiedt. Je zou bijna gaan denken dat a: je dns-server van buiten bereikbaar is en je wordt gebruikt om dns applification attacks uit te voeren. of b: je dsn server (of iets anders op jouw build) is geschreven om dit te doen (je draait een custom openwrt build zoals je aangaf).

maandag 20 januari 2014 12:13

Acties:
  • 0Henk 'm!
  • immetjes
  • Registratie: Juli 2003
  • Laatst online: 23-03 16:59

immetjes

HIER is BERN-E

Topicstarter
Ok, ik heb mijn MAC-adress gespoofed, router ge-reboot. Ik heb hierdoor een ander extern IP-adres van Telfort gekregen en de actieve connecties zijn nu keurig zo rond de 30.

Ik heb gewoon de laatste built van Ultraman draaien en daar draait niets aparts op. Dat 72.20.22.17 adres zag ik trouwens niet meer terug. Wellicht toeval, net als een Roemeens IP-adres?

Thanks voor alle info. Ik ga eens kijken wat nu het nut was van al die connecties op poort 53. Data ging er namelijk vrijwel niet over heen.

edit:
Moet ik dit trouwens melden aan Telfort (en hoe?)

[Voor 6% gewijzigd door immetjes op 20-01-2014 12:27. Reden: Melden aan Telfort?]

maandag 20 januari 2014 12:33

Acties:
  • 0Henk 'm!
  • Schnoop
  • Registratie: Juli 2006
  • Laatst online: 06-02 11:25

Schnoop

Mooi dat het opgelost is.

Hou even in de gaten of de connecties niet (snel) weer de pan uit stijgen.

Als extra controle zou je wellicht even een snelle portscan op je router kunnen uitvoeren om te kijken of en poorten open staan welke niet open horen te staan. (bijv. met angry ip scan).
En controleer ook direct even of er geen users op je build staan die je niet kunt plaatsen (cat /etc/passwd)

edit:
Ik zou het vooralsnog niet melden. Het probleem zit hem toch bij een apparaat (wss de tp-link met openwrt) die het probleem veroorzaakt, en daar kunnen zij niets aan doen.

Loop gewoon nog even alle dingen na. Als het terugkomt ook zeker even controleren of het blijft als je de tp-link weghaalt om er zeker van te zijn dat hij de boosdoener is.

[Voor 28% gewijzigd door Schnoop op 20-01-2014 12:35]

maandag 20 januari 2014 14:02

Acties:
  • 0Henk 'm!
  • immetjes
  • Registratie: Juli 2003
  • Laatst online: 23-03 16:59

immetjes

HIER is BERN-E

Topicstarter
Krijg net dit mailtje van Telfort:
Geachte heer/mevrouw,

LET OP : Deze e-mail bevat belangrijke informatie over een beveiligingsprobleem wat op uw Internetverbinding is aangetroffen. Leest u deze e-mail alstublieft aandachtig door.

Wij hebben geconstateerd dat er op uw aansluiting een onveilige DNS server draait. Dit kan worden veroorzaakt doordat u een eigen server heeft aangesloten op de verbinding, of een modem gebruikt die niet (meer) door Telfort wordt ondersteund. Meer informatie over dit probleem is te vinden op de website van de SIDN, welke u kunt nalezen via https://www.sidn.nl/nl/ni...arheid-in-dns-protocol-1/

Indien u een eigen server heeft draaien, verzoeken wij u deze van de aansluiting te verwijderen, waarmee u het probleem heeft opgelost.

Heeft u een eigen modem, verzoeken wij u de configuratie aan te passen, zodat DNS functionaliteit niet langer beschikbaar is vanaf het internet. Raadpleeg de handleiding van uw modem, of neem contact op met de leverancier. Mogelijk dient u de software van uw modem, de zgn. firmware bij te werken.

Eventueel kunt u contact opnemen met Telfort voor het leveren van een modem in bruikleen. Deze modems worden door Telfort zelf beheerd, waardoor u zich geen zorgen hoeft te maken over het bijwerken van de modem software.

[Nog wat contactinfo en abuse nummer; heb ik verwijderd]

Met vriendelijke groet,

Telfort Abuse Team
xxxxx@xxxxx.nl

Tel. 0900 xxxx (10ecpm + evt. kosten van uw mobiele aanbieder, deze vindt u op de website van uw aanbieder)
Op m'n OpenWRT router draait dnsmasq. Firewall configuratie checken dus.

maandag 20 januari 2014 14:47

Acties:
  • 0Henk 'm!
  • Schnoop
  • Registratie: Juli 2006
  • Laatst online: 06-02 11:25

Schnoop

immetjes schreef op maandag 20 januari 2014 @ 14:02:
Krijg net dit mailtje van Telfort:


[...]


Op m'n OpenWRT router draait dnsmasq. Firewall configuratie checken dus.
Het heeft geen nut om je firewall config te testen. Deze blokt traffic (of allowed). Als er geen blocks ingesteld staan kan gewoon alles vanuit de router (of het netwerk) het internet op.


Als het je tp-link is staat de DNS server of open naar buiten of er zit meer in de firmware dan zou moeten. Installeer gewoon de official build van openwrt.org eens. Als de connecties er dan niet meer zijn vermoed ik dat de build die jij gebruikt rare dingen bevat.

maandag 20 januari 2014 15:03

Acties:
  • 0Henk 'm!
  • immetjes
  • Registratie: Juli 2003
  • Laatst online: 23-03 16:59

immetjes

HIER is BERN-E

Topicstarter
Ik heb gisteren alles uit gehad (ook m'n NAS) behalve natuurlijk het gebridgte ZyXEL modem en de OpenWRT TP-Link router. De active connecties gingen gewoon door. Ik zou dus zeggen dat het de router is.

Router terug naar factory gezet. Probleem opgelost. Ik vind het wel jammer dat ik niet weet wat er nu precies fout gegaan is. Ik vermoed iets met een VLAN voor Wifi Access voor gasten.

VLAN voor gasten weer geinstalleerd. Dit is het probleem niet. Ik herinner me dat ik naast mijn WAN, LAN en GUEST interface nog een 4e zag, iets met IPWAN6. Dat had ik niet eerder gezien. Ik heb mijn oude config gesaved. Dus ik zou het eens terug kunnen zetten (eerst m'n modem uitzetten) en kijken wat het precies is.

[Voor 60% gewijzigd door immetjes op 21-01-2014 10:42. Reden: Router gereset]

Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee