Internet problemen, waarschijnlijk lid van een Botnet? - Netwerken

donderdag 27 maart 2014 19:24

Acties:

Topicstarter

Hallo,

Thuis hebben we al meer dan een week last van een slechte verbinding. Ik heb vandaag zelf het probleem proberen te achterhalen. Ik zal even de historie vertellen:

Ik heb altijd thuis een webserver gedraaid, ik denk sinds een jaar of 2. Vanaf afgelopen week hebben we last gekregen van slecht internet. Aangezien ik geen webserver wil hebben die slecht bereikbaar is heb ik deze maar offline gehaald. KPN is een aantal keer langs geweest, tot op heden is er nog niets speciaals gevonden. Ze hebben een aantal keer een nieuwe router opgehangen etc.

In de nieuwe router kregen we een hoop meldingen dat wij een syn flood binnen kregen op poort 80. Ik ben gaan onderzoeken wie ons de floods verstuurt. Ik heb een stuk of 10 IP's door een black list gehaald maar heb niks kunnen vinden.

Ik ben gaan kijken of er op de IP's een webserver draait, tot mijn verbazing draait op bijna elk IP een Chinese website die een foutmelding terug geeft. Met Wireshark ben ik gaan kijken wat er precies naar ons door gestuurd is. Ik trof een overvloed aan foute verbindingen aan.

Om te kijken wat er precies is gebeurd heb ik poort 80 (de poort waar alle syn aanvallen op binnen kwamen) naar mijn pc gestuurd. Ik heb hier op een Apache2 webserver gezet. Ik ben met Wireshark gaan kijken wat voor data voorbij komt. Ik kwam het volgende tegen:

(Gefilterd op 1 IP, ik heb een waslijst aan adressen die de zelfde aanvragen maken)
Afbeeldingslocatie: http://i61.tinypic.com/245d3mc.png

Afbeeldingslocatie: http://i61.tinypic.com/245d3mc.png

De GET aanvraag is niet altijd naar de zelfde URI. Dit is bij een aanvraag van een ander ip bijvoorbeeld: ib.adnxs.com/ttj?id=2198415. Als je zelfde naar het adres heen gaat krijg je de volgende data terug:

(function(){function r(r){try{if(!window.location.ancestorOrigins)return;for(var n=0,t=window.location.ancestorOrigins.length;n=0;e--){o=t[e].location;if(!o&&e>0){o=t[e-1].referrer;if(!o){o=t[e-1].ancestor}}if(o){break}}o=encodeURIComponent(o);var i='http://ib.adnxs.com/ttj?ttjb=1&bdref='+o+'&id=2198415';document.write('

(Indien het ID veranderd wordt, wordt ook de content aangepast)

Lijst van andere GETS:
Afbeeldingslocatie: http://i61.tinypic.com/2wr1yy9.png

Wordt er nu een aanvraag naar ons gemaakt zodat wij 0 data naar een bepaalde host sturen? Probeert een externe partij ons een bepaalde site te ddosen door bepaalde pagina's op te vragen?

[ Voor 19% gewijzigd door lauwsa op 27-03-2014 19:41 ]

donderdag 27 maart 2014 19:50

Acties:

ihre

Draaien er ads op jouw website, of maak je gebruik van een clicktracker?

code:

$ host ib.adnxs.com
ib.adnxs.com is an alias for g.geogslb.com.
g.geogslb.com is an alias for ib.anycast.adnxs.com.
ib.anycast.adnxs.com has address 37.252.162.212
ib.anycast.adnxs.com has address 37.252.162.71
ib.anycast.adnxs.com has address 37.252.162.199
ib.anycast.adnxs.com has address 68.67.185.194
ib.anycast.adnxs.com has address 37.252.162.8
ib.anycast.adnxs.com has address 37.252.162.214
ib.anycast.adnxs.com has address 37.252.162.3
ib.anycast.adnxs.com has address 68.67.185.177

$ whois 37.252.162.221
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '37.252.162.0 - 37.252.163.255'

% Abuse contact for '37.252.162.0 - 37.252.163.255' is 'abuse@appnexus.com'

inetnum:        37.252.162.0 - 37.252.163.255
netname:        EUADNEXUS-AMS1-IB-1
descr:          AMS1 IB Net - Public VIPs
country:        NL
admin-c:        PERE2-RIPE
tech-c:         PERE2-RIPE
status:         ASSIGNED PA
mnt-by:         MNT-APPNEXUSEU1
source:         RIPE # Filtered
org:            ORG-AI61-RIPE

organisation:   ORG-AI61-RIPE
org-name:       AppNexus, Inc.
org-type:       LIR
address:        AppNexus, Inc.
address:        Scott Martin
address:        28 West 23rd St. 5th Floor
address:        10010
address:        New York, New York
address:        UNITED STATES
phone:          +16468256584
fax-no:         +16468256585
abuse-c:        AR13691-RIPE
mnt-ref:        RIPE-NCC-HM-MNT
mnt-ref:        MNT-APPNEXUSEU1
mnt-by:         RIPE-NCC-HM-MNT
admin-c:        MDR242-RIPE
admin-c:        PERE2-RIPE
admin-c:        SWM6-RIPE
admin-c:        AN6962-RIPE
admin-c:        KVRT1
source:         RIPE # Filtered

person:         Dmitry Perelman
address:        28 23rd St., New York, NY 10010
phone:          +1-646-701-6032
nic-hdl:        PERE2-RIPE
mnt-by:         MNT-APPNEXUSEU1
source:         RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.72 (DBC-WHOIS1)

http://www.advertserve.co.../thirdparty_appnexus.html
Wikipedia: AppNexus

donderdag 27 maart 2014 20:03

Acties:

lauwsa

Topicstarter

Ik heb er geen advertenties op staan, alles wat ik op mijn server host is alleen voor mij zelf bedoeld en een paar vrienden. Voor elke service dien je je trouwens te authentiseren. Er staat bijvoorbeeld een SVN server op.

Ik heb er tijdelijk een Wordpress site op gehost, hier was ik voor iemand anders aan aan het werken. Deze staat er al een tijd niet meer op.

[ Voor 24% gewijzigd door lauwsa op 27-03-2014 20:06 ]

donderdag 27 maart 2014 20:18

Acties:

ihre

Ik ga er van uit dat er *nix op je server draait, wellicht zou je eens kunnen zoeken in je webdir op ib.adnxs.com

code:

1	find /pad/naar/webdir -type f -print0 \| xargs -0 grep ib\.adnxs\.com

ps. of gewoon find / ..

donderdag 27 maart 2014 20:33

Acties:

lauwsa

Topicstarter

Ik heb mijn webserver gescand, daar is niks op gevonden. Het commando heb ik uitgevoerd op www data en sites-enabled.

De requests worden constant gemaakt, ook al heeft er een dag geen webserver gedraaid.