Mijn ip word aangevallen

Als de poorten in je router niet open staan of geroute naar een bepaalde device zullen ze eerst je router moeten 'hacken' willen ze poorten open kunnen zetten naar apparaten.

In de praktijk is dit hoogst onwaarschijnlijk, zolang jij geen poorten open zet of apparaten in DMZ zet is die kans niet bijster groot.

Er zit wel heel veel tijd tussen deze incidenten. Wordt niet elk IP in Nederland default aangevallen vanuit China? Ik zou mij niet zo druk maken om deze incidenten. Ik vind het namelijk wel meevallen.

Als je een Windows XP machine op een publiek IP hangt en blank passwords inschakelt, dan zie je allerlei pogingen met admin, root, administrator, etc. Gek genoeg geen enkele poging met blank password. Ieder uur zijn er wel een aantal pogingen.

Zorg er in ieder geval voor dat je een sterk wachtwoord op de router hebt en dat je alle beheerpoorten van buitenaf afsluit. Zet in ieder geval wel uPnP uit. Zet ook een ander modem neer. Dit type modem valt allang buiten de support en is eigenlijk nog onveiliger dan Windows XP op een publiek IP adres hangen.

[ Voor 11% gewijzigd door Trommelrem op 20-05-2015 20:43 ]

Dit soort meldingen met deze frequentie zie je letterlijk in alle log van routers die aan het internet hangen.
Ik zou er verder geen aandacht aan besteden, uiteraard wel zorgen dat je firmware e.d. up to date is zodat eventuele bekende vulnerabilities gepatched zijn.

161 is de standaard poort voor snmp. Kan goed zijn dat bepaalde routers/modems een kwetsbaarheid hebben waardoor ze via snmp te hacken zijn, waardoor botnets/scriptkiddies/wormen gaan proberen om verbinding te maken met die poort.

Zo zie je op poort 22 ook wel eens scans voorbijkomen, of als je daadwerkelijk een ssh server draait allerlei gekke inlogpogingen.

Aangezien je firewall het netjes blokkeert lijkt het me niet direct iets om je heel veel zorgen over te maken.

Je zou hoogstens eens kunnen checken of een van de systemen op je netwerk zelf iets van verkeer naar diezelfde IP adressen stuurt vanaf waar de UDP pakketjes komen.

Persoonlijk zou ik ook even vragen om een ander modem. Die speedtouch is nogal oud.

DanielNL schreef op woensdag 20 mei 2015 @ 20:52:
Jaa hij is echt super oud, ik ga wel een nieuwe regelen.
Maar ik hoef me dus geen zorgen te maken?
aangezien ze zeiden dat mijn netwerk misschien door hun word gebruikt voor andere doeleinden.

bedankt allemaal in ieder geval!

Scans komen de hele tijd en zijn niks bijzonders zolang je geen kwetsbare service naar het internet open hebt staan. Maar het kan hier natuurlijk ook gaan om een False Positive.

RedHat schreef op woensdag 20 mei 2015 @ 20:36:
Als de poorten in je router niet open staan of geroute naar een bepaalde device zullen ze eerst je router moeten 'hacken' willen ze poorten open kunnen zetten naar apparaten.

In de praktijk is dit hoogst onwaarschijnlijk, zolang jij geen poorten open zet of apparaten in DMZ zet is die kans niet bijster groot.

Dat hangt er heel erg vanaf hoor. Als voorbeeld; Een roque WIFI client kan in veel gevallen zo in de admin interface van het modem of een router daar veel mensen default passwords niet aanpassen.

Zonder verdere info of logging kan overigens niemand echt iets zinnigs zeggen over het risico dat je loopt. Op basis van het screenshot dat je hier stuurt lijken mij het de gebruikelijke scans zoals hier eerder al gemeld.

4 pakketjes in 24 uur tijd? Dat is helemaal niks. Ze worden nog door je firewall tegen gehouden ook.

Het verhaal van de helpdesk is een algemeen kletsverhaaltje. Tenzij ze meer informatie hebben dan dat screenshot van jou is het niet echt van toepassing.

ik heb laatst een log gezien van een server van een hostings bedrijf. Deze werd al 24 uur 55x per seconde! aangevallen.

Wel slim gespeeld trouwens.. duurde maar 2 minuten na het blokkeren van het ip adres dat een nieuw ip adres al weer verder ging waar hij gebleven was.

tevens staan er in mijn log van mijn router ook wel zulke meldingen, blijkbaar zijn dit gewoon poortscanners die een poging doen om iets te vinden.