:strip_exif()/i/1398764646.png?f=thumbmini)
:fill(white):strip_exif()/i/1381324421.jpeg?f=thumbmini)
:strip_exif()/u/713497/crop56620001cc3b3_cropped.gif?f=community)
Een vriend van mij heeft een Netgear Nighthawk R7000. Hij was niet op de hoogte van de recente lekken in de stock firmware (nieuws op Tweakers) en heeft pas afgelopen mei zijn router geüpdatet naar de meest recente firmware.
Nu heeft hij de log van zijn router bekeken en maakt hij zich zorgen over of het updaten te laat is geweest. In zijn log staat namelijk dit:
Zou het kunnen dat haar MacBook onderdeel is geworden van een Botnet? Zo ja, kunnen we daar iets aan doen?
Relevante software en hardware die zij gebruiken
Nu heeft hij de log van zijn router bekeken en maakt hij zich zorgen over of het updaten te laat is geweest. In zijn log staat namelijk dit:
Wat zou dit kunnen betekenen? 192.168.1.15 is de Macbook van zijn vriendin. De externe IP-adressen heb ik opgezocht met behulp van een WhoIS IP Lookup Tool en deze komen voornamelijk uit landen als Rusland, Oekraïne, China, en Wit-Rusland.[LAN access from remote] from 176.92.22.33:52140 to 192.168.1.15:37776, Friday, May 19,2017 21:11:33
[LAN access from remote] from 180.169.73.162:29295 to 192.168.1.15:37776, Friday, May 19,2017 21:10:47
[LAN access from remote] from 176.37.226.59:61487 to 192.168.1.15:37776, Friday, May 19,2017 21:10:41
[LAN access from remote] from 178.172.239.226:34387 to 192.168.1.15:37776, Friday, May 19,2017 21:07:42
[LAN access from remote] from 176.59.8.174:17287 to 192.168.1.15:37776, Friday, May 19,2017 21:07:12
[LAN access from remote] from 178.165.44.99:37952 to 192.168.1.15:37776, Friday, May 19,2017 21:06:29
[LAN access from remote] from 178.151.86.164:24050 to 192.168.1.15:37776, Friday, May 19,2017 21:03:29
[LAN access from remote] from 178.65.163.231:20688 to 192.168.1.15:37776, Friday, May 19,2017 21:03:02
[LAN access from remote] from 162.230.172.230:7301 to 192.168.1.15:37776, Friday, May 19,2017 21:02:59
[LAN access from remote] from 178.120.218.164:48110 to 192.168.1.15:37776, Friday, May 19,2017 21:02:34
[LAN access from remote] from 178.215.96.45:8704 to 192.168.1.15:37776, Friday, May 19,2017 21:02:07
Zou het kunnen dat haar MacBook onderdeel is geworden van een Botnet? Zo ja, kunnen we daar iets aan doen?
Relevante software en hardware die zij gebruiken
- MacBook Air 13 inch <2016 (ofwel El Capitan, ofwel Sierra)
- Netgear Nighthawk R7000 (firmware V1.0.7.12_1.2.5)
- Geen P2P-programma's (Azure / uTorrent / Popcorn Time), volgens zijn zeggen.
- Op internet heb ik gevonden dat het zou kunnen komen door een P2P programma, maar zoals gezegd geeft de vriend aan dat zij daar geen gebruik van maakt. De meeste threads in verschillende fora (gevonden op google) geven dit als oorzaak. Bovendien zou het raar zijn dat, indien het daadwerkelijk P2P-verkeer betreft, dat er zoveel connecties uit Rusland en Oekraïne in de logs terug zouden komen.
- Ik heb gezocht naar waar poort 37776 voor gebruikt wordt op onder andere deze site, maar ik kan hier geen informatie over vinden.
- Hij heeft haar computer gescand met Malwarebytes antimalware, maar dat heeft niets gevonden.
- Het zou met Port-forwarding te maken kunnen hebben, maar hij heeft (voor zover hij weet) geen poorten expliciet open gezet op de router.
/u/34216/avatar-60x60.png?f=community){kind=avatar}
:strip_icc():strip_exif()/u/17313/_IGP1526kl2.jpg?f=community)