Vecna scan?

Lijken mij gewoon bots die bepaalde poorten aframmen op zoek naar een ingang om een bekende exploit te gebruiken. Blocked is goed. Vroeger keek ik wel eens in mijn firewall logs maar je wordt er alleen maar paranoide van. iedereen zijn fw log staat hier waarschijnlijk vol mee.

Overige Hardware is geen dumpbak. Vragen over netwerken horen in... Netwerken.

Move OH -> NT

Verwijderd schreef op zondag 25 juni 2017 @ 16:54:
Hoi,

Ik zag laatst in mijn router security log het volgende ;
01/09/2009 22:51:22 **Vecna Scan- x.x.x.x >> x.x.x.x inbound...

Beetje bijzonder dat een aanval uit september 2009 je netwerk nu nog traag maakt, vind je ook niet?

Staat de datum / tijd instelling op de router wel goed? Zoals Brahiewahiewa al aangeeft is de logmelding uit 2009 zo te zien.

Bor schreef op maandag 26 juni 2017 @ 08:31:
Staat de datum / tijd instelling op de router wel goed? Zoals Brahiewahiewa al aangeeft is de logmelding uit 2009 zo te zien.

Zo'n router heeft vaak geen RTC, dus totdat hij een antwoord van een time-server heeft ontvangen kan hij niets anders dan uitgaan van een door de programmeur bepaalde tijd. In dit geval lijkt dat 1 september 2009 te zijn. (of 9 januari 2009).

Maar een vecna scan is gewoon internet-ruis ( inbound, that is ) en gaat je netwerk echt niet vertragen.
De claim dat vecna scan je netwerk vertraagt komt van iemand die een dozijntje geïnfecteerde pc's in z'n netwerk had hangen. Die zag duizenden outbound scans. Dan wordt het wel traag, ja

MrMonkE schreef op zondag 25 juni 2017 @ 17:02:
Vroeger keek ik wel eens in mijn firewall logs maar je wordt er alleen maar paranoide van. iedereen zijn fw log staat hier waarschijnlijk vol mee.

Dat is ook de reden dat je er enkel naar moet kijken als je weet wat je doet. Want de kwalificatie die de 'firewall' eraan geeft klopt sowieso nooit.

In dit geval zou het zogenaamd Hybris (computer worm) zijn. Die regel is niet meer relevant na 16 jaar, en dat geeft goed aan hoe oud de rulesets zijn die je in zo'n firewall terugvindt.

Maar als je goed kijkt zie je dat er wel werkelijk aan de hand is: er komt opvallend vaak poort 6881 in voor, laat dat nu net een default BitTorrent-poort zijn.

Dus:

Verwijderd schreef op zondag 25 juni 2017 @ 16:54:
Kan iemand mij vertellen wat ik precies kan doen tegen zo een aanval

Het is geen 'aanval' maar BitTorrent-verkeer. Nu zijn deze regels specifiek niet de boosdoener, maar als je internet er traag van wordt dan moet je ergens in je netwerk een BitTorrent-client fatsoenlijk configureren of uitzetten. Als je niet bewust een BitTorrent-client draait dan zou ik op zoek gaan naar een videostreaming- of update-apllicatie.

[ Voor 3% gewijzigd door Thralas op 26-06-2017 18:53 ]