Mint laptop stuurt ICMP pakketten met data naar random host

maandag 15 januari 2018 20:07

Acties:

0 Henk 'm!

Topicstarter

Hallo beste tweakers. Wie kan me gerust stellen? Ik heb namelijk last van onverklaarbaar netwerk verkeer op mijn laptop. Is het Malware?

code:

chris-N750HU ~ #  netstat -tulpna
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.1.1:53            0.0.0.0:*               LISTEN      1503/dnsmasq    
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1309/sshd       
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1059/cupsd      
tcp        0      0 127.0.0.1:5432          0.0.0.0:*               LISTEN      1212/postgres   
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      1846/smbd       
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      1846/smbd       
tcp        0      0 192.168.2.11:33346      91.189.92.191:80        TIME_WAIT   -               
tcp        0      0 192.168.2.11:47750      208.97.150.227:80       TIME_WAIT   -               
tcp        0      0 192.168.2.11:51716      145.220.21.40:80        TIME_WAIT   -               
tcp        0      0 192.168.2.11:45450      91.189.88.161:80        TIME_WAIT   -               
tcp        0      0 192.168.2.11:40330      91.189.88.152:80        TIME_WAIT   -               
tcp6       0      0 :::22                   :::*                    LISTEN      1309/sshd       
tcp6       0      0 ::1:631                 :::*                    LISTEN      1059/cupsd      
tcp6       0      0 :::445                  :::*                    LISTEN      1846/smbd       
tcp6       0      0 :::139                  :::*                    LISTEN      1846/smbd       
udp        0      0 0.0.0.0:45646           0.0.0.0:*                           1503/dnsmasq    
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           976/avahi-daemon: r
udp        0      0 0.0.0.0:38367           0.0.0.0:*                           976/avahi-daemon: r
udp        0      0 127.0.0.1:56083         127.0.0.1:56083         ESTABLISHED 1212/postgres   
udp        0      0 127.0.1.1:53            0.0.0.0:*                           1503/dnsmasq    
udp        0      0 0.0.0.0:68              0.0.0.0:*                           3149/dhclient   
udp        0      0 192.168.2.255:137       0.0.0.0:*                           1804/nmbd       
udp        0      0 192.168.2.11:137        0.0.0.0:*                           1804/nmbd       
udp        0      0 0.0.0.0:137             0.0.0.0:*                           1804/nmbd       
udp        0      0 192.168.2.255:138       0.0.0.0:*                           1804/nmbd       
udp        0      0 192.168.2.11:138        0.0.0.0:*                           1804/nmbd       
udp        0      0 0.0.0.0:138             0.0.0.0:*                           1804/nmbd       
udp        0      0 0.0.0.0:631             0.0.0.0:*                           1060/cups-browsed
udp6       0      0 :::45187                :::*                                976/avahi-daemon: r
udp6       0      0 :::5353                 :::*                                976/avahi-daemon: r

Ik heb verder geen applicaties draaien en toch heb ik mijn vraagtekens bij connecties zoals deze:

code:

tcp        0      0 192.168.2.11:33346      91.189.92.191:80        TIME_WAIT   -               
tcp        0      0 192.168.2.11:47750      208.97.150.227:80       TIME_WAIT   -               
tcp        0      0 192.168.2.11:51716      145.220.21.40:80        TIME_WAIT   -               
tcp        0      0 192.168.2.11:45450      91.189.88.161:80        TIME_WAIT   -               
tcp        0      0 192.168.2.11:40330      91.189.88.152:80        TIME_WAIT   -

Waarom geeft netstat niet keurig aan welk proces hier voor verantwoordelijk is? Ik ben root dus ik zou het toch moeten zien.

Ook zie ik allerlei pakketjes langs komen als ik tcpdump gebruik

code:

19:46:44.711564 IP 192.168.2.11.40330 > 91.189.88.152.80: Flags [.], ack 193857, win 2160, options [nop,nop,TS val 3234804073 ecr 3000767348], length 0
19:46:44.711957 IP 192.168.2.11.40330 > 91.189.88.152.80: Flags [.], ack 196753, win 2160, options [nop,nop,TS val 3234804074 ecr 3000767348], length 0
19:46:44.712815 IP 192.168.2.11.40330 > 91.189.88.152.80: Flags [.], ack 201097, win 2160, options [nop,nop,TS val 3234804075 ecr 3000767348], length 0
19:46:44.713399 IP 192.168.2.11.40330 > 91.189.88.152.80: Flags [.], ack 205102, win 2160, options [nop,nop,TS val 3234804075 ecr 3000767348], length 0
19:46:44.720248 IP 192.168.2.11.39120 > 2.19.60.46.443: Flags [P.], seq 345:396, ack 3781, win 288, options [nop,nop,TS val 1132238347 ecr 234391819], length 51
19:46:44.732444 IP 192.168.2.11.39120 > 2.19.60.46.443: Flags [P.], seq 396:625, ack 4039, win 310, options [nop,nop,TS val 1132238359 ecr 234391831], length 229
19:46:44.776901 IP 192.168.2.11.47750 > 208.97.150.227.80: Flags [S], seq 3540521178, win 29200, options [mss 1460,sackOK,TS val 4102582911 ecr 0,nop,wscale 7], length 0
19:46:44.788730 IP 192.168.2.11.39120 > 2.19.60.46.443: Flags [.], ack 4262, win 333, options [nop,nop,TS val 1132238416 ecr 234391843], length 0
19:46:44.869991 IP 192.168.2.11.47750 > 208.97.150.227.80: Flags [.], ack 29364663, win 229, length 0
19:46:44.870115 IP 192.168.2.11.47750 > 208.97.150.227.80: Flags [P.], seq 0:200, ack 1, win 229, length 200: HTTP: GET /dists/stable/InRelease HTTP/1.1
19:46:44.963350 IP 192.168.2.11.47750 > 208.97.150.227.80: Flags [.], ack 110, win 229, length 0
19:46:45.054256 IP 192.168.2.11.39120 > 2.19.60.46.443: Flags [F.], seq 625, ack 4262, win 333, options [nop,nop,TS val 1132238681 ecr 234391843], length 0
19:46:45.054603 IP 192.168.2.11.33346 > 91.189.92.191.80: Flags [F.], seq 210, ack 111, win 229, options [nop,nop,TS val 1550200732 ecr 1258252308], length 0
19:46:45.054960 IP 192.168.2.11.45450 > 91.189.88.161.80: Flags [F.], seq 217, ack 102439, win 1444, options [nop,nop,TS val 2297224752 ecr 797038969], length 0
19:46:45.055267 IP 192.168.2.11.40330 > 91.189.88.152.80: Flags [F.], seq 639, ack 205102, win 2160, options [nop,nop,TS val 3234804417 ecr 3000767348], length 0
19:46:45.055562 IP 192.168.2.11.51716 > 145.220.21.40.80: Flags [F.], seq 402, ack 628, win 245, options [nop,nop,TS val 4181070280 ecr 1319879176], length 0
19:46:45.055830 IP 192.168.2.11.56062 > 91.189.95.83.80: Flags [F.], seq 227, ack 229, win 237, options [nop,nop,TS val 2708253293 ecr 1258254412], length 0
19:46:45.056129 IP 192.168.2.11.47750 > 208.97.150.227.80: Flags [F.], seq 200, ack 110, win 229, length 0
19:46:45.063613 IP 192.168.2.11.51716 > 145.220.21.40.80: Flags [.], ack 629, win 245, options [nop,nop,TS val 4181070289 ecr 1319879612], length 0
19:46:45.067323 IP 192.168.2.11.33346 > 91.189.92.191.80: Flags [.], ack 112, win 229, options [nop,nop,TS val 1550200744 ecr 1258252417], length 0
19:46:45.068247 IP 192.168.2.11.40330 > 91.189.88.152.80: Flags [.], ack 205103, win 2160, options [nop,nop,TS val 3234804430 ecr 3000767441], length 0
19:46:45.068918 IP 192.168.2.11.39120 > 2.19.60.46.443: Flags [R], seq 1852513532, win 0, length 0
19:46:45.069589 IP 192.168.2.11.39120 > 2.19.60.46.443: Flags [R], seq 1852513532, win 0, length 0
19:46:45.071487 IP 192.168.2.11.45450 > 91.189.88.161.80: Flags [.], ack 102440, win 1444, options [nop,nop,TS val 2297224768 ecr 797039067], length 0
19:46:45.148307 IP 192.168.2.11.47750 > 208.97.150.227.80: Flags [.], ack 111, win 229, length 0
19:46:48.161659 IP 192.168.2.11 > 159.89.188.219: ICMP 192.168.2.11 udp port 30303 unreachable, length 207
19:46:49.355337 IP 192.168.2.11.5353 > 224.0.0.251.5353: 0 [2q] PTR (QM)? _ipps._tcp.local. PTR (QM)? _ipp._tcp.local. (45)
19:46:51.072540 IP 192.168.2.11 > 39.110.116.12: ICMP 192.168.2.11 udp port 30303 unreachable, length 175
19:47:03.102247 IP 192.168.2.11 > 83.167.123.16: ICMP 192.168.2.11 udp port 30303 unreachable, length 175
19:47:04.987658 IP 192.168.2.11 > 159.89.188.219: ICMP 192.168.2.11 udp port 30303 unreachable, length 207
19:47:07.033734 IP 192.168.2.11 > 116.228.61.86: ICMP 192.168.2.11 udp port 30303 unreachable, length 163
19:47:11.607226 IP 192.168.2.11 > 159.89.188.219: ICMP 192.168.2.11 udp port 30303 unreachable, length 207
19:47:11.691373 IP 192.168.2.11 > 73.189.102.158: ICMP 192.168.2.11 udp port 30303 unreachable, length 163
19:47:12.176827 ARP, Request who-has 192.168.2.254 tell 192.168.2.11, length 28
19:47:12.374247 IP 192.168.2.11 > 69.64.54.135: ICMP 192.168.2.11 udp port 30303 unreachable, length 175
19:47:13.699676 IP 192.168.2.11 > 159.89.188.219: ICMP 192.168.2.11 udp port 30303 unreachable, length 207
19:47:15.698303 IP 192.168.2.11 > 159.89.188.219: ICMP 192.168.2.11 udp port 30303 unreachable, length 207
19:47:19.114149 IP 192.168.2.11 > 212.44.132.104: ICMP 192.168.2.11 udp port 30303 unreachable, length 163
19:47:20.925111 IP 192.168.2.11 > 52.232.5.156: ICMP 192.168.2.11 udp port 30303 unreachable, length 163
19:47:22.244200 IP 192.168.2.11 > 93.79.233.2: ICMP 192.168.2.11 udp port 30303 unreachable, length 175
19:47:24.427288 IP 192.168.2.11 > 45.33.59.27: ICMP 192.168.2.11 udp port 30303 unreachable, length 175

Het vreemde is dat dit soort verkeer alleen langs komt als ik de bedrage verbinding gebruik en niet als ik de wifi gebruik.

De verbindingen en pakketten worden zelfs verstuurd als ik alleen via de console inlog zonder user interface. Ook zie ik ICMP pakketten langs komen met allerlei data er in. ICMP is daar niet voor bedoeld maar er staat toch allerlei voor mij onleesbare data in.
Heb ik een rootkit?

maandag 15 januari 2018 20:16

Acties:

0 Henk 'm!

dev0fx

Topicstarter

okay, chkrootkit geeft dit aan: suspicious files and directories ehh wat zijn dat voor rare bestanden?

code:

Searching for rootkit RH-Sharpe's default files...          nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:  
/usr/lib/debug/.build-id /usr/lib/python3/dist-packages/PyQt5/uic/widget-plugins/.noinit /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /lib/modules/4.8.0-53-generic/vdso/.build-id /lib/modules/4.14.0-041400-generic/vdso/.build-id /lib/modules/4.11.0-14-generic/vdso/.build-id /lib/modules/4.14.11-041411-generic/vdso/.build-id
/usr/lib/debug/.build-id /lib/modules/4.8.0-53-generic/vdso/.build-id /lib/modules/4.14.0-041400-generic/vdso/.build-id /lib/modules/4.11.0-14-generic/vdso/.build-id /lib/modules/4.14.11-041411-generic/vdso/.build-id
Searching for LPD Worm files and dirs...                    nothing found
Searching for Ramen Worm files and dirs...                  nothing found
Searching for Maniac files and dirs...                      nothing found
Searching for RK17 files and dirs...                        nothing found

Ik vraag me ook af wat dit is:

Searching for Linux/Ebury - Operation Windigo ssh... Possible Linux/Ebury - Operation Windigo installetd

[ Voor 5% gewijzigd door dev0fx op 15-01-2018 20:18 ]

maandag 15 januari 2018 20:34

Acties:

+1 Henk 'm!

Thralas

dev0fx schreef op maandag 15 januari 2018 @ 20:07:
Is het Malware?

Waarschijnlijk niet.

Waarom geeft netstat niet keurig aan welk proces hier voor verantwoordelijk is? Ik ben root dus ik zou het toch moeten zien.

Omdat er geen proces meer bij hoort. Een TCP-verbinding hoort een bepaalde tijd in TIME_WAIT te blijven wachten nadat hij is afgesloten door de applicatie. Dat regelt de kernel, het bijbehorende proces heeft de socket al gesloten.

Ook zie ik ICMP pakketten langs komen met allerlei data er in. ICMP is daar niet voor bedoeld maar er staat toch allerlei voor mij onleesbare data in.

Dat is wel waar ICMP voor bedoeld is. Het zijn meldingen naar de andere partij dat UDP-poort 30303 niet meer in gebruik is.

Gezien je gewoon achter een NAT zit zou dat soort verkeer jouw laptop nooit zomaar moeten kunnen bereiken. Tenzij hij deze zelf gemapped heeft, of eerst verkeer naar buiten heeft gestuurd over die poort.

Die mapping blijft ook nog even bestaan als je die applicatie hebt afgesloten.

Het is waarschijnlijk een P2P-applicatie die een tijdje draaide, maar nu niet meer. Dat verklaart ook het verkeer van allerlei verschillende hosts.

Jij mag zeggen welke applicatie dat was.

Te laat. De Ethereum-client gebruikt 'm volgens het internet.

Heb ik een rootkit?

Nee.

maandag 15 januari 2018 20:39

Acties:

0 Henk 'm!

dev0fx

Topicstarter

De connecties worden ook niet van buiten naar binnen gemaakt, maar van binnen naar buiten. Mijn laptop maakt dus verbindingen naar hosts, ook op poort 80.
De connecties worden gemaakt als ik verder niets draai en al mijn services heb uit gezet na een verse reboot. Dat vind ik onverklaarbaar. Het zou logisch zijn dat er connecties bestaan op poort 80 als er bijvoorbeeld een web browser actief is, maar die is ook niet actief en niet actief geweest.

Ik zie dus connecties vanuit het niets ontstaan terwijl mijn computer in text mode is ingelogd naar allerlei sites op verschillende poorten en allerlei icmp(ping) pakketten die naar buiten gaan.

maandag 15 januari 2018 20:43

Acties:

0 Henk 'm!

dev0fx

Topicstarter

Mijn andere Mint computers laten niet dergelijk gedrag zien. Waarom moet mijn computer een verbinding maken met een computer in rusland, china, en nog veel meer rare ip adressen? ik heb niets draaiend, ook geen p2p programma, niets zelfs geen ui

maandag 15 januari 2018 20:45

Acties:

+1 Henk 'm!

hcQd

dev0fx schreef op maandag 15 januari 2018 @ 20:07:
Ook zie ik ICMP pakketten langs komen met allerlei data er in. ICMP is daar niet voor bedoeld maar er staat toch allerlei voor mij onleesbare data in.

In bepaalde ICMP-pakketten hoort data te staan. In dit geval (port unreachable) staat daarin het oorspronkelijke pakket (of iig het eerste deel daarvan) zodat je router het naar de juiste computer achter je NAT kan sturen, en je computer het met het juiste request kan matchen.

maandag 15 januari 2018 20:47

Acties:

0 Henk 'm!

dev0fx

Topicstarter

Maar wat moet mijn systeem op een website zoals deze http://45.33.59.27, of deze: http://208.97.150.227/
Daar maakt mijn computer ongevraagd een verbinding mee aan. Terwijl er geen browser draait.

[ Voor 8% gewijzigd door dev0fx op 15-01-2018 20:48 ]

maandag 15 januari 2018 20:54

Acties:

+1 Henk 'm!

Thralas

dev0fx schreef op maandag 15 januari 2018 @ 20:39:
De connecties worden gemaakt als ik verder niets draai en al mijn services heb uit gezet na een verse reboot. Dat vind ik onverklaarbaar. Het zou logisch zijn dat er connecties bestaan op poort 80 als er bijvoorbeeld een web browser actief is, maar die is ook niet actief en niet actief geweest.

De hamvraag lijkt me of je iets met Ethereum/Bitcoins doet, en of je dat ooit op die machine hebt geinstalleerd. Nou?

Ik zie dus connecties vanuit het niets ontstaan terwijl mijn computer in text mode is ingelogd naar allerlei sites op verschillende poorten en allerlei icmp(ping) pakketten die naar buiten gaan.

Nu ik er beter naar kijk is het heel vreemd dat je wel ICMP unreachables ziet, maar geen inkomende pakketjes die dat zouden veroorzaken.

Als je niets doet met eender welke coin dan is er wel wat aan het handje.

dev0fx schreef op maandag 15 januari 2018 @ 20:16:
okay, chkrootkit geeft dit aan: suspicious files and directories ehh wat zijn dat voor rare bestanden?

code:

Searching for rootkit RH-Sharpe's default files...          nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:  
/usr/lib/debug/.build-id /usr/lib/python3/dist-packages/PyQt5/uic/widget-plugins/.noinit /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /lib/modules/4.8.0-53-generic/vdso/.build-id /lib/modules/4.14.0-041400-generic/vdso/.build-id /lib/modules/4.11.0-14-generic/vdso/.build-id /lib/modules/4.14.11-041411-generic/vdso/.build-id
/usr/lib/debug/.build-id /lib/modules/4.8.0-53-generic/vdso/.build-id /lib/modules/4.14.0-041400-generic/vdso/.build-id /lib/modules/4.11.0-14-generic/vdso/.build-id /lib/modules/4.14.11-041411-generic/vdso/.build-id
Searching for LPD Worm files and dirs...                    nothing found
Searching for Ramen Worm files and dirs...                  nothing found
Searching for Maniac files and dirs...                      nothing found
Searching for RK17 files and dirs...                        nothing found

Hier wordt ik niet zo warm van, al heb ik ook niet gekeken of ze daar horen.

Ik vraag me ook af wat dit is:

Searching for Linux/Ebury - Operation Windigo ssh... Possible Linux/Ebury - Operation Windigo installetd

Wat detecteert dat? En geeft het meer informatie?

maandag 15 januari 2018 20:58

Acties:

0 Henk 'm!

dev0fx

Topicstarter

De hamvraag lijkt me of je iets met Ethereum/Bitcoins doet, en of je dat ooit op die machine hebt geinstalleerd. Nou?

Er staat een Etherium client op mijn systeem. zou die zich zelf autostarting hebben gemaakt?

maandag 15 januari 2018 21:02

Acties:

0 Henk 'm!

dev0fx

Topicstarter

[quote]
De hamvraag lijkt me of je iets met Ethereum/Bitcoins doet, en of je dat ooit op die machine hebt geinstalleerd. Nou?
[/qoute]

Er is een etherium client in mijn home directory, maar die draait nu niet.

maandag 15 januari 2018 21:06

Acties:

+1 Henk 'm!

Thralas

dev0fx schreef op maandag 15 januari 2018 @ 21:02:
Er is een etherium client in mijn home directory, maar die draait nu niet.

Niet heel lang geleden wel, anders zou je dat verkeer niet zien. Ik neem aan dat je tenminste geen statische NAT-mappings voor 30303 in je router hebt gezet?

En dat autostarten kun je uitzoeken natuurlijk.

Verder, hoe heb je tcpdump opgestart? Ik snap er niets van waarom je maar verkeer van één kan ziet, tenzij je een raar filter hebt gebruikt.

maandag 15 januari 2018 21:08

Acties:

0 Henk 'm!

dev0fx

Topicstarter

Thralas schreef op maandag 15 januari 2018 @ 21:06:
[...]

Niet heel lang geleden wel, anders zou je dat verkeer niet zien. Ik neem aan dat je tenminste geen statische NAT-mappings voor 30303 in je router hebt gezet?

En dat autostarten kun je uitzoeken natuurlijk.

Verder, hoe heb je tcpdump opgestart? Ik snap er niets van waarom je maar verkeer van één kan ziet, tenzij je een raar filter hebt gebruikt.

Nee ik heb geen mappings voor die poort. Ik heb de computer gereboot en als root in texmode ingelogd. Toch zie ik allerlei verkeer. mijn gewone user is niet ingelogd, alleen root. Er zijn geen etherium processen actief. Toch komen er allerlei paketten langs op poort 30303

maandag 15 januari 2018 21:12

Acties:

0 Henk 'm!

dev0fx

Topicstarter

Verder, hoe heb je tcpdump opgestart? Ik snap er niets van waarom je maar verkeer van één kan ziet, tenzij je een raar filter hebt gebruikt.

ja filter tcpdump -n src host 192.168.2.11

maandag 15 januari 2018 21:14

Acties:

0 Henk 'm!

dev0fx

Topicstarter

Het ziet er dus uit dat er een etherium client draait, maar ik zie geen proces.
ps aux|grep etherium
noppes.

En alleen root is nu ingelogd. Is Kim yong un etherium aan het minen op mijn machine?

maandag 15 januari 2018 21:34

Acties:

0 Henk 'm!

dev0fx

Topicstarter

Oke, ik heb mijn router een reboot gegeven en de misteriuse pakketten komen niet meer binnen. Kennelijk blijven er allemaal entries in mijn nat tabel staan totdat ik die reboot.

maandag 15 januari 2018 21:39

Acties:

+1 Henk 'm!

GlowMouse

> 91.189.88.152
> 91.189.88.161
> 91.189.92.191
allemaal canonical, automatic updates

> 145.220.21.40
ftp.surfnet.nl, kan met updates te maken hebben

> 208.97.150.227
shared hosting, je zou via dns sniffing kunnen zien om welke website het gaat

maandag 15 januari 2018 21:39

Acties:

0 Henk 'm!

dev0fx

Topicstarter

Sorry voor mijn storm in een glas water. Er liep dus helemaal geen proces op mijn laptop, maar mijn router bleef mijn laptop maar udp paketten sturen op poort 30303. Kennelijk blijven de sessies van buiten af in de nat tabel hangen totdat ik de router een reset geef. UPNP staat uit en er waren ook geen port mappings. Maar wel een nat tabel vol entries

maandag 15 januari 2018 21:40

Acties:

0 Henk 'm!

dev0fx

Topicstarter

GlowMouse schreef op maandag 15 januari 2018 @ 21:39:
> 91.189.88.152
> 91.189.88.161
> 91.189.92.191
allemaal canonical, automatic updates

> 145.220.21.40
ftp.surfnet.nl, kan met updates te maken hebben

> 208.97.150.227
shared hosting, je zou via dns sniffing kunnen zien om welke website het gaat

Ja, die zijn allemaal wel oke, daar ging het niet over, het ging over poort 30303. Mijn router bleef maar proberen mijn laptop te voeden met udp paketten van buiten af.

maandag 15 januari 2018 21:54

Acties:

0 Henk 'm!

dev0fx

Topicstarter

Dit was dus de oorzaak, de NAT mappings table blijft dagen lang bestaan en zorgt er voor dat mijn machine met udp pakketten bestookt blijft totdat ik de router reset. En dan maakt het niet uit of ik mijn laptop heb gereset, met welke user ik in log of welke processen draaien. De pakketten blijven binnen stromen. Dat wist ik dus niet, ik was in de veronderstelling dat de nat tabel automatisch opgeruimd wordt na een tijdje.

https://pasteboard.co/H35AB8U.jpg

Pagina: 1

Reageer

Onderwerpen