Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

Vreemd Twawanees IP-adres in NAT tabel router

Pagina: 1
Acties:

  • nico_van_wijk
  • Registratie: januari 2008
  • Laatst online: 09-02 22:49
Ik zie regelmatig een vreemd Taiwanees IP adres in de NAT tabel van mijn router verschijnen. Door middel van een IP track heb ik uitgevonden dat het IP adres uit Taiwan komt.

Het lijkt erop dat er vanaf een Windows 2016 server in ons netwerk verbinding wordt gemaakt naar Taiwan.

Nu leek het me dat ik met netstat op die Windows Server wel kon ontdekken welke applicatie er zorgt voor connectie met Taiwan. Echter kom ik het IP-adres met bijbehorende poorten niet tegen in het lijstje.

Toen dacht ik laat ik het IP adres maar blocken voor het outbound verkeer in de Windows Firewall. Echter krijg ik geen blocks te zien in de logfiles van de Firewall en het IP-adres verschijnt ook weer in de NAT tabel van de router.

Heeft iemand enig idee hoe ik kan trace welke applicatie dit veroorzaakt?

  • Brahiewahiewa
  • Registratie: oktober 2001
  • Nu online

Brahiewahiewa

boelkloedig

nico_van_wijk schreef op donderdag 7 februari 2019 @ 14:05:
... het IP adres maar blocken voor het outbound verkeer in de Windows Firewall. Echter krijg ik geen blocks te zien in de logfiles van de Firewall en het IP-adres verschijnt ook weer in de NAT tabel van de router.

Heeft iemand enig idee hoe ik kan trace welke applicatie dit veroorzaakt?
't Zou ook een inbound verbinding kunnen zijn

QnJhaGlld2FoaWV3YQ==


  • nico_van_wijk
  • Registratie: januari 2008
  • Laatst online: 09-02 22:49
Brahiewahiewa schreef op donderdag 7 februari 2019 @ 14:45:
[...]

't Zou ook een inbound verbinding kunnen zijn
Volgens mij niet. Van buiten naar binnen staat in principe alles dicht. Volgens mij wordt dit van binnen uit geïnitieerd.

  • Brahiewahiewa
  • Registratie: oktober 2001
  • Nu online

Brahiewahiewa

boelkloedig

OK, dan kun je een WMI-query afvuren op een event-sink. Vereist wat powershell kennis.
Wel vreemd overigens dat het proces er in slaagt om de firewall te bypassen

QnJhaGlld2FoaWV3YQ==


  • kodak
  • Registratie: augustus 2001
  • Laatst online: 12:57
Als het malware is heb je kans dat je die niet snel gaat vinden met je reguliere tools.

Ik zou het IP eerst bij de gateway blokkeren en daarna kijken of je nog wat voor het systeem kan doen.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True