Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

Netstat laat vreemde connecties zien - should i be worries?

Pagina: 1
Acties:

Vraag


  • Da_maniaC
  • Registratie: september 2004
  • Laatst online: 15-04 18:28

Da_maniaC

a.k.a. The Sequenz Pounder

Topicstarter
Onlangs een kleine zoektocht gestart op mijn PC toen het mij opviel dat de PC door een WoL of soortgelijks direct uit slaapstand bleef komen.

Met uitvoeren van "powercfg -lastwake" commando werd er getoond dat de "Intel Ethernet Controller" telkens het apparaat was, dat de PC uit slaapstand haalde.
Met een WoL Packet sniffer kreeg ik echter niets gevonden binnen het LAN.

Toen ik vervolgens wat verder op onderzoek ging om te kijken naar inkomende connecties zag ik oa. de volgende connecties telkens worden opgebouwd:



Telkens verzoeken op poort 3389 (microsoft rdp) vanuit Moscow. Moet ik mij hier zorgen over maken?



En, hoe kan ik achterhalen door welke applicatie deze connecties steeds worden gemaakt?

offtopic:
@Moderator: wat een stomme typfout in de topic titel.. "worries" :'( Mocht iemand dit willen herstellen...graag!

[Voor 4% gewijzigd door Da_maniaC op 30-03-2021 23:33]

Inventory | http://www.zdaemon.org ZDaemon! Client/Server port for DOOM!

Alle reacties


Acties:
  • +1Henk 'm!

  • Klippy
  • Registratie: oktober 2000
  • Laatst online: 02:22

Klippy

Still Game

Om de applicatie te zien: -b flag toevoegen aan netstat.

[Voor 12% gewijzigd door Klippy op 30-03-2021 23:40]

Steam | SXQncyBhbGwgZ29vZCwgbWFuISDwn5iO


Acties:
  • +1Henk 'm!

  • sig69
  • Registratie: mei 2002
  • Laatst online: 17-04 14:55
Da_maniaC schreef op dinsdag 30 maart 2021 @ 23:32:

Telkens verzoeken op poort 3389 (microsoft rdp) vanuit Moscow. Moet ik mij hier zorgen over maken?
Ja, want je hebt blijkbaar poort 3389 open staan. Dat is echt een heel slecht idee.
Pak op z'n minst een random hoge poort icm met iets als Evlwatcher: https://github.com/devnulli/EvlWatcher, dan heb je nog iets gedaan. Maar blijft security through obscurity. Maar als je echt van buitenaf bij je pc wil: gebruik vpn.

[Voor 29% gewijzigd door sig69 op 31-03-2021 00:06]


Acties:
  • +1Henk 'm!

  • Will_M
  • Registratie: maart 2004
  • Niet online

Will_M

Intentionally Left Blank

@Da_maniaC Waarom heb je TCP/3389 überhaupt ooit open gezet middels een 'FORWARD' naar 192.168.1.2 (het LAN adres van je PC) vanop je firewall / router?

Lekkere 'Zombie PC' zal dat inmiddels wel zijn :P

@sig69 Je 'neemt' geen VPN in zo'n geval. Je zet lokaal zélf een VPN Endpoint op waar je zelf naar kúnt verbinden vanop een willekeurige locatie op 't Internet.

[Voor 68% gewijzigd door Will_M op 31-03-2021 00:32]

Why do subtitles never really tell you what's going on?


Acties:
  • +1Henk 'm!

  • sig69
  • Registratie: mei 2002
  • Laatst online: 17-04 14:55
@Will_M Ja ok, "gebruik vpn" dan.

[Voor 170% gewijzigd door sig69 op 31-03-2021 00:04]


  • Da_maniaC
  • Registratie: september 2004
  • Laatst online: 15-04 18:28

Da_maniaC

a.k.a. The Sequenz Pounder

Topicstarter
Hallo allen, bedankt voor de reacties.
Ik heb gisteren toen ik dit opmerkte ook meteen de forward(s) uitgezet.

Hoe zet ik een VPN Endpoint op?
Uiteindelijk moet ik voor het remote verbinden van rdp sessies poort 3389 kunnen blijven gebruiken toch? Of is dat poortnummer ook te wijzigen?

Inventory | http://www.zdaemon.org ZDaemon! Client/Server port for DOOM!


  • Lawwie
  • Registratie: maart 2010
  • Laatst online: 16-04 23:07

Lawwie

Het beste bier, brouw je zelf!

Da_maniaC schreef op woensdag 31 maart 2021 @ 07:36:
Hallo allen, bedankt voor de reacties.
Ik heb gisteren toen ik dit opmerkte ook meteen de forward(s) uitgezet.

Hoe zet ik een VPN Endpoint op?
Uiteindelijk moet ik voor het remote verbinden van rdp sessies poort 3389 kunnen blijven gebruiken toch? Of is dat poortnummer ook te wijzigen?
Aan de binnenkant wel ja, aan de buitenkant kun je een andere random poort nemen. De default poort 3389 wordt door de buitenwereld bestookt met pogingen.

VPN opzetten inderdaad, kan mogelijk op je router, of een machine met bijvoorbeeld openVPN. Of de machine waar je op moet zijn zou je ook Teamviewer op kunnen gebruiken.

Completed: CCNA 200-125 | Fortinet NSE4 | CCNP Enterprise | SSCA | DEVASC | In progress: DCAUI


  • Klippy
  • Registratie: oktober 2000
  • Laatst online: 02:22

Klippy

Still Game

Je kan ook iets als Tailscale gebruiken, gratis voor persoonlijk gebruik.
https://tailscale.com/kb/1095/secure-rdp-windows

Steam | SXQncyBhbGwgZ29vZCwgbWFuISDwn5iO


  • Brahiewahiewa
  • Registratie: oktober 2001
  • Laatst online: 17-04 16:36

Brahiewahiewa

boelkloedig

Da_maniaC schreef op woensdag 31 maart 2021 @ 07:36:
...
Uiteindelijk moet ik voor het remote verbinden van rdp sessies poort 3389 kunnen blijven gebruiken toch? Of is dat poortnummer ook te wijzigen?
Voor de zekerheid: als je vanaf deze, geïnfecteerde, computer verbinding wilt maken naar een andere computer via RDP, heb je geen port-forwards nodig.
Port-forwards kun je gebruiken om vanaf een andere computer verbinding naar deze, geïnfecteerde, computer te maken. Maar omdat microsoft wat steken heeft laten vallen in de beveiliging van RDP, heb je daardoor de hele wereld toegang gegeven.

't Is misschien irritant dat ik consequent spreek over "deze geïnfecteerde computer" maar ga er van uit dat het ding gecompromitteerd is. Dus back-up maken van de user data, low-level format van de hard disk, en windows opnieuw installeren.

Als je dan vervolgens toch via RDP toegang tot de machine wil, maak dan in ieder geval een white-list aan in de firewall. Zodat alleen vertrouwde computers kunnen connecten. Maar een vpn server in je netwerk opnemen is beter

QnJhaGlld2FoaWV3YQ==


  • Da_maniaC
  • Registratie: september 2004
  • Laatst online: 15-04 18:28

Da_maniaC

a.k.a. The Sequenz Pounder

Topicstarter
Brahiewahiewa schreef op woensdag 31 maart 2021 @ 14:14:
[...]

Voor de zekerheid: als je vanaf deze, geïnfecteerde, computer verbinding wilt maken naar een andere computer via RDP, heb je geen port-forwards nodig.
Port-forwards kun je gebruiken om vanaf een andere computer verbinding naar deze, geïnfecteerde, computer te maken. Maar omdat microsoft wat steken heeft laten vallen in de beveiliging van RDP, heb je daardoor de hele wereld toegang gegeven.

't Is misschien irritant dat ik consequent spreek over "deze geïnfecteerde computer" maar ga er van uit dat het ding gecompromitteerd is. Dus back-up maken van de user data, low-level format van de hard disk, en windows opnieuw installeren.

Als je dan vervolgens toch via RDP toegang tot de machine wil, maak dan in ieder geval een white-list aan in de firewall. Zodat alleen vertrouwde computers kunnen connecten. Maar een vpn server in je netwerk opnemen is beter
Enige manier om aan te tonen dat mijn computer compromised is? Ik zou dit niet zomaar geloven namelijk (machine is rustig, draaien geen vreemde processen op en ik betwijfel ten zeerste dat er ooit een verbinding is gelegd via RDP door een vreemde gebruiker ivm random-generated passkey wachtwoord).

Inventory | http://www.zdaemon.org ZDaemon! Client/Server port for DOOM!


  • com2,1ghz
  • Registratie: oktober 2004
  • Laatst online: 23:36
Da_maniaC schreef op woensdag 31 maart 2021 @ 14:18:
[...]


Enige manier om aan te tonen dat mijn computer compromised is? Ik zou dit niet zomaar geloven namelijk (machine is rustig, draaien geen vreemde processen op en ik betwijfel ten zeerste dat er ooit een verbinding is gelegd via RDP door een vreemde gebruikers ivm random-generated passkey wachtwoord).
Dat is dus het probleem. Dat weten we niet, dat is ook heel moeilijk te achterhalen.
Voor hetzelfde geldt is er een bepaald process in de nacht bijvoorbeeld actief. Of maakt jouw server deel uit van een slapende DDOS netwerk.

  • Da_maniaC
  • Registratie: september 2004
  • Laatst online: 15-04 18:28

Da_maniaC

a.k.a. The Sequenz Pounder

Topicstarter
com2,1ghz schreef op woensdag 31 maart 2021 @ 14:20:
[...]

Dat is dus het probleem. Dat weten we niet, dat is ook heel moeilijk te achterhalen.
Voor hetzelfde geldt is er een bepaald process in de nacht bijvoorbeeld actief. Of maakt jouw server deel uit van een slapende DDOS netwerk.
Wanneer Malwarebytes, Comodo Firewall en Process Explorer Monitor rustig zijn (overdag en snachts)...ben ik hier niet van overtuigd.

Inventory | http://www.zdaemon.org ZDaemon! Client/Server port for DOOM!


  • Brahiewahiewa
  • Registratie: oktober 2001
  • Laatst online: 17-04 16:36

Brahiewahiewa

boelkloedig

Da_maniaC schreef op woensdag 31 maart 2021 @ 14:18:
[...]
ik betwijfel ten zeerste dat er ooit een verbinding is gelegd via RDP door een vreemde gebruiker ivm random-generated passkey wachtwoord).
Eén van de steken die microsoft heeft laten vallen bij het beveiligen van RDP is dat je helemaal geen password nodig had om in te loggen. Kwestie van de juiste buffer overflow sturen en je kwam er zo in

QnJhaGlld2FoaWV3YQ==


  • sh4d0wman
  • Registratie: april 2002
  • Laatst online: 07:32

sh4d0wman

Long live the King!

Yup, een wachtwoord is leuk maar als er een pre-authentication vulnerability is gevonden + exploit code en je hangt zo aan internet dan is het game over. Bluekeep als voorbeeld: "This latest RDP vulnerability could allow hackers to remotely run code at the system level without even having to authenticate."

Being a hacker does not say what side you are on. Being a hacker means you know how things actually work and can manipulate the way things actually work for good or for harm.
Come to the dark side. We've got cookies.


  • com2,1ghz
  • Registratie: oktober 2004
  • Laatst online: 23:36
Da_maniaC schreef op woensdag 31 maart 2021 @ 14:23:
[...]


Wanneer Malwarebytes, Comodo Firewall en Process Explorer Monitor rustig zijn (overdag en snachts)...ben ik hier niet van overtuigd.
Die tooltjes zijn leuk bij poging tot inbraak. Jij hebt de voordeur openstaan. Dan gaat geen enkel tooltje af.
Op het moment dat er toegang verkregen is dan is het systeem gecompromitteerd en kan er niets hersteld worden.

[Voor 3% gewijzigd door com2,1ghz op 31-03-2021 14:26]


  • reller
  • Registratie: maart 2001
  • Laatst online: 17-04 18:25
Gewoon opnieuw installeren die bak.
Hopelijk heb je een offline backup van belangrijke bestanden.
Pagina: 1


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True