Vraag

woensdag 12 februari 2025 19:47

Acties:
  • 0 Henk 'm!
  • Pater91
  • Registratie: September 2010
  • Laatst online: 17:32

Pater91

Topicstarter
Vandaag werd ik opgeschrikt door een brief van Ziggo: onze aansluiting zou gebruikt zijn bij een ddos aanval.
Uiteraard heb ik direct alle bedrade apparatuur inclusief routers losgekoppeld, upnp uitgezet op de modem en alle open poorten dichtgezet.

Ondanks dat ik vrij technisch aangelegd ben, kan ik na een dag onderzoek niets vreemds vinden.
Ik heb de volgende hardware ( inclusief services ) in huis draaien:

Nuc server, draait Debian
Staat 24 / 7 aan
- Home assistant ( in docker, met port forwarding )
- Plex ( in docker, met port forwarding )
- SFTP server ( in docker ( atmoz/sftp ) , met port forwarding, draait hooguit 2 uurtjes per week wanneer nodig. Heeft in de week van de 'aanval' wel per abuis meerdere dagen 24u p/d gedraaid )
- PiHole ( in docker, alleen intern bereikbaar )

Truenas server
Draait enkel wanneer nodig
- Niet van buitenaf beschikbaar
- Geen extra packages of VMS,

Hoofd pc
Draait enkel overdag
Hier draait niets op dat van buitenaf bereikbaar is, en ook een snelle scan met bitdefender heeft niets raars gevonden. De volledige systeemscan draait nog.
Wel draai ik hier WSL2 op, maar alleen voor development.

Google home
Staat 24 / 7 aan
Uiteraard geen forwarding o.i.d. richting dit apparaat.

2x Teltonika rutx11
Draaien firmware 7.11, zonder extra packages.

Telefoons
Een galaxy s21 plus en een A53, allebei op de laatste firmware.

Verder nog wat laptops die al weken niet meer aan hebben gestaan, een lg smart tv en 2x een xbox series x, allemaal netjes geupdate.

Ik heb echt werkelijk waar geen idee waar ik het probleem zou moeten zoeken. Uit voorzorg blijven zowel de nuc en truenas machine voorlopig uit totdat ik een goede manier heb gevonden om deze op virussen te scannen. Ook blijven de poorten tot die tijd dicht, en upnp uit.

Zijn er toevallig tweakers die een soortgelijke situatie hebben meegemaakt, en tips kunnen geven over hoe ik de oorzaak kan vinden? Ik ben zelf bang dat het probleem ergens in de nuc server zit, maar dat zou dan bijna moeten betekenen dat er een exploit is voor home assistant of plex. Ik kan hier zelf zo 123 niets over vinden..

Alle tips en adviezen zijn zeer welkom!

[ Voor 2% gewijzigd door Pater91 op 14-02-2025 13:29 . Reden: Typo, TFTP ipv SFTP. ]

Alle reacties

woensdag 12 februari 2025 19:57

Acties:
  • 0 Henk 'm!
  • rodie83
  • Registratie: Januari 2004
  • Niet online

rodie83

Is je server extern te benaderen via SSH?

woensdag 12 februari 2025 20:03

Acties:
  • 0 Henk 'm!
  • Kanarie
  • Registratie: Oktober 2000
  • Laatst online: 20:56

Kanarie

תֹ֙הוּ֙ וָבֹ֔הוּ

Die TFTP server staat toch niet port forwarded open naar de buitenwereld?

We're trapped in the belly of this horrible machine. And the machine is bleeding to death.

woensdag 12 februari 2025 20:05

Acties:
  • +2 Henk 'm!
  • boyette
  • Registratie: November 2009
  • Laatst online: 22:05

boyette

Het heeft denk ik niet te maken met wat van buitenaf benaderbaar is maar een malafide plugin op plex kan al de boosdoener zijn

er hoeft maar ergens iets te draaien wat gebruikt kan worden voor een ddos

dat kan ook op je truenas server zijn

je zou ziggo eens kunnen vragen of er wat meer info is
tijdsframe en welke protocollen zijn gebruikt en misschien kunnen ze zelfs wel een MAC zien denk ik wel
maar dat mogen ze denk ik officieel niet weten

[ Voor 30% gewijzigd door boyette op 12-02-2025 20:06 ]

woensdag 12 februari 2025 21:14

Acties:
  • 0 Henk 'm!
  • Pater91
  • Registratie: September 2010
  • Laatst online: 17:32

Pater91

Topicstarter
rodie83 schreef op woensdag 12 februari 2025 @ 19:57:
Is je server extern te benaderen via SSH?
Geen SSH, wel tftp. Ik ben bang dat dit inderdaad de fout is geweest met de volgende techniek: https://www.incibe.es/en/...tacks-based-tftp-protocol
Kanarie schreef op woensdag 12 februari 2025 @ 20:03:
Die TFTP server staat toch niet port forwarded open naar de buitenwereld?
Helaas wel.. al staat deze eigenlijk alleen aan op verzoek zodat mijn vader backups op mijn server kan plaatsen. Afgelopen week ben ik echter wat laks geweest in het stoppen van deze service, dus ik ben bang dat deze onbedoeld dagen lang aan heeft gestaan.
boyette schreef op woensdag 12 februari 2025 @ 20:05:
Het heeft denk ik niet te maken met wat van buitenaf benaderbaar is maar een malafide plugin op plex kan al de boosdoener zijn

er hoeft maar ergens iets te draaien wat gebruikt kan worden voor een ddos

dat kan ook op je truenas server zijn

je zou ziggo eens kunnen vragen of er wat meer info is
tijdsframe en welke protocollen zijn gebruikt en misschien kunnen ze zelfs wel een MAC zien denk ik wel
maar dat mogen ze denk ik officieel niet weten
Plex en truenas zijn 100% schoon, zonder plugins. Home assistant heeft wel een paar plugins, maar ik moet de nuc server sowieso even volledig nakijken om te zien of ik iets tegenkom in de logs.

woensdag 12 februari 2025 21:45

Acties:
  • +5 Henk 'm!
  • Kanarie
  • Registratie: Oktober 2000
  • Laatst online: 20:56

Kanarie

תֹ֙הוּ֙ וָבֹ֔הוּ

Pater91 schreef op woensdag 12 februari 2025 @ 21:14:

Helaas wel.. al staat deze eigenlijk alleen aan op verzoek zodat mijn vader backups op mijn server kan plaatsen. Afgelopen week ben ik echter wat laks geweest in het stoppen van deze service, dus ik ben bang dat deze onbedoeld dagen lang aan heeft gestaan.
TFTP is een protocol op basis van UDP en is bruikbaar in reflection/amplification attacks. Als dat zonder limieten openstaat naar buiten kan jouw TFTP server daarvoor misbruikt zijn. Voor elke bit die een aanvaller naar jouw server stuurde, stuurde jij er 60 naar een slachtoffer.

We're trapped in the belly of this horrible machine. And the machine is bleeding to death.

woensdag 12 februari 2025 21:55

Acties:
  • +5 Henk 'm!
  • franssie
  • Registratie: Februari 2000
  • Laatst online: 23:55

franssie

Save the albatross

TFTP is bedoeld in in 1980 oid een apparaat te benaderen voor nieuwe firmware etc, nooit bedoeld geweest om buiten een lan te gebruiken, Zeker weten dat het TFTP is dat je gebruikt om bestanden met je vader uit te wisselen?

franssie.bsky.social | 🎸 Niets is zo permanent als een tijdelijke oplossing | Een goed probleem komt nooit alleen | Gibson guitar Fender Guitar God Damn Guitar

woensdag 12 februari 2025 22:02

Acties:
  • +1 Henk 'm!
  • Pater91
  • Registratie: September 2010
  • Laatst online: 17:32

Pater91

Topicstarter
Kanarie schreef op woensdag 12 februari 2025 @ 21:45:
[...]


TFTP is een protocol op basis van UDP en is bruikbaar in reflection/amplification attacks. Als dat zonder limieten openstaat naar buiten kan jouw TFTP server daarvoor misbruikt zijn. Voor elke bit die een aanvaller naar jouw server stuurde, stuurde jij er 60 naar een slachtoffer.
Excuus, het is sftp.
franssie schreef op woensdag 12 februari 2025 @ 21:55:
TFTP is bedoeld in in 1980 oid een apparaat te benaderen voor nieuwe firmware etc, nooit bedoeld geweest om buiten een lan te gebruiken, Zeker weten dat het TFTP is dat je gebruikt om bestanden met je vader uit te wisselen?
Excuus, het is sftp. De container atmoz/sftp om precies te zijn.


Edit:
Server gestart, en rkhunter lijkt aan te geven dat er inderdaad het een en ander flink mis is.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291

[ Rootkit Hunter version 1.4.6 ]

Checking system commands...

  Performing 'strings' command checks
    Checking 'strings' command                               [ OK ]

  Performing 'shared libraries' checks
    Checking for preloading variables                        [ None found ]
    Checking for preloaded libraries                         [ None found ]
    Checking LD_LIBRARY_PATH variable                        [ Not found ]

  Performing file properties checks
    Checking for prerequisites                               [ OK ]
    /usr/sbin/adduser                                        [ OK ]
    /usr/sbin/chroot                                         [ OK ]
    /usr/sbin/cron                                           [ OK ]
    /usr/sbin/depmod                                         [ OK ]
    /usr/sbin/fsck                                           [ OK ]
    /usr/sbin/groupadd                                       [ OK ]
    /usr/sbin/groupdel                                       [ OK ]
    /usr/sbin/groupmod                                       [ OK ]
    /usr/sbin/grpck                                          [ OK ]
    /usr/sbin/ifconfig                                       [ OK ]
    /usr/sbin/ifdown                                         [ OK ]
    /usr/sbin/ifup                                           [ OK ]
    /usr/sbin/init                                           [ OK ]
    /usr/sbin/insmod                                         [ OK ]
    /usr/sbin/ip                                             [ OK ]
    /usr/sbin/lsmod                                          [ OK ]
    /usr/sbin/modinfo                                        [ OK ]
    /usr/sbin/modprobe                                       [ OK ]
    /usr/sbin/nologin                                        [ OK ]
    /usr/sbin/pwck                                           [ OK ]
    /usr/sbin/rmmod                                          [ OK ]
    /usr/sbin/route                                          [ OK ]
    /usr/sbin/rsyslogd                                       [ OK ]
    /usr/sbin/runlevel                                       [ OK ]
    /usr/sbin/sshd                                           [ OK ]
    /usr/sbin/sulogin                                        [ OK ]
    /usr/sbin/sysctl                                         [ OK ]
    /usr/sbin/useradd                                        [ OK ]
    /usr/sbin/userdel                                        [ OK ]
    /usr/sbin/usermod                                        [ OK ]
    /usr/sbin/vipw                                           [ OK ]
    /usr/sbin/unhide                                         [ OK ]
    /usr/sbin/unhide-linux                                   [ OK ]
    /usr/sbin/unhide-posix                                   [ OK ]
    /usr/sbin/unhide-tcp                                     [ OK ]
    /usr/bin/awk                                             [ OK ]
    /usr/bin/basename                                        [ OK ]
    /usr/bin/bash                                            [ OK ]
    /usr/bin/cat                                             [ OK ]
    /usr/bin/chattr                                          [ OK ]
    /usr/bin/chmod                                           [ OK ]
    /usr/bin/chown                                           [ OK ]
    /usr/bin/cp                                              [ OK ]
    /usr/bin/curl                                            [ OK ]
    /usr/bin/cut                                             [ OK ]
    /usr/bin/date                                            [ OK ]
    /usr/bin/df                                              [ OK ]
    /usr/bin/diff                                            [ OK ]
    /usr/bin/dirname                                         [ OK ]
    /usr/bin/dmesg                                           [ OK ]
    /usr/bin/dpkg                                            [ OK ]
    /usr/bin/dpkg-query                                      [ OK ]
    /usr/bin/du                                              [ OK ]
    /usr/bin/echo                                            [ OK ]
    /usr/bin/egrep                                           [ Warning ]
    /usr/bin/env                                             [ OK ]
    /usr/bin/fgrep                                           [ Warning ]
    /usr/bin/file                                            [ OK ]
    /usr/bin/find                                            [ OK ]
    /usr/bin/fuser                                           [ OK ]
    /usr/bin/GET                                             [ Warning ]
    /usr/bin/grep                                            [ OK ]
    /usr/bin/groups                                          [ OK ]
    /usr/bin/head                                            [ OK ]
    /usr/bin/id                                              [ OK ]
    /usr/bin/ip                                              [ OK ]
    /usr/bin/ipcs                                            [ OK ]
    /usr/bin/kill                                            [ OK ]
    /usr/bin/killall                                         [ OK ]
    /usr/bin/last                                            [ OK ]
    /usr/bin/lastlog                                         [ OK ]
    /usr/bin/ldd                                             [ OK ]
    /usr/bin/less                                            [ OK ]
    /usr/bin/logger                                          [ OK ]
    /usr/bin/login                                           [ OK ]
    /usr/bin/ls                                              [ OK ]
    /usr/bin/lsattr                                          [ OK ]
    /usr/bin/lsmod                                           [ OK ]
    /usr/bin/lsof                                            [ OK ]
    /usr/bin/mail                                            [ OK ]
    /usr/bin/md5sum                                          [ OK ]
    /usr/bin/mktemp                                          [ OK ]
    /usr/bin/more                                            [ OK ]
    /usr/bin/mount                                           [ OK ]
    /usr/bin/mv                                              [ OK ]
    /usr/bin/netstat                                         [ OK ]
    /usr/bin/newgrp                                          [ OK ]
    /usr/bin/passwd                                          [ OK ]
    /usr/bin/perl                                            [ OK ]
    /usr/bin/pgrep                                           [ OK ]
    /usr/bin/ping                                            [ OK ]
    /usr/bin/pkill                                           [ OK ]
    /usr/bin/ps                                              [ OK ]
    /usr/bin/pstree                                          [ OK ]
    /usr/bin/pwd                                             [ OK ]
    /usr/bin/readlink                                        [ OK ]
    /usr/bin/rkhunter                                        [ OK ]
    /usr/bin/runcon                                          [ OK ]
    /usr/bin/sed                                             [ OK ]
    /usr/bin/sh                                              [ OK ]
    /usr/bin/sha1sum                                         [ OK ]
    /usr/bin/sha224sum                                       [ OK ]
    /usr/bin/sha256sum                                       [ OK ]
    /usr/bin/sha384sum                                       [ OK ]
    /usr/bin/sha512sum                                       [ OK ]
    /usr/bin/size                                            [ OK ]
    /usr/bin/sort                                            [ OK ]
    /usr/bin/ssh                                             [ OK ]
    /usr/bin/stat                                            [ OK ]
    /usr/bin/strings                                         [ OK ]
    /usr/bin/su                                              [ OK ]
    /usr/bin/sudo                                            [ OK ]
    /usr/bin/tail                                            [ OK ]
    /usr/bin/telnet                                          [ OK ]
    /usr/bin/test                                            [ OK ]
    /usr/bin/top                                             [ OK ]
    /usr/bin/touch                                           [ OK ]
    /usr/bin/tr                                              [ OK ]
    /usr/bin/uname                                           [ OK ]
    /usr/bin/uniq                                            [ OK ]
    /usr/bin/users                                           [ OK ]
    /usr/bin/vmstat                                          [ OK ]
    /usr/bin/w                                               [ OK ]
    /usr/bin/watch                                           [ OK ]
    /usr/bin/wc                                              [ OK ]
    /usr/bin/wget                                            [ OK ]
    /usr/bin/whatis                                          [ OK ]
    /usr/bin/whereis                                         [ OK ]
    /usr/bin/which                                           [ Warning ]
    /usr/bin/who                                             [ OK ]
    /usr/bin/whoami                                          [ OK ]
    /usr/bin/numfmt                                          [ OK ]
    /usr/bin/kmod                                            [ OK ]
    /usr/bin/systemd                                         [ OK ]
    /usr/bin/systemctl                                       [ OK ]
    /usr/bin/mawk                                            [ OK ]
    /usr/bin/lwp-request                                     [ Warning ]
    /usr/bin/bsd-mailx                                       [ OK ]
    /usr/bin/dash                                            [ OK ]
    /usr/bin/x86_64-linux-gnu-size                           [ OK ]
    /usr/bin/x86_64-linux-gnu-strings                        [ OK ]
    /usr/bin/telnet.netkit                                   [ OK ]
    /usr/bin/w.procps                                        [ OK ]
    /usr/lib/systemd/systemd                                 [ OK ]

Checking for rootkits...

  Performing check of known rootkit files and directories
    55808 Trojan - Variant A                                 [ Not found ]
    ADM Worm                                                 [ Not found ]
    AjaKit Rootkit                                           [ Not found ]
    Adore Rootkit                                            [ Not found ]
    aPa Kit                                                  [ Not found ]
    Apache Worm                                              [ Not found ]
    Ambient (ark) Rootkit                                    [ Not found ]
    Balaur Rootkit                                           [ Not found ]
    BeastKit Rootkit                                         [ Not found ]
    beX2 Rootkit                                             [ Not found ]
    BOBKit Rootkit                                           [ Not found ]
    cb Rootkit                                               [ Not found ]
    CiNIK Worm (Slapper.B variant)                           [ Not found ]
    Danny-Boy's Abuse Kit                                    [ Not found ]
    Devil RootKit                                            [ Not found ]
    Diamorphine LKM                                          [ Not found ]
    Dica-Kit Rootkit                                         [ Not found ]
    Dreams Rootkit                                           [ Not found ]
    Duarawkz Rootkit                                         [ Not found ]
    Ebury backdoor                                           [ Not found ]
    Enye LKM                                                 [ Not found ]
    Flea Linux Rootkit                                       [ Not found ]
    Fu Rootkit                                               [ Not found ]
    Fuck`it Rootkit                                          [ Not found ]
    GasKit Rootkit                                           [ Not found ]
    Heroin LKM                                               [ Not found ]
    HjC Kit                                                  [ Not found ]
    ignoKit Rootkit                                          [ Not found ]
    IntoXonia-NG Rootkit                                     [ Not found ]
    Irix Rootkit                                             [ Not found ]
    Jynx Rootkit                                             [ Not found ]
    Jynx2 Rootkit                                            [ Not found ]
    KBeast Rootkit                                           [ Not found ]
    Kitko Rootkit                                            [ Not found ]
    Knark Rootkit                                            [ Not found ]
    ld-linuxv.so Rootkit                                     [ Not found ]
    Li0n Worm                                                [ Not found ]
    Lockit / LJK2 Rootkit                                    [ Not found ]
    Mokes backdoor                                           [ Not found ]
    Mood-NT Rootkit                                          [ Not found ]
    MRK Rootkit                                              [ Not found ]
    Ni0 Rootkit                                              [ Not found ]
    Ohhara Rootkit                                           [ Not found ]
    Optic Kit (Tux) Worm                                     [ Not found ]
    Oz Rootkit                                               [ Not found ]
    Phalanx Rootkit                                          [ Not found ]
    Phalanx2 Rootkit                                         [ Not found ]
    Phalanx2 Rootkit (extended tests)                        [ Not found ]
    Portacelo Rootkit                                        [ Not found ]
    R3dstorm Toolkit                                         [ Not found ]
    RH-Sharpe's Rootkit                                      [ Not found ]
    RSHA's Rootkit                                           [ Not found ]
    Scalper Worm                                             [ Not found ]
    Sebek LKM                                                [ Not found ]
    Shutdown Rootkit                                         [ Not found ]
    SHV4 Rootkit                                             [ Not found ]
    SHV5 Rootkit                                             [ Not found ]
    Sin Rootkit                                              [ Not found ]
    Slapper Worm                                             [ Not found ]
    Sneakin Rootkit                                          [ Not found ]
    'Spanish' Rootkit                                        [ Not found ]
    Suckit Rootkit                                           [ Not found ]
    Superkit Rootkit                                         [ Not found ]
    TBD (Telnet BackDoor)                                    [ Not found ]
    TeLeKiT Rootkit                                          [ Not found ]
    T0rn Rootkit                                             [ Not found ]
    trNkit Rootkit                                           [ Not found ]
    Trojanit Kit                                             [ Not found ]
    Tuxtendo Rootkit                                         [ Not found ]
    URK Rootkit                                              [ Not found ]
    Vampire Rootkit                                          [ Not found ]
    VcKit Rootkit                                            [ Not found ]
    Volc Rootkit                                             [ Not found ]
    Xzibit Rootkit                                           [ Not found ]
    zaRwT.KiT Rootkit                                        [ Not found ]
    ZK Rootkit                                               [ Not found ]

  Performing additional rootkit checks
    Suckit Rootkit additional checks                         [ OK ]
    Checking for possible rootkit files and directories      [ None found ]
    Checking for possible rootkit strings                    [ None found ]

  Performing malware checks
    Checking running processes for suspicious files          [ None found ]
    Checking for login backdoors                             [ None found ]
    Checking for sniffer log files                           [ None found ]
    Checking for suspicious directories                      [ None found ]
    Checking for suspicious (large) shared memory segments   [ Warning ]
    Checking for Apache backdoor                             [ Not found ]

  Performing Linux specific checks
    Checking loaded kernel modules                           [ OK ]
    Checking kernel module names                             [ OK ]

Checking the network...

  Performing checks on the network ports
    Checking for backdoor ports                              [ None found ]

  Performing checks on the network interfaces
    Checking for promiscuous interfaces                      [ None found ]

Checking the local host...

  Performing system boot checks
    Checking for local host name                             [ Found ]
    Checking for system startup files                        [ Found ]
    Checking system startup files for malware                [ None found ]

  Performing group and account checks
    Checking for passwd file                                 [ Found ]
    Checking for root equivalent (UID 0) accounts            [ None found ]
    Checking for passwordless accounts                       [ None found ]
    Checking for passwd file changes                         [ Warning ]
    Checking for group file changes                          [ Warning ]
    Checking root account shell history files                [ OK ]

  Performing system configuration file checks
    Checking for an SSH configuration file                   [ Found ]
    Checking if SSH root access is allowed                   [ Warning ]
    Checking if SSH protocol v1 is allowed                   [ Not set ]
    Checking for other suspicious configuration settings     [ None found ]
    Checking for a running system logging daemon             [ Found ]
    Checking for a system logging configuration file         [ Found ]
    Checking if syslog remote logging is allowed             [ Not allowed ]

  Performing filesystem checks
    Checking /dev for suspicious file types                  [ None found ]
    Checking for hidden files and directories                [ Warning ]


In /etc/passwd heb ik ineens deze user erbij:
nova:x:115:120::/var/lib/nova:/bin/bash

Ik denk dat er weinig anders opzit dan een compleet verse installatie, ik kan het wel opruimen maar ik zal deze machine nooit meer volledig kunnen vertrouwen hoe het er nu uit ziet..

[ Voor 95% gewijzigd door Pater91 op 12-02-2025 22:15 ]

woensdag 12 februari 2025 22:18

Acties:
  • +1 Henk 'm!
  • SkorpionNL
  • Registratie: April 2014
  • Laatst online: 19:40

SkorpionNL

Edit: zie zojuist je nieuwe bevindingen.
- - -
Zoals hierboven al benoemd zou ik bij Ziggo checken of ze je van meer informatie kunnen voorzien.

Even wat checks en tips:
Heb je pihole goed ingesteld dat dit geen open DNS resolver is geworden (poort 53 geopend naar het internet)?

Heb je al firewall en DNS logs gecheckt en bijv. Wireshark laten draaien om te zien of je vreemd of excessief dataverkeer tegenkomt?

Wat betreft UPnP is het altijd een goed idee om dit uitgeschakeld te laten.

De portforwardings zou ik ook zoveel mogelijk vermijden tenzij je er juiste detectie op hebt zitten, probeer eerder gebruik te maken van bijv. een reverse proxy.

Wat betreft docker images blijft het altijd een risico of deze malware vrij zijn. Zonder containerscanning kun je niet veel meer doen dan de auteur geloven op de blauwe ogen.

M.b.t. je NUC, ik zou beginnen met een schone image en evt. een backup terug zetten als je deze hebt. Moet je er natuurlijk wel zeker van zijn dat deze schoon is. Als je nog verder onderzoek wilt doen naar de oorzaak dan ook eerst even een image maken van je mogelijk besmette image.

woensdag 12 februari 2025 23:04

Acties:
  • +5 Henk 'm!
  • Pater91
  • Registratie: September 2010
  • Laatst online: 17:32

Pater91

Topicstarter
Ziggo ga ik morgen even bellen, allereerst om ze te bedanken voor de melding, en ook om te vragen of ze me wat meer informatie kunnen geven.

Pihole staat bewust niet geforward.
Een firewall heb ik er ook nog niet tussen hangen, maar ik heb er wel eentje liggen en die gaat er morgen meteen in.

Wireshark ook nog niet gedraait, ik heb enkel de nuc één minuut aangezet om rkhunter te draaien, en na het rapport direct weer uit. Morgen gaat hij in isolatie zodat ik een image kan trekken voor verder onderzoek over hoe dit heeft kunnen gebeuren. Dit ei had namelijk wel netjes fail2ban draaien, maar zonder fatsoenlijk ingestelde meldingen...

Verder gingen alle port forwards inderdaad via een reverse proxy, maar zonder degelijke checks.

Ik zie het als een leermoment, ik ben te nonchalant geweest na 20+ jaar zonder enig beveiligingsprobleem. Mijn vermoeden is dat ik ergens een steek heb laten vallen voor een tijdelijke oplossing die uiteindelijk permanent is geworden.

Enorm zuur, maar gelukkig heb ik backups op een andere, geisoleerde nas.

Ik wil iedereen graag enorm bedanken voor het meedenken, en zodra ik meer heb gevonden zal ik dit hier delen!

woensdag 12 februari 2025 23:19

Acties:
  • 0 Henk 'm!
  • Kanarie
  • Registratie: Oktober 2000
  • Laatst online: 20:56

Kanarie

תֹ֙הוּ֙ וָבֹ֔הוּ

Pater91 schreef op woensdag 12 februari 2025 @ 22:02:
...
In /etc/passwd heb ik ineens deze user erbij:
nova:x:115:120::/var/lib/nova:/bin/bash

Ik denk dat er weinig anders opzit dan een compleet verse installatie, ik kan het wel opruimen maar ik zal deze machine nooit meer volledig kunnen vertrouwen hoe het er nu uit ziet..
Nova kan een onderdeel zijn van openstack, mocht je dat gebruiken. Die warnings van rkhunter kun je checken in het logbestand. En dan de verdachte files en opmerkingen langsgaan, mogelijk alleen maar false positives.

We're trapped in the belly of this horrible machine. And the machine is bleeding to death.

woensdag 12 februari 2025 23:38

Acties:
  • 0 Henk 'm!
  • Pater91
  • Registratie: September 2010
  • Laatst online: 17:32

Pater91

Topicstarter
Kanarie schreef op woensdag 12 februari 2025 @ 23:19:
[...]


Nova kan een onderdeel zijn van openstack, mocht je dat gebruiken. Die warnings van rkhunter kun je checken in het logbestand. En dan de verdachte files en opmerkingen langsgaan, mogelijk alleen maar false positives.
Ik gebruik geen openstack, en ik zal morgen zeker even de warnings, files en opmerkingen verder langslopen. Ook truenas krijgt voor de zekerheid een verse installatie nadat ik heb geverifieerd dat het importeren van disks 100% zeker werkt. Ik dit nog nooit eerder geprobeerd, maar ik heb een extra testserver klaar staan om dit te verifiëren.
Wellicht ook een mooi moment om de server hardware van die bak te upgraden, want deze draait nu nog op een inmiddels antieke amd 6600k..

donderdag 13 februari 2025 08:56

Acties:
  • +7 Henk 'm!
  • BytePhantomX
  • Registratie: Juli 2010
  • Laatst online: 16:22

BytePhantomX

Als je toch al van alles hebt draaien, waarom dan niet ook Wireguard installeren en alles achter een VPN hangen. Stuk minder risico's, je kan overal gewoon bij en je kan zelfs je pi-hole onderweg gebruiken als je wil.

donderdag 13 februari 2025 09:26

Acties:
  • 0 Henk 'm!
  • vanaalten
  • Registratie: September 2002
  • Laatst online: 16:10

vanaalten

Pater91 schreef op woensdag 12 februari 2025 @ 22:02:
Server gestart, en rkhunter lijkt aan te geven dat er inderdaad het een en ander flink mis is.
Lijkt mij zeker zinnig om de resultaten wat meer te bestuderen. Maar kan zomaar false positives zijn. Voorlopig machine off-line houden, lijkt mij.
In /etc/passwd heb ik ineens deze user erbij:
nova:x:115:120::/var/lib/nova:/bin/bash
Dat is een opmerkelijke, maar tegelijkertijd is het wel heel opzichtig. Als iemand bewust in jouw machine zit te rommelen, zou ik verwachten dat de aanpassingen wat minder zichtbaar zijn. En sowieso zou ik als eerste zorgen dat rkhunter z'n werk niet meer doet.
Dus ook hierbij: is dit daadwerkelijk een kwaadwillende geweest of is dit op een andere manier op je machine gekomen?
Ik denk dat er weinig anders opzit dan een compleet verse installatie, ik kan het wel opruimen maar ik zal deze machine nooit meer volledig kunnen vertrouwen hoe het er nu uit ziet..
Maar ik zou wel eerst wat meer onderzoek doen om te achterhalen (1) of je machine daadwerkelijk gecompromiteerd is en (2) hoe men is binnengekomen. Want zonder die laatste vraag te beantwoorden kan je een nieuwe installatie ook niet zomaar vertrouwen.

donderdag 13 februari 2025 10:20

Acties:
  • +1 Henk 'm!
  • BytePhantomX
  • Registratie: Juli 2010
  • Laatst online: 16:22

BytePhantomX

Zou het overigens ook niet een amplification attack vorm kunnen zijn. Dan heb je zelf niet noodzakelijkerwijs malware op je systeem, maar komt jou ip wel naar voren als veroorzaker van een DDOS.


Een voorbeeld van zo'n aanval:
https://www.cloudflare.co...mplification-ddos-attack/

Je zou met NMAP je ip kunnen scannen of je iets kan vinden, of via Shodan.io kijken wat er op je ip te vinden is.

[ Voor 4% gewijzigd door BytePhantomX op 13-02-2025 10:23 ]

donderdag 13 februari 2025 18:16

Acties:
  • 0 Henk 'm!
  • orangemic
  • Registratie: Augustus 2017
  • Laatst online: 02-05 08:59

orangemic

Hey interessant, ik heb ook zo’n brief gekregen vandaag! Ik heb een unraid draaien met wat dockers die ik van buitenaf bereik met een vpn.

Ik had eigenlijk verwacht dat het mijn oude pc zou zijn, maar ik begin mij nu wel zorgen te maken dat het de nas is :o

vrijdag 14 februari 2025 10:06

Acties:
  • 0 Henk 'm!
  • Christoxz
  • Registratie: Maart 2014
  • Laatst online: 19-05 14:01

Christoxz

Pater91 schreef op woensdag 12 februari 2025 @ 23:04:
Dit ei had namelijk wel netjes fail2ban draaien, maar zonder fatsoenlijk ingestelde meldingen...
Had je fail2ban netjes geconfigureerd om de login pogingen van je services in de gaten te houden, of bedoel je dat ook je SSH open stond voor connecties van buitenaf?

T.Net Creality 3D Printer Discord

vrijdag 14 februari 2025 13:03

Acties:
  • 0 Henk 'm!
  • Pater91
  • Registratie: September 2010
  • Laatst online: 17:32

Pater91

Topicstarter
orangemic schreef op donderdag 13 februari 2025 @ 18:16:
Hey interessant, ik heb ook zo’n brief gekregen vandaag! Ik heb een unraid draaien met wat dockers die ik van buitenaf bereik met een vpn.

Ik had eigenlijk verwacht dat het mijn oude pc zou zijn, maar ik begin mij nu wel zorgen te maken dat het de nas is :o
Frappant, heb je toevallig ook andere overeenkomsten met mijn situatie? Ik gebruikte portainer om de containers te managen, jij toevallig ook?
Christoxz schreef op vrijdag 14 februari 2025 @ 10:06:
[...]

Had je fail2ban netjes geconfigureerd om de login pogingen van je services in de gaten te houden, of bedoel je dat ook je SSH open stond voor connecties van buitenaf?
De SSH poort stond open, maar deze ging naar een losse container ( atmoz/sftp ) waarin een folder stond gemapt.

[ Voor 27% gewijzigd door Pater91 op 14-02-2025 13:14 ]

vrijdag 14 februari 2025 13:25

Acties:
  • +1 Henk 'm!
  • Christoxz
  • Registratie: Maart 2014
  • Laatst online: 19-05 14:01

Christoxz

Pater91 schreef op vrijdag 14 februari 2025 @ 13:03:
[...]


Frappant, heb je toevallig ook andere overeenkomsten met mijn situatie? Ik gebruikte portainer om de containers te managen, jij toevallig ook?


[...]

De SSH poort stond open, maar deze ging naar een losse container ( atmoz/sftp ) waarin een folder stond gemapt.
Denk dat je lijstje dan wel duidelijker mag, want ook stond er bijvoorbeeld een proxy open, dat is toch weer een service die aan het internet hangt, die eventueel vulnerable had kunnen zijn.

Betreft Portainer zou ik niet veel op baseren. Te populair om dat als link te gaan gebruiken dat het eventueel daar aan zou kunnen liggen.

T.Net Creality 3D Printer Discord

vrijdag 14 februari 2025 14:32

Acties:
  • 0 Henk 'm!
  • orangemic
  • Registratie: Augustus 2017
  • Laatst online: 02-05 08:59

orangemic

Frappant, heb je toevallig ook andere overeenkomsten met mijn situatie? Ik gebruikte portainer om de containers te managen, jij toevallig ook?
Ik draai mijn containers via Unraid! En ik connect met mijn NAS via een wireguard VPN connectie. Maar volgens mij had ik toentertijd wel wat in de router moeten aanpassen om een VPN verbinding van buitenaf mogelijk te maken.. Dus dat zou wel interessant zijn om even na te lopen.

Ik ben van plan om komend weekend even mijn opzetje te vergelijken met hetgeen wat jij gepost hebt. Ik zal het je dan laten weten :)

Tevens als je met Ziggo gebeld hebt, dan hoor ik ook graag wat ze jou verteld hebben!

vrijdag 14 februari 2025 16:43

Acties:
  • 0 Henk 'm!
  • Pater91
  • Registratie: September 2010
  • Laatst online: 17:32

Pater91

Topicstarter
Het telefoontje had geen zin, de klantenservice kon me niet verder helpen. Ik heb echter wel een reactie gekregen op mijn mail!

Het ging om een tcp syn / ack amplification aanval. Ik vermoed dus dat er niet daadwerkelijk is ingebroken, en dat rkhunter me dus op het verkeerde been heeft gezet.

Ik heb álle logs vandaag nagelopen, en er is niets vreemds te bekennen. Ook zie ik geen vreemd verkeer vanuit de nuc komen met Wireshark.

Nu is het even uitzoeken welke service hiervoor gebruikt is. Mijn vermoeden gaat uit naar de sftp container, dus dat ga ik voortaan via wireguard laten lopen.

Voor de zekerheid ga ik de machine alsnog opnieuw installeren, en upnp blijft uit.

vrijdag 14 februari 2025 16:44

Acties:
  • +1 Henk 'm!
  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 19-05 10:55

jurroen

Security en privacy geek

Jouw rkhunter resultaten zijn niet zozeer schokkend of direct reden tot zorgen. Ik zou wel de paar files even bekijken die een warning geven. Is waarschijnlijk (maar niet zeker) gewoon een hash mismatch.

Wel zie ik dat PermitRootLogin (/etc/ssh/sshd_config) niet op no staat. Maar waar staat deze wel op? Een optie als prohibit-password (of diens verouderde alias without-password) is okay (optie no is beter) - maar daar wil je zeker geen yes hebben staan.

Verder heb je het over zowel SFTP als TFTP. Dat is een wereld van verschil:
  • SFTP is FTP over SSH
  • FTPS is FTP over implicit SSL (en FTPES is explicit)
  • TFTP is en verouderd ding, vaak voor firmware gerelateerde zaken
Mijn vermoeden ligt dat de boosdoener te vinden is in je Plex container. Heb je daar toevallig de network discovery aan staan (GDM)?

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

vrijdag 14 februari 2025 16:56

Acties:
  • 0 Henk 'm!
  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 19-05 10:55

jurroen

Security en privacy geek

Update: als je gaat herinstalleren, zet UPnP dan inderdaad uit, zet die network discovery van Plex uit en draai een tool als Lynis (van dezelfde ontwikkelaar als rkhunter, Michael Boelen) om je security baseline te verbeteren.

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

vrijdag 14 februari 2025 19:12

Acties:
  • 0 Henk 'm!
  • vanaalten
  • Registratie: September 2002
  • Laatst online: 16:10

vanaalten

jurroen schreef op vrijdag 14 februari 2025 @ 16:44:
Jouw rkhunter resultaten zijn niet zozeer schokkend of direct reden tot zorgen. Ik zou wel de paar files even bekijken die een warning geven. Is waarschijnlijk (maar niet zeker) gewoon een hash mismatch.
'Gewoon' een hash mismatch zou ik niet direct wegwuiven, maar zeker wel proberen te verklaren waardoor dat komt. Want stel een kwaadwillende heeft ingebroken, dan kan 'ie theoretisch een regulier programma vervangen door een eigen variant met extra payload en dan zou dat een hash-mismatch geven.

Maar meest waarschijnlijke is dat het OS een keer een update van wat packages of zo heeft gehad en dat de nieuwe versie gewoon een hash mismatch geeft. Kwestie van de package kaal van de Debian servers downloaden en vergelijken met wat er op je systeem staat, denk ik zo.

vrijdag 14 februari 2025 19:22

Acties:
  • 0 Henk 'm!
  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 19-05 10:55

jurroen

Security en privacy geek

vanaalten schreef op vrijdag 14 februari 2025 @ 19:12:
[...]

'Gewoon' een hash mismatch zou ik niet direct wegwuiven, maar zeker wel proberen te verklaren waardoor dat komt. Want stel een kwaadwillende heeft ingebroken, dan kan 'ie theoretisch een regulier programma vervangen door een eigen variant met extra payload en dan zou dat een hash-mismatch geven.

Maar meest waarschijnlijke is dat het OS een keer een update van wat packages of zo heeft gehad en dat de nieuwe versie gewoon een hash mismatch geeft. Kwestie van de package kaal van de Debian servers downloaden en vergelijken met wat er op je systeem staat, denk ik zo.
Dat is wat ik aangaf maar dan in meer woorden en wat context :+

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

zaterdag 15 februari 2025 18:08

Acties:
  • +1 Henk 'm!
  • kodak
  • Registratie: Augustus 2001
  • Laatst online: 18-05 21:23

kodak

FP ProMod
Fijn dat ziggo moeite doet om klanten te informeren. Maar heeft ziggo daar dan ook bewijs bij toegezonden? Het zal niet de eerste keer zijn dat er klachten over denial of service zijn terwijl het gespoofd udp verkeer betreft.

Ik zou minimaal verwachten dar ze bewijs meezenden met datum, tijdstip, ip adres klant, ip adres van het slachtoffer, of het om tcp/udp verkeer gaat, vemoeden van mogelijke besmetting zoals soort botnet enz.

zondag 16 februari 2025 09:44

Acties:
  • +2 Henk 'm!
  • nickertNL
  • Registratie: Maart 2010
  • Laatst online: 19-05 09:15

nickertNL

Pater91 schreef op vrijdag 14 februari 2025 @ 16:43:
Het telefoontje had geen zin, de klantenservice kon me niet verder helpen. Ik heb echter wel een reactie gekregen op mijn mail!

Het ging om een tcp syn / ack amplification aanval. Ik vermoed dus dat er niet daadwerkelijk is ingebroken, en dat rkhunter me dus op het verkeerde been heeft gezet.

Ik heb álle logs vandaag nagelopen, en er is niets vreemds te bekennen. Ook zie ik geen vreemd verkeer vanuit de nuc komen met Wireshark.

Nu is het even uitzoeken welke service hiervoor gebruikt is. Mijn vermoeden gaat uit naar de sftp container, dus dat ga ik voortaan via wireguard laten lopen.

Voor de zekerheid ga ik de machine alsnog opnieuw installeren, en upnp blijft uit.
In principe zou ziggo je wel verder moeten kunnen helpen. Heb jaaaren geleden een soortgelijk issue gehad. In eerste instantie toen niet aan mn nas gedacht tot ziggo het internet bij mn ouders afgesloten had. 3 uur lang discussie gehad met de klantenservice dat ze wel iets van logging moesten hebben.. nee meneer dat hebben we niet…
Toen aangegeven dat ik mn rechtsbijstand er wel bij zou betrekken omdat ik het raar vond dat ze me zo konden afsluiten zonder iets van logging daarover te hebben. 5 min later werd ik teruggebeld met de vraag naar welk email adres de logging gestuurd mocht worden. Aan de hand van de tijden uit die logging toen tot de conclusie gekomen dat mn qnap de boosdoener was.

maandag 17 februari 2025 09:51

Acties:
  • 0 Henk 'm!
  • jelvank
  • Registratie: Oktober 2004
  • Laatst online: 06-03 22:49

jelvank

Ik heb vorige week ook zo'n brief gehad (gedateerd 6/2). Ik vertrouwde eerst de brief niet, maar een mailtje bevestigde dat het toch echt van Ziggo kwam. In de mail zeggen ze dat om een TCP SYN/ACK amplification aanval op 4 februari ging.

Ik heb een Synology NAS met een handvol dockers. Ik heb alleen poort 80 en 443 openstaan rechtstreeks naar de reverse-proxy van Synology. O.a. vanwege Let's Encrypt en Home Assistant. Ik heb eindeloos logs van mijn Unify systeem door zitten bladeren, maar kan niets vinden.

In de brief verwijst Ziggo ook naar "slimme apparaten" die mogelijk niet up-to-date zijn. Die heb ik wel (Esphome, shelly), maar los van dat die allemaal up-to-date zijn, blijft de vraag hoe die dan uberhaupt bereikt zouden worden van buitenaf.

maandag 17 februari 2025 11:11

Acties:
  • +2 Henk 'm!
  • DaFeliX
  • Registratie: December 2002
  • Laatst online: 19-05 10:07

DaFeliX

Tnet Devver
jelvank schreef op maandag 17 februari 2025 @ 09:51:
[...] In de mail zeggen ze dat om een TCP SYN/ACK amplification aanval op 4 februari ging.

Ik heb een Synology NAS met een handvol dockers. Ik heb alleen poort 80 en 443 openstaan rechtstreeks naar de reverse-proxy van Synology. O.a. vanwege Let's Encrypt en Home Assistant. Ik heb eindeloos logs van mijn Unify systeem door zitten bladeren, maar kan niets vinden.

[...]
Een amplification attack wordt op protocolniveau uitgevoerd, die zal je dan ook niet terugzien in applicatieniveau logs lijkt me? Je zal eerder in de logs van jouw netwerkapperatuur (router) moeten zoeken, alhoewel ik mij afvraag of consumentenrouters dit soort logs bijhouden.

Einstein: Mijn vrouw begrijpt me niet

maandag 17 februari 2025 14:36

Acties:
  • 0 Henk 'm!
  • jelvank
  • Registratie: Oktober 2004
  • Laatst online: 06-03 22:49

jelvank

DaFeliX schreef op maandag 17 februari 2025 @ 11:11:
[...]


Een amplification attack wordt op protocolniveau uitgevoerd, die zal je dan ook niet terugzien in applicatieniveau logs lijkt me? Je zal eerder in de logs van jouw netwerkapperatuur (router) moeten zoeken, alhoewel ik mij afvraag of consumentenrouters dit soort logs bijhouden.
Ik was op zoek naar sporen van iemand in mijn systemen, maar n.a.v. jouw tekst ben ik gaan googlen wat zo'n aanval precies is en ik denk dat je gelijk hebt. Er zit niemand in mijn systemen...

Maar mijn netwerk apparatuur is allemaal Unifi en up-to-date, dus ik ga daar maar eens wat support vragen.

dinsdag 18 februari 2025 13:40

Acties:
  • 0 Henk 'm!
  • orangemic
  • Registratie: Augustus 2017
  • Laatst online: 02-05 08:59

orangemic

@Pater91 , hoe heb jij Ziggo via de email bereikt? Ik kan geen emailadres van hun vinden.

dinsdag 18 februari 2025 15:21

Acties:
  • +1 Henk 'm!
  • SkorpionNL
  • Registratie: April 2014
  • Laatst online: 19:40

SkorpionNL

Ik zou nog eens op je router je services nalopen die bereikbaar zijn vanaf het internet en welke protocollen hier mogelijk voor misbruikt worden. Dit kan bijv. ook ICMP zijn. Tenslotte moet deze service bereikbaar zijn vanuit de aanvaller om een een verbindingsrequest naar toe te sturen (TCP SYN).

Jouw server reageert met een SYN ACK naar het adres van het slachtoffer, de aanvaller stuurt nooit een ACK. Verbindingen blijven geopend, herhaal dit zoveel maal en je hebt een DDoS.

woensdag 19 februari 2025 21:32

Acties:
  • 0 Henk 'm!
  • jelvank
  • Registratie: Oktober 2004
  • Laatst online: 06-03 22:49

jelvank

@orangemic In de brief staat een mailadres. Iets met abuse...
SkorpionNL schreef op dinsdag 18 februari 2025 @ 15:21:
Ik zou nog eens op je router je services nalopen die bereikbaar zijn vanaf het internet en welke protocollen hier mogelijk voor misbruikt worden. Dit kan bijv. ook ICMP zijn. Tenslotte moet deze service bereikbaar zijn vanuit de aanvaller om een een verbindingsrequest naar toe te sturen (TCP SYN).

Jouw server reageert met een SYN ACK naar het adres van het slachtoffer, de aanvaller stuurt nooit een ACK. Verbindingen blijven geopend, herhaal dit zoveel maal en je hebt een DDoS.
De support van Ubiquiti adviseerde inderdaad om de firewall rule voor ICMP aan te passen. Die stond open voor de hele wereld. Ik meen dat ik die regel nooit zelf gemaakt heb, dat hij standaard was, maar ik heb 'm nu op alleen intern gezet.

donderdag 20 februari 2025 14:13

Acties:
  • 0 Henk 'm!
  • Pater91
  • Registratie: September 2010
  • Laatst online: 17:32

Pater91

Topicstarter
jelvank schreef op maandag 17 februari 2025 @ 09:51:
Ik heb vorige week ook zo'n brief gehad (gedateerd 6/2). Ik vertrouwde eerst de brief niet, maar een mailtje bevestigde dat het toch echt van Ziggo kwam. In de mail zeggen ze dat om een TCP SYN/ACK amplification aanval op 4 februari ging.

Ik heb een Synology NAS met een handvol dockers. Ik heb alleen poort 80 en 443 openstaan rechtstreeks naar de reverse-proxy van Synology. O.a. vanwege Let's Encrypt en Home Assistant. Ik heb eindeloos logs van mijn Unify systeem door zitten bladeren, maar kan niets vinden.

In de brief verwijst Ziggo ook naar "slimme apparaten" die mogelijk niet up-to-date zijn. Die heb ik wel (Esphome, shelly), maar los van dat die allemaal up-to-date zijn, blijft de vraag hoe die dan uberhaupt bereikt zouden worden van buitenaf.
Dat is exact dezelfde datum die ik doorkreeg van Ziggo. Laat me raden, de aanval ging ook richting 45.x.x.196?

Ook ik had een reverse proxy lopen voor HA, inderdaad ook voor de koppeling met Google.

vrijdag 14 maart 2025 19:09

Acties:
  • +1 Henk 'm!
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 17-05 07:25

Kabouterplop01

chown -R me base:all

Ik snap dat het al wat langer geleden is, maar toch nog interessant om te weten hoe het zat.

Had je niet met netstat -antup kunnen zien welke hosts je aansprak vanuit de PID van je tftp daemon.
(het klinkt heel aannemelijk dat dat het was, als ik de topic zo doorlees)
Ik weet zelf niet goed hoe je dat met een docker container zou moeten onderzoeken, dus vandaar de interesse.

vrijdag 14 maart 2025 19:19

Acties:
  • 0 Henk 'm!
  • mrmrmr
  • Registratie: April 2007
  • Niet online

mrmrmr

@Kabouterplop01 Het was geen tftp service maar sftp volgens de TS.

vrijdag 14 maart 2025 19:47

Acties:
  • 0 Henk 'm!
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 17-05 07:25

Kabouterplop01

chown -R me base:all

mrmrmr schreef op vrijdag 14 maart 2025 @ 19:19:
@Kabouterplop01 Het was geen tftp service maar sftp volgens de TS.
Het is een vermoeden...
dus we weten het niet. Ik dacht de tftp meh, wellicht is de ssh dan idd misbruikt.
Dank voor je toevoeging.

Ik zit de comments nog even door te lezen; het kan niet anders dan dat er een applicatie is misbruikt.
Het netwerk faciliteert het alleen.
Tenzij de router een kwetsbaarheid heeft in de stack, die remote code/command execution "ondersteunt".

Verder kan het dan alleen de sftp/ssh daemon zijn omdat dat de enige port is die open staat.
mogelijk iets met (+x) rechten op de folder/applicatie.

Dus ergens in je log mocht je dat hebben moet er een verwijzing staan naar het ip wat je aanviel.
(Maar ook waar het vandaan kwam)
(Heb het zelf ook wel eens gehad maar dan met de ddos op tweakers zelf, kreeg ik een boos mailtje van Kees (en terecht overigens))
Kon ik perfect terugvinden tussen de PID's; bleek om een remote code exec kwetsbaarheid in ssh te gaan.
dus ook al geen root toegang allowed en met pub key stond de ssh daemon met 4 PID's vrolijk pakketjes te sturen naar Tweakers hier. :'(

[ Voor 59% gewijzigd door Kabouterplop01 op 16-03-2025 08:49 . Reden: typo ]

vrijdag 21 maart 2025 14:26

Acties:
  • +1 Henk 'm!
  • Pater91
  • Registratie: September 2010
  • Laatst online: 17:32

Pater91

Topicstarter
Kabouterplop01 schreef op vrijdag 14 maart 2025 @ 19:09:
Ik snap dat het al wat langer geleden is, maar toch nog interessant om te weten hoe het zat.

Had je niet met netstat -antup kunnen zien welke hosts je aansprak vanuit de PID van je tftp daemon.
(het klinkt heel aannemelijk dat dat het was, als ik de topic zo doorlees)
Ik weet zelf niet goed hoe je dat met een docker container zou moeten onderzoeken, dus vandaar de interesse.
Ik heb niets concreets kunnen vinden in mijn logs, en Ziggo kon me ook niet verder helpen bij het vinden van de precieze oorzaak.

Wél heb ik de gegeven en gevonden tips doorgevoerd:

- UPnP uitgezet in de modem.
- Alle open poorten in de modem uitgezet, behalve 32400 voor Plex.
- De plex container draait voortaan alleen on demand, deze zet ik handmatig aan wanneer nodig en na X tijd aan inactiviteit sluit deze automatisch af.
- GDM in plex heb ik uitgezet.

Voor nu kan ik dus ( tijdelijk ) het interne netwerk niet van buitenaf benaderen, maar het idee is om een wireguard server op te zetten op een VPS, en de lokale server daarmee te laten verbinden.
Ja, de wireguard server kan natuurlijk ook lokaal draaien, maar het risico van nog een open poortje leg ik liever neer bij een vps'je. Zal vast wat snelheidsverlies opleveren, maar dat maakt verder niet zoveel uit.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq