&quot;hackers&quot; zijn momenteel bij mij bezig, wat nu

vrijdag 29 augustus 2003 10:00

Relaxed, het zijn maar 1 en 0

Topicstarter

http://www.digitaltrust.it/arachnids/IDS154/event.html Geeft meer infotmatie over dat Cyberkit. Het lijkt er op dat het onschuldig is. Maar dan nog ik heb er helemaal niks aan. En wat ik vreemd vind is dat het in eens er is en ook in grootte hoeveelheid.

62.252.236.10 is zijn ip adres. Een regel om al het verkeer te blokken daarvandaan instellen is erg lastig omdat het meerdere ip adressen zijn. Het wisselt steeds.

Acties:

frapex

got r00t

waar de **** maak je je druk om? tis maar een PING !

Asus A7N8X-X, AMD XP2400+, 2.5GB Infineon+Samsung DDR333, Radeon x1600 Pro, 2x Fujitsu MAP3735NC 10Krpm SCSI 73GB, Seagate Medalist 17.2GB, LiteOn DVD 16x48x, LiteOn 48x12x48, Promise UDMA100/TX2, Adaptec 2110S Ultra3, 2x EIZO FlexScan (F931 & F930)

vrijdag 29 augustus 2003 10:03

Acties:

OverSoft

frapex schreef op 29 augustus 2003 @ 10:00:
waar de **** maak je je druk om? tis maar een PING !

omdat je daardoor niet kan INTERNETTEN...
DoS of DDoS heet zoiets... ja, ti's maar een ping...

*kuch*

vrijdag 29 augustus 2003 10:03

Acties:

vrijdag 29 augustus 2003 10:04

Relaxed, het zijn maar 1 en 0

Topicstarter

frapex schreef op 29 August 2003 @ 10:00:
waar de **** maak je je druk om? tis maar een PING !

Is ook wel zo. Normaal gebeurd dat wel vaker. Maar nu op eens in erg grootte hoeveelheden waardoor het hier allemaal merkbaar trager is. Bovendien is het een beetje vreemd en heb ik het nog nooit eerder meegemaakt. Ik ben niet bang of zo, maar ik wil weten hoe ik er van af moet komen. Wat ik nu moet doen om ervoor te zorgen dat ik weer normaal kan internetten op gewone snelheid.

net te laat

Acties:

Mayco

ook al is het maar een ping, als zijn internet er veel trager van word, moet je er iets aan doen.

vrijdag 29 augustus 2003 10:05

Acties:

Suepahfly

Je kan ook gewoon alle ICPM blokken met je firewall.

vrijdag 29 augustus 2003 10:05

Acties:

blender

Het is niet zomaar een ping, het is een ping van de Nachi/Welchia worm... bekijk de mailinglist archives van SNORT maar eens....
Het is een verouderde rule die dit triggert...

vrijdag 29 augustus 2003 10:08

Acties:

Verwijderd

nachi worm leeft weer ff op. gister heeft de tu/e iets van 1500 notebooks uitgedeeld en die waren geinfecteerd. iedereen moest een (niet werkend) scriptje draaien

vrijdag 29 augustus 2003 10:09

Acties:

-=bas=-

Ze zijn nog niet binnen hoor.

Je kan je ping blokken om jezelf gerust te stellen maar veel nut heeft het niet.
Dit soort dingen gaat de hele dag door hier.

Verdiep jezelf eens in een Firewall.. Bv BlackIceDefender of iets dergelijks als je op een windows-platform zit.

Senile! Senile Oekaki

vrijdag 29 augustus 2003 10:14

Acties:

vrijdag 29 augustus 2003 10:27

Relaxed, het zijn maar 1 en 0

Topicstarter

_bas_ schreef op 29 August 2003 @ 10:09:
Ze zijn nog niet binnen hoor.
Je kan je ping blokken om jezelf gerust te stellen maar veel nut heeft het niet.
Dit soort dingen gaat de hele dag door hier.

Verdiep jezelf eens in een Firewall.. Bv BlackIceDefender of iets dergelijks als je op een windows-platform zit.

Wie met een windowsfirewall begint is al verkeerd bezig. Dan kun je bijne natzogoed geen firewall nemen. Even voor de duidelijkheid het gaat hier om een linux based firewall en die is zo goed dat het bijna niet mogelijk is om binnen te komen. Het kan natuurlijk wel, maar het is niet aantrekkelijk omdat ik niet zo heel veel spannends te bieden heb voor zoveel moeite. Ik denk dat ik eens even mijn provider ga bellen. Misschien dat die iets meer weten en dat ze ook mee klachten hebben gehad van meerdere klanten. Ik hou jullie op de hoogte.

Acties:

vrijdag 29 augustus 2003 12:08

Relaxed, het zijn maar 1 en 0

Topicstarter

Provider kent het probleem niet en kan zelf weinig doen. Ik kan gewoon een paar ip's tracen en een klacht insturen bij die providers. En ondertussen zien we wel...

Acties:

vrijdag 29 augustus 2003 12:25

Relaxed, het zijn maar 1 en 0

Topicstarter

Ok, ik ben momenteel op mijn werk. Daar hebben we exact dezelfde firewall. Die geeft precies dezelfde meldingen. Alleen dan vanaf weer heel andere ip adressen. Ben eigenlijk benieuwd of er meer mensen zijn die deze melding hebben sinds een tijdje. Ik kan helaas niet nagaan wat sinds wanneer het is begonnen. Maar heb zo het vermoeden dat het ergens vanaf 10 aug. is begonnen.

Acties:

Verwijderd

cyspoz schreef op 29 augustus 2003 @ 10:14:
[...]

Wie met een windowsfirewall begint is al verkeerd bezig. Dan kun je bijne natzogoed geen firewall nemen.

overdrijven is ook een vak

vrijdag 29 augustus 2003 12:33

Acties:

Verwijderd

niet toevallig in je systemroot\system32\wins directory een dllhost.exe staan?

vrijdag 29 augustus 2003 12:52

Acties:

vrijdag 29 augustus 2003 13:29

do not feed the trolls

Suepahfly schreef op 29 August 2003 @ 10:05:
Je kan ook gewoon alle ICPM blokken met je firewall.

de oplossing is al gegeven door Suepahfly

...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""

Acties:

vrijdag 29 augustus 2003 13:30

ICMP blocken, tsja. Dan echo je niet meer, maar 't komt nog wel die kant op.

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

OverSoft schreef op 29 August 2003 @ 10:03:
[...]

omdat je daardoor niet kan INTERNETTEN...
DoS of DDoS heet zoiets... ja, ti's maar een ping...

*kuch*

hangt er helemaal maar vanaf hoeveel je er krijgt

*kuch*

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

vrijdag 29 augustus 2003 13:31

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Suepahfly schreef op 29 August 2003 @ 10:05:
Je kan ook gewoon alle ICPM blokken met je firewall.

Helpt niet zo veel. De firewall zal al dit verkeer toch moeten verwerken. Alleen de replies schelen. Weggooien van pakketjes kost ook processortijd!

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

vrijdag 29 augustus 2003 13:33

Acties:

bazs2000

Pixels zo groot als een atoom

Verwijderd schreef op 29 August 2003 @ 12:33:
niet toevallig in je systemroot\system32\wins directory een dllhost.exe staan?

Even voor de duidelijkheid het gaat hier om een linux based firewall

Dat zal het wel niet zijn denk ik.

Krankzinnige muziek vind je hier.

vrijdag 29 augustus 2003 14:43

Acties:

vrijdag 29 augustus 2003 15:22

do not feed the trolls

Bor_de_Wollef schreef op 29 augustus 2003 @ 13:31:
[...]

Helpt niet zo veel. De firewall zal al dit verkeer toch moeten verwerken. Alleen de replies schelen. Weggooien van pakketjes kost ook processortijd!

maar scheelt veel bandbreedte, met name omdat DoS behoorlijk grote ICMP verstuurt...

oke, het komt nog steeds jouw kant op, dan rest alleen nog je provider informeren en vragen of ze het daar kunnen blokken.

...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

k-oz schreef op 29 augustus 2003 @ 14:43:
[...]

maar scheelt veel bandbreedte, met name omdat DoS behoorlijk grote ICMP verstuurt...

oke, het komt nog steeds jouw kant op, dan rest alleen nog je provider informeren en vragen of ze het daar kunnen blokken.

De data komt nog steeds binnen op de firewall. Packets komen compleet binnen voordat ze zullen worden gedropped.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

vrijdag 29 augustus 2003 15:25

Acties:

vrijdag 29 augustus 2003 19:54

do not feed the trolls

ICMP blocking is het enige wat je hier zelf het beste aan kan doen, het is altijd beter dan de ICMP te beantwoorden. Daarnaast moet je je provider vragen of zei het verkeer van bepaalde adressen naar jouw stream (tijdelijk) verhinderen.

...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""

Acties:

vrijdag 29 augustus 2003 20:44

Relaxed, het zijn maar 1 en 0

Topicstarter

k-oz schreef op 29 August 2003 @ 15:25:
ICMP blocking is het enige wat je hier zelf het beste aan kan doen, het is altijd beter dan de ICMP te beantwoorden. Daarnaast moet je je provider vragen of zei het verkeer van bepaalde adressen naar jouw stream (tijdelijk) verhinderen.

Het lijkt er op dat ik inderdaad maar de pakketjes moet blokkeren. Het zijn er niet meer zo veel inmiddels. Maar ze komen nog wel. Ik ben momenteel aan het zoeken in de buurt naar meerdere mensen die er last van hebben. Om aan mijn provider te vragen of ze bepaalde ip adressen blokkeren is een goed idee, maar denk A dat ze het niet doen en B zijn het te veel verschillende ip adressen. Blokkeren van ICMP pakketen is de enige optie denk ik omdat het mijn upstream ontlast die niet zo heel groot is. Verder heb ik gezien dat er een nieuwe versie van de firewall beschikbaar is dus ik ga ook maar meteen even upgraden. Het droppen van de pakketjes kost inderdaad ook tijd, maar die pc heeft ruim voldoende capaciteiten daarvoor dus dat zal echt het probleem niet zijn. Bedankt allemaal voor jullie reacties.

Acties:

vrijdag 29 augustus 2003 20:48

do not feed the trolls

vraag je provider icmp naar jou ip te blokkeren, dan ben je ook al verder... dan hoe je niet de ip lijst op te geven (denk ook dat ze eerder bereid zijn icmp te blokkeren)

...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""

Acties:

Crusader

Arc Nature

Verwijderd schreef op 29 August 2003 @ 09:54:
Is dit zijn ip of jouw ip?
xxx.xxx.xxx.xxx

In beide gevallen wil je het misschien even weg-editten.

offtopic:
Waarom vraag je hem het adres weg te editten, als jij het nog eens lekker gaat zitten quoten...

[ Voor 13% gewijzigd door Crusader op 29-08-2003 20:53 ]

If it ain't broken, play with it till it breaks.

vrijdag 29 augustus 2003 21:01

Acties:

BraveWorld

Hoeveel PING's krijg je dan? 1 per minuut of 100 per seconde?

Dit is geen signature...

vrijdag 29 augustus 2003 21:07

Acties:

Plofkotje

_bas_ schreef op 29 augustus 2003 @ 10:09:
Bv BlackIceDefender of iets dergelijks als je op een windows-platform zit.

Nou, nee. testen hebben bewezen dat BlackIce hackers meestal niet tegenhouden.

zaterdag 30 augustus 2003 19:57

Acties:

Bergen

Spellingscontroleur

BlackIce is inderdaad niet waterdicht. Zie hier.

zaterdag 30 augustus 2003 20:06

Acties:

Webgnome

cyspoz schreef op 29 August 2003 @ 10:14:
[...]

Wie met een windowsfirewall begint is al verkeerd bezig. Dan kun je bijne natzogoed geen firewall nemen. Even voor de duidelijkheid het gaat hier om een linux based firewall en die is zo goed dat het bijna niet mogelijk is om binnen te komen. Het kan natuurlijk wel, maar het is niet aantrekkelijk omdat ik niet zo heel veel spannends te bieden heb voor zoveel moeite. Ik denk dat ik eens even mijn provider ga bellen. Misschien dat die iets meer weten en dat ze ook mee klachten hebben gehad van meerdere klanten. Ik hou jullie op de hoogte.

als je niet weet hoe je die moet instellen dan is het net zo lek als dan voor dat je een firewall draaide.. sorry maar jou post slaat voor mijn doen dus echt op 100% poep

Strava | AP | IP | AW

zaterdag 30 augustus 2003 20:46

Acties:

xychix

FreeBSD Rules !

cyspoz schreef op 29 August 2003 @ 10:14:
[...]

Wie met een windowsfirewall begint is al verkeerd bezig. Dan kun je bijne natzogoed geen firewall nemen. Even voor de duidelijkheid het gaat hier om een linux based firewall en die is zo goed dat het bijna niet mogelijk is om binnen te komen. Het kan natuurlijk wel, maar het is niet aantrekkelijk omdat ik niet zo heel veel spannends te bieden heb voor zoveel moeite. Ik denk dat ik eens even mijn provider ga bellen. Misschien dat die iets meer weten en dat ze ook mee klachten hebben gehad van meerdere klanten. Ik hou jullie op de hoogte.

....het gaat hier om een linux based firewall en die is zo goed dat het bijna niet mogelijk is om binnen te komen.....

dan zorgt de hacker gewoon dat jij naar buiten komt! stuurt je een besmette mail en installeert zo een backdoor die niet een shell opzet maar zelf naar buiten connect om zo commando's te ontvangen!

heb je nu waarschijnlijk geen last van maar staar je niet dood op een firewall

just my 2 cents

Every failure offers you a new opportunity! | Lokatie database|GoT - Notepad

zaterdag 30 augustus 2003 21:33

Acties:

Jordi

#1#1

k-oz schreef op 29 August 2003 @ 20:44:
vraag je provider icmp naar jou ip te blokkeren, dan ben je ook al verder

Verder van huis ja, zonder ICMP verkeer kan je niet echt internetten

Het zal wel niet, maar het zou maar wel.

zaterdag 30 augustus 2003 21:42

Acties:

the_stickie

de eerste vraag is natuurlijk idd: Over hoeveel pakketjes gaat het hier?
Pings gebeuren nu eenmaal héél vaak, ook naar de meest domme adressen ( zoals jouw thuis-ip'tje) er zijn mensen die denken dat het nuttig is om hele ranges af te pingen/scannen... sja..
cyberkit is een pakketje dat redelijk vaak gebruikt wordt om oa poortscans mee te doen... (door amateurs)
als je alleen die pakketjes krijgt is er (nog) niks aan de hand (tenzij het er tientallen per seconde zijn)

[ Voor 4% gewijzigd door the_stickie op 30-08-2003 21:43 . Reden: typos ]

zondag 31 augustus 2003 17:43

Acties:

zondag 31 augustus 2003 17:50

do not feed the trolls

Jotti schreef op 30 augustus 2003 @ 21:33:
[...]

Verder van huis ja, zonder ICMP verkeer kan je niet echt internetten

and why's that

...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""

Acties:

zondag 31 augustus 2003 18:41

Jotti schreef op 30 augustus 2003 @ 21:33:
[...]

Verder van huis ja, zonder ICMP verkeer kan je niet echt internetten

Oh? Sinds wanneer is dat?

Over een week is mijn server compleet ICMP-loos.

Tegen attacks, alleen geen traceroute en pings meer.

Internetten kan perfect, daar heb je geen ICMP voor nodig.

Probeer het eens uit.

Voila, we laten het even zien

Deze filter op de juniper van 2Fast :

code:

term 11 {
    from {
        protocol icmp;
    }
    then discard;
}

En ssh naar 80.247.212.1, of ftp.

2 C-klasses zijn nu ICMP loos.

Ping en traceroute zijn nu stuk, maar dat is logisch. Alles werkt nog gewoon. Geen enkel probleem dus.

[ Voor 36% gewijzigd door jep op 31-08-2003 18:02 ]

Acties:

Jordi

#1#1

Mwa. "Niet meer kunnen internetten" is wel overdreven idd (woordje "lekker" erbij was leuk geweest), maar:

[rml]deadinspace in "[ Firewall] ICMP dichtgooien voor buitenw"[/rml]

Weinig aan toe te voegen eik

[ Voor 41% gewijzigd door Jordi op 31-08-2003 18:44 ]

Het zal wel niet, maar het zou maar wel.

zondag 31 augustus 2003 18:44

Acties:

maandag 1 september 2003 09:46

Ja, het is ook lomp. Wat maakt lompheid uit als je attacks ermee kunt stoppen en netjes online kunt blijven? Bovendien kun je gewoon internetten, zoals ik hierboven laat zien.

Deadinspace krijgt vermoedelijk nooit 400mbit icmp attacks. Daarom gaat icmp op 2 van mijn C-klasses dicht op routers van transit-providers.

Acties:

highking

Langharig tuig

Cyspoz, heb jij hier nog steeds last van? Het valt mij nl. op dat ook wij hier (met SmoothWall 1.0, dus ongeveer gelijk aan jouw firewall), worden overspoeld met ICMP-verkeer.

Deze zijn bij ons alleen wel van andere adressen afkomstig. (allemaal van 80.242.*.*)
Het rare hieraan is dat onze provider (Multikabel) zelf deze adresrange aanbiedt, en ook wij dus een adres in deze range hebben.
Een traceroute naar een van de adressen stuurt me helemaal naar Amerika en weer terug, voor een adres in dezelfde range

Kan het zijn dat ook jij een adres hebt in de range van 62.*.*.*?

Wellicht dat de aanvaller op een of andere manier zijn adres aanpast aan de range van je provider o.i.d.?

Ik vind het iig allemaal erg wazig. Heb de toegang tot onze webserver tijdelijk geblokkeerd (is toch geen belangrijke), om aanvallen te voorkomen, en heb een melding naar Multikabel verstuurd.

***edit***

Vannochtend om 09:15:31, staat er een "ICMP Destination Unreachable (Communication Administratively Prohibited)".

Vanaf dat moment komen de pakketjes opeens van een 62.*.*.*-adres (nu overigens wel steeds dezelfde).

[ Voor 13% gewijzigd door highking op 01-09-2003 09:58 ]

dinsdag 2 september 2003 03:17

Acties:

burne

Mine! Waah!

code:

term 11 {
    from {
        protocol icmp;
    }
    then discard;
}

Geen enkel probleem dus.

Onvoorstelbare sukkel. Je verdient alle ellende die je over jezelf afroept volledig. Wat kost TCP/IP voor dummies nou eigenlijk? En daarom ga je jezelf dit soort onzin op je hals halen?

Ik zal je een hint geven: 'internet control message protocol'. ICMP_ECHO_REQUEST is een van de vele, vele functies van icmp. Zo ongeveer de minst belangrijke. En om daar vanaf te komen wil je niets meer horen over fragmentatie, over unreachables, over throtteling, over parameter-problems? Ignorance is bliss.

I don't like facts. They have a liberal bias.

dinsdag 2 september 2003 03:56

Acties:

Verwijderd

heb ff cyberkit opgezocht en geinstaleerd.

Tis een programma om mee te pingen,tracen enz.
Je kunt het de hele dag laten pingen als je wil
Igeeft dit aan:

inetnum: 62.252.224.0 - 62.252.255.255
netname: NTL
descr: NTL Internet
descr: Leeds site
country: GB
admin-c: NNMC1-RIPE
tech-c: NNMC1-RIPE
status: ASSIGNED PA
mnt-by: AS5089-MNT
changed: hostmaster@ntli.net 20011011
changed: hostmaster@ntli.net 20020815
source: RIPE

route: 62.252.0.0/14
descr: NTL-UK-IP-BLOCK-3
origin: AS5089
mnt-by: AS5089-MNT
changed: bob.procter@ntli.net 20010205
source: RIPE

role: NTLI Network Management Centre
address: NTL Internet
address: Crawley Court
address: Winchester
address: Hampshire
address: SO21 2QA
trouble: ----------------------------------------------
Als je tot tien kunt tellen kan je de hele wererld bellen ..euh pingen

[ Voor 4% gewijzigd door Verwijderd op 02-09-2003 03:59 ]

dinsdag 2 september 2003 08:38

Acties: