[Router] Heb ik last van een hacker? - Privacy en beveiliging

dinsdag 3 februari 2004 22:16

Acties:

Topicstarter

Hé allemaal,

Ik heb hier een routertje staan, maar nu ik eens aan het kijken ben in mijn log-files. kom ik de volgende rare regels tegen.

02/01/2004 14:25:20 **SYN Flood to Host** 192.168.0.6, 2886->> *.*.*.*, 80
02/01/2004 14:24:35 **SYN Flood to Host** 192.168.0.6, 2826->> *.*.*.*, 80
02/01/2004 13:42:48 **SYN Flood to Host** 192.168.0.6, 1675->> *.*.*.*, 80
02/01/2004 13:35:47 **SYN Flood to Host** 192.168.0.6, 1500->> *.*.*.*, 80
02/01/2004 13:35:16 **SYN Flood to Host** 192.168.0.6, 1427->> *.*.*.*, 80

02/03/2004 16:46:52 **smurf** *.*.*.*, 1477->> 192.168.0.51, 1172
02/03/2004 16:46:46 **smurf** *.*.*.*, 1477->> 192.168.0.51, 1172
02/03/2004 16:46:43 **smurf** *.*.*.*, 1477->> 192.168.0.51, 1172
02/03/2004 16:38:44 **smurf** *.*.*.*, 1477->> 192.168.0.51, 1142
02/03/2004 16:38:38 **smurf** *.*.*.*, 1477->> 192.168.0.51, 1142
02/03/2004 16:38:35 **smurf** *.*.*.*, 1477->> 192.168.0.51, 1142

Zou iemand mij kunnen vertellen of ik hier nu met een hacker te maken heb of dat deze pc's continu informatie naar buiten aan het zenden zijn?

Ik weet dat er op beide pc's een stukje vreemde software draait die niet te verwijderen is vanuit software en door ad-aware niet wordt herkend als spyware. Ik denk dat de verzonden pakketjes afkomstig zijn van dit stukje software. Zo ja, wat kan ik hier dan aan doen. 1 van de pc's is al opnieuw geinstalleerd dus dan zou het eraf moeten zijn, maar na ongeveer een 1/2 uur staat het stukje software er weer netzo op, terwijl alleen windows, office, nortonAV en de windowsupdates zijn uitgevoerd.

weet iemand hier raad mee

$_/-\o_$

[ Voor 17% gewijzigd door Verwijderd op 03-02-2004 23:04 ]

need more coffee!!!

dinsdag 3 februari 2004 22:27

Acties:

G33rt

En wat is de syntax van je logfiles? ik zie ip adressen, maar wat zijn te getallen "1477->>" en ", 1172"?

dinsdag 3 februari 2004 22:31

Acties:

jobo

Topicstarter

dat zijn volgens mij poortnummers, het lijkt erop dat er informatiepakketjes van een bepaald (soms wisselend) poort nummer worden gestuurd naar een andere.

need more coffee!!!

dinsdag 3 februari 2004 22:32

Acties:

Spider.007

* Tetragrammaton

Dit lijken mij allemaal uitgaande connecties?

G33rt> de getallen lijken mij poortnummers

jobo schreef op 03 februari 2004 @ 22:31:
dat zijn volgens mij poortnummers, het lijkt erop dat er informatiepakketjes van een bepaald (soms wisselend) poort nummer worden gestuurd naar een andere.

Naar poort 80.. dus waarschijnlijk webservers.. dus zal waarschijnlijk wel meevallen

[ Voor 66% gewijzigd door Spider.007 op 03-02-2004 22:33 ]

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

dinsdag 3 februari 2004 22:36

Acties:

momania

iPhone 30! Bam!

meer iets voor NT, dus:
Software Algemeen >> Network Troubleshooting

Neem je whisky mee, is het te weinig... *zucht*

dinsdag 3 februari 2004 22:37

Acties:

jobo

Topicstarter

Het dataverkeer dat naar buiten gaat is idd alleen maar naar poort 80, maar wat is die "**SYN Flood to Host**" ik snap het in ieder geval niet. Normaal internet verkeer wordt niet in deze log files genoemd, dus het is wel iets wat niet normaal is...

need more coffee!!!

dinsdag 3 februari 2004 22:56

Acties:

mvdejong

When does the hurting stop ?

"SYN flooding" is een manier om te pogen een ander systeem onderuit te halen, en je eerste set laat zien dat jouw systeem (de 192.168.0.6) dat poogt te doen naar verschillende sites. Je probeert de IP-stack onderuit te halen door teveel "SYN" pakketjes te sturen, die het begin van een TCP-verbinding aangeven. Een niet daarop berekend systeem, of de firewall/proxy daartussen, houdt een buffertje open voor elke beginnende verbinding, en het doel van de flood is om het systeem door zijn buffer-geheugen heen te krijgen, waardoor het systeem vaak crasht, maar in ieder geval een tijd (de time-out op een verbindings-opbouw) niet bereikbaar meer is.
Dit zal wel dat onbekende programmaatje zijn.

De tweede set laat een "smurf attack" zien, die op jouw systeem wordt uitgevoerd.
Hierbij worden een lading ping-commando's op je afgevuurd, met een vervalst afzender-adres. Dit kan eventueel je hele internet-verbinding of netwerk onderuit halen.

Maar welke logs zijn dit, de normale logs, of de logs van geblokkeerd verkeer ?

The number of things that Arthur couldn't believe he was seeing was fairly large

dinsdag 3 februari 2004 22:57

Acties:

mvdejong

When does the hurting stop ?

jobo schreef op 03 februari 2004 @ 22:16:
1 van de pc's is al opnieuw geinstalleerd dus dan zou het eraf moeten zijn, maar na ongeveer een 1/2 uur staat het stukje software er weer netzo op, terwijl alleen windows, office, nortonAV en de windowsupdates zijn uitgevoerd.

Wordt die weer opnieuw besmet door de andere PC misschien ?

The number of things that Arthur couldn't believe he was seeing was fairly large

dinsdag 3 februari 2004 23:01

Acties:

jobo

Topicstarter

De logs die worden weergegeven komen uit de security log. De tekst die erboven staat is: "View any attempts that have been made to illegally gain access to your network"

Het is waarschijnlijk niet mogelijk dat de pc door andere pc's wordt besmet. Er staat nog een computer (die van mij zelf) en die heeft geen last van die "spyware" Ik verzend met mijn pc ook geen pakketjes...

[ Voor 21% gewijzigd door jobo op 03-02-2004 23:27 ]

need more coffee!!!

dinsdag 3 februari 2004 23:03

Acties:

Verwijderd

jobo schreef op 03 februari 2004 @ 22:16:
Ik weet dat er op beide pc's een stukje vreemde software draait die niet te verwijderen is vanuit software en door ad-aware niet wordt herkend als spyware. Ik denk dat de verzonden pakketjes afkomstig zijn van dit stukje software.

Show me the software.!
Maw: mail me de file(s) eens.
Zie sig voor mail.

dinsdag 3 februari 2004 23:09

Acties:

Verwijderd

Er stond wat minder toegestane content op servers met die IP-adressen, ik heb ze dus even gecensored

In het vervolg graag even op letten

dinsdag 3 februari 2004 23:11

Acties:

jobo

Topicstarter

pfff, laten zien is een probleem. ik moet dan screenshots maken en op internet plaatsen. Een hoop werk voor nu.

Ik kan het wel omschrijven. Ik zie in mijn explorerbalk een blauw menu met diverse links naar reclame en zoekprogramma's

Wanneer ik met de rechtermuisknop het menu uitschakel zou deze niet meer terug moeten komen, maar na het opnieuw opstarten van explorer, verschijnt dit toch weer.

Het lijkt op een flash achtig programma'tje. ronde hoeken en bewegende (uitschuivende) menu's. Als omschijving, wanneer ik met de rechter muisknop het lijstje met beschikbare werkbalken opvraag, dan staat dit stukje "spyware" als een hoop gebrabbel genoemd. De naam is variabel en bestaat uit niet logische tekens. (iets van "jas2h3g47ajb6hd")

need more coffee!!!

dinsdag 3 februari 2004 23:14

Acties:

Verwijderd

Tijd voor een HijackThis log dus.
Zie ook de SA FAQ daarvoor.

Zou je me die ip's willen mailen, aangezien ik er nog niet naar had gekeken en ze nu wegge-edit zijn. Zou graag kijken of daar malware te vinden is.
_{Ik neem aan/hoop dat ik geen OW krijg voor m'n request.}

dinsdag 3 februari 2004 23:16

Acties:

Spider.007

* Tetragrammaton

Verwijderd schreef op 03 februari 2004 @ 23:14:
Tijd voor een HijackThis log dus.
Zie ook de SA FAQ daarvoor.

Zou je me die ip's willen mailen, aangezien ik er nog niet naar had gekeken en ze nu wegge-edit zijn. Zou graag kijken of daar malware te vinden is.
_{Ik neem aan/hoop dat ik geen OW krijg voor m'n request.}

er was niets te vinden.. leken standaard pr0n sites

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

dinsdag 3 februari 2004 23:37

Acties:

jobo

Topicstarter

Waarschijnlijk zijn het inderdaad gewoon porno sites, maar hoe kom ik er nu vanaf. Ik wil niet dat mij netwerk straks een keer plat gaat, en die software moet er natuurlijk ook zo snel mogelijk weer vanaf. Helaas helpt een herinstallatie niet, dus wat kan ik nu nog proberen???

Kan ik trouwens met behulp van mijn firewall in mijn router blokkeren (

)dat deze pakketjes naar buiten verzonden worden?

$_/-\o_$

need more coffee!!!

dinsdag 3 februari 2004 23:40

Acties:

Mike Jarod

Uwen vraag

jobo schreef op 03 februari 2004 @ 23:37:
maar hoe kom ik er nu vanaf.

Uwen antwoord

Verwijderd schreef op 03 februari 2004 @ 23:14:
Tijd voor een HijackThis log dus.
Zie ook de SA FAQ daarvoor.

Kortom download het programma HijackThis en zet hier een logfile neer

_{graag gedaan Schouw}

[ Voor 4% gewijzigd door Mike Jarod op 03-02-2004 23:47 ]

dinsdag 3 februari 2004 23:41

Acties:

Verwijderd

Het blocken van die packets is natuurlijk leuk, maar dat neemt de oorzaak niet weg.

Ik zal mezelf nog eens quoten:

Tijd voor een HijackThis log dus.
Zie ook de SA FAQ daarvoor.

Post dat eens.

Edit:
Stop daar nou eens mee MJ.

[ Voor 10% gewijzigd door Verwijderd op 03-02-2004 23:42 ]

dinsdag 3 februari 2004 23:42

Acties:

jobo

Topicstarter

aha. ik snap um
zal ff gaan zoeken. nog nooit uitgevoerd.
zie jullie snel weer terug en dan heb ik een logfile!!!!

need more coffee!!!

woensdag 4 februari 2004 22:40

Acties:

jobo

Topicstarter

Ben ik weer!!!

Ik heb HiJackThis uitgevoerd en de gevonden onderdelen (die ik niet ken) verwijderd. Het log bestand dat ik gemaakt heb, ziet er als volgt uit:

code:

Logfile of HijackThis v1.97.7
Scan saved at 16:23:44, on 4-2-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\DOCUME~1\N2B3E~1.BOE\APPLIC~1\eaeetgsh.exe
C:\DOCUME~1\N2B3E~1.BOE\APPLIC~1\apropos.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Messenger\msmsgs.exe
C:\DOCUME~1\J293E~1.BOE\LOCALS~1\Temp\Zdd3.exe
C:\WINDOWS\System32\ctfmon.exe
\server\progjes\Tools\Cleaning\HiJackThis\HijackThis.exe
C:\WINDOWS\system32\logon.scr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchcomplete.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O1 - Hosts: 5377608764 www.***.com
O1 - Hosts: 5377608764 www.***.com
O1 - Hosts: 5377608764 www.***.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {f454251e-e547-4c65-8288-b34273622ffe} - C:\DOCUME~1\N2B3E~1.BOE\APPLIC~1\sekqgrjck.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: gshshquieoa - {0f925fd3-9a1c-4def-917d-c7c217c681b3} - C:\DOCUME~1\N2B3E~1.BOE\APPLIC~1\sekqgrjck.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [bgrje] C:\DOCUME~1\N2B3E~1.BOE\APPLIC~1\eaeetgsh.exe -QuieT
O4 - HKLM\..\Run: [AutoLoaderAproposClient] "C:\DOCUME~1\N2B3E~1.BOE\APPLIC~1\apropos.exe" C:\DOCUME~1\N2B3E~1.BOE\APPLIC~1\apropos.exe /HideUninstIcon /HideDir /UninstallName="Software Apropos" /PC=PLUS
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37934.3282523148
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E66EA98A-B17E-4C27-8FFE-39AD99931129}: NameServer = 192.168.0.254

Regels die ik verwijdert heb zijn:
24, 25, 28, 33, 34, 35, 36, 37, 38, 39, 40, 43, 46, 52 en 53
De regels 38, 39 en 40 waren eerst wel 20 regels, allemaal websites (porn)!!!

Na het verwijderen heb ik de log van mijn router in de gaten gehouden. Tot nu toe heb ik geen rare dingen meer zien staan.

Ik hoop dat het nu opgelost is. Ik heb er een beetje genoeg van.

Altijd maar alles in de gaten houden wat er hier allemaal in huis gebeurd...

Ik dank jullie hartelijk voor alle gegeven tips en oplossingen $_/-\o_$

need more coffee!!!

woensdag 4 februari 2004 23:12

Acties:

Verwijderd

Heb je die exefiles ook fysiek verwijderd of alleen via HT?
Als je ze nog niet echt hebt verwijderd, zou ik de files graag willen hebben.
(Als je weer naar KL-adres mailt, svp in password protected archive duwen ivm, mailscanner).

vrijdag 6 februari 2004 10:29

Acties:

jobo

Topicstarter

Ik heb de files fysiek niet van de systemen verwijderd. Ik zal ze verzamelen en naar het eerder gekregen adres sturen...

Zijn er verder trouwens betere mogelijkheden om dit soort dingen te blokkeren (tegen te houden)??? Ik draai nu dus iedere dag Ad-Aware en gebruik de pop-up blokker van Google (nieuwe werkbalk

)

need more coffee!!!

vrijdag 6 februari 2004 10:38

Acties:

jobo

Topicstarter

zit nog eens in mijn log te kijken
nu probeert mijn router zichzelf onderuit te haelen

nu mijn complete log:

code:

02/06/2004  10:33:50 192.168.0.2 login success 
02/06/2004  10:33:47 User from 192.168.0.2 timed out
02/06/2004  10:25:13 NTP Date/Time updated     
02/06/2004  10:24:42 Begin to query NTP        
02/06/2004  08:25:13 NTP Date/Time updated     
02/06/2004  08:24:42 Begin to query NTP        
02/06/2004  06:25:13 NTP Date/Time updated     
02/06/2004  06:24:41 Begin to query NTP        
02/06/2004  04:25:12 NTP Date/Time updated     
02/06/2004  04:24:41 Begin to query NTP        
02/06/2004  02:25:12 NTP Date/Time updated     
02/06/2004  02:24:41 Begin to query NTP        
02/06/2004  00:25:12 NTP Date/Time updated     
02/06/2004  00:24:41 Begin to query NTP        
02/05/2004  22:25:12 NTP Date/Time updated     
02/05/2004  22:24:41 Begin to query NTP        
02/05/2004  20:25:12 NTP Date/Time updated     
02/05/2004  20:24:41 Begin to query NTP        
02/05/2004  18:25:12 NTP Date/Time updated     
02/05/2004  18:24:41 Begin to query NTP        
02/05/2004  16:25:12 NTP Date/Time updated     
02/05/2004  16:24:41 Begin to query NTP        
02/05/2004  14:25:12 NTP Date/Time updated     
02/05/2004  14:24:41 Begin to query NTP        
02/05/2004  13:10:37 **LAND** 62.194.232.147, 55978->> 62.194.232.147, 22
02/05/2004  13:10:31 **LAND** 62.194.232.147, 55978->> 62.194.232.147, 22
02/05/2004  13:10:28 **LAND** 62.194.232.147, 55978->> 62.194.232.147, 22
02/05/2004  12:25:12 NTP Date/Time updated     
02/05/2004  12:24:41 Begin to query NTP        
02/05/2004  10:25:12 NTP Date/Time updated     
02/05/2004  10:24:41 Begin to query NTP        
02/05/2004  08:25:12 NTP Date/Time updated     
02/05/2004  08:24:41 Begin to query NTP        
02/05/2004  06:25:12 NTP Date/Time updated     
02/05/2004  06:24:41 Begin to query NTP        
02/05/2004  04:25:12 NTP Date/Time updated     
02/05/2004  04:24:41 Begin to query NTP        
02/05/2004  02:25:12 NTP Date/Time updated     
02/05/2004  02:24:41 Begin to query NTP        
02/05/2004  00:25:12 NTP Date/Time updated     
02/05/2004  00:24:37 Begin to query NTP        
02/05/2004  00:04:18 **LAND** 62.194.232.147, 55131->> 62.194.232.147, 80
02/05/2004  00:04:15 **LAND** 62.194.232.147, 55131->> 62.194.232.147, 80
02/04/2004  23:50:07 **LAND** 62.194.232.147, 55089->> 62.194.232.147, 80
02/04/2004  23:50:01 **LAND** 62.194.232.147, 55089->> 62.194.232.147, 80
02/04/2004  23:49:58 **LAND** 62.194.232.147, 55089->> 62.194.232.147, 80
02/04/2004  23:49:47 **LAND** 62.194.232.147, 55087->> 62.194.232.147, 80
02/04/2004  23:49:41 **LAND** 62.194.232.147, 55087->> 62.194.232.147, 80
02/04/2004  23:49:38 **LAND** 62.194.232.147, 55087->> 62.194.232.147, 80
02/04/2004  23:46:52 192.168.0.2 login success 
02/04/2004  23:46:45 User from 192.168.0.2 timed out
02/04/2004  22:25:08 NTP Date/Time updated     
02/04/2004  22:24:37 Begin to query NTP        
02/04/2004  20:43:45 192.168.0.2 login success 
02/04/2004  20:43:39 User from 192.168.0.2 timed out
02/04/2004  20:25:08 NTP Date/Time updated     
02/04/2004  20:24:37 Begin to query NTP        
02/04/2004  18:25:08 NTP Date/Time updated     
02/04/2004  18:24:33 Begin to query NTP        
02/04/2004  17:30:21 DHCP Client: Send Request,Request IP=62.194.232.147
02/04/2004  16:30:39 192.168.0.2 login success 
02/04/2004  16:25:19 192.168.0.2 login success 
02/04/2004  16:25:15 User from 192.168.0.2 timed out
02/04/2004  16:25:04 NTP Date/Time updated     
02/04/2004  16:24:33 Begin to query NTP        
02/04/2004  14:25:04 NTP Date/Time updated     
02/04/2004  14:24:33 Begin to query NTP        
02/04/2004  12:25:04 NTP Date/Time updated     
02/04/2004  12:24:33 Begin to query NTP        
02/04/2004  10:25:04 NTP Date/Time updated     
02/04/2004  10:24:33 Begin to query NTP        
02/04/2004  08:25:04 NTP Date/Time updated     
02/04/2004  08:24:33 Begin to query NTP        
02/04/2004  06:25:04 NTP Date/Time updated     
02/04/2004  06:24:33 Begin to query NTP        
02/04/2004  04:25:04 NTP Date/Time updated     
02/04/2004  04:24:33 Begin to query NTP        
02/04/2004  02:25:04 NTP Date/Time updated     
02/04/2004  02:24:33 Begin to query NTP        
02/04/2004  00:25:04 NTP Date/Time updated     
02/04/2004  00:24:01 Begin to query NTP        
02/03/2004  23:23:21 192.168.0.2 login success 
02/03/2004  23:15:31 **smurf** 192.168.0.2->> 139.84.140.255, Type:8, Code:8
02/03/2004  23:15:26 **smurf** 192.168.0.2->> 139.84.140.255, Type:8, Code:8
02/03/2004  23:14:49 **smurf** 24.210.237.255, 80->> 192.168.0.2, 1229
02/03/2004  23:14:43 **smurf** 24.210.237.255, 80->> 192.168.0.2, 1229
02/03/2004  23:14:40 **smurf** 24.210.237.255, 80->> 192.168.0.2, 1229
02/03/2004  23:14:23 **smurf** 24.210.237.255, 80->> 192.168.0.2, 1225
02/03/2004  23:14:17 **smurf** 24.210.237.255, 80->> 192.168.0.2, 1225
02/03/2004  23:14:14 **smurf** 24.210.237.255, 80->> 192.168.0.2, 1225
02/03/2004  23:13:57 **smurf** 24.210.237.255, 80->> 192.168.0.2, 1199
02/03/2004  23:13:51 **smurf** 24.210.237.255, 80->> 192.168.0.2, 1199
02/03/2004  23:13:48 **smurf** 24.210.237.255, 80->> 192.168.0.2, 1199
02/03/2004  23:13:42 **smurf** 24.210.237.255, 80->> 192.168.0.2, 1198
02/03/2004  23:13:36 **smurf** 24.210.237.255, 80->> 192.168.0.2, 1198
02/03/2004  23:13:33 **smurf** 24.210.237.255, 80->> 192.168.0.2, 1198
02/03/2004  23:13:04 192.168.0.2 login success 
02/03/2004  22:59:18 192.168.0.2 login success 
02/03/2004  22:54:26 192.168.0.2 login success 
02/03/2004  22:34:25 192.168.0.2 login success 
02/03/2004  22:24:02 DHCP Client: Receive Ack from 212.142.28.181,Lease time=370967
02/03/2004  22:24:02 DHCP Client: Send Request,Request IP=62.194.232.147
02/03/2004  22:24:02 DHCP Client: Receive Offer from 212.142.28.181
02/03/2004  22:24:02 DHCP Client: Send Discover
02/03/2004  22:22:58 192.168.0.2 login success 
02/03/2004  22:11:55 192.168.0.2 login success 
02/03/2004  21:52:50 192.168.0.2 login success 
02/03/2004  21:52:31 User from 192.168.0.2 timed out
02/03/2004  20:36:37 NTP Date/Time updated     
02/03/2004  20:35:53 Begin to query NTP        
02/03/2004  18:58:33 192.168.0.2 login success 
02/03/2004  18:39:27 192.168.0.2 login success 
02/03/2004  18:36:23 NTP Date/Time updated     
02/03/2004  18:35:16 Begin to query NTP        
02/03/2004  17:07:34 192.168.0.2 login success 
02/03/2004  16:46:52 **smurf** 24.210.237.255, 1477->> 192.168.0.51, 1172
02/03/2004  16:46:46 **smurf** 24.210.237.255, 1477->> 192.168.0.51, 1172
02/03/2004  16:46:43 **smurf** 24.210.237.255, 1477->> 192.168.0.51, 1172
02/03/2004  16:38:44 **smurf** 24.210.237.255, 1477->> 192.168.0.51, 1142
02/03/2004  16:38:38 **smurf** 24.210.237.255, 1477->> 192.168.0.51, 1142
02/03/2004  16:38:35 **smurf** 24.210.237.255, 1477->> 192.168.0.51, 1142
02/03/2004  16:35:46 NTP Date/Time updated     
02/03/2004  16:35:16 Begin to query NTP        
02/03/2004  15:05:01 User from 192.168.0.2 timed out
02/03/2004  14:35:46 NTP Date/Time updated     
02/03/2004  14:35:16 Begin to query NTP        
02/03/2004  12:35:46 NTP Date/Time updated     
02/03/2004  12:35:16 Begin to query NTP        
02/03/2004  10:35:46 NTP Date/Time updated     
02/03/2004  10:35:16 Begin to query NTP        
02/03/2004  08:35:46 NTP Date/Time updated     
02/03/2004  08:35:16 Begin to query NTP        
02/03/2004  06:35:46 NTP Date/Time updated     
02/03/2004  06:35:16 Begin to query NTP        
02/03/2004  04:35:46 NTP Date/Time updated     
02/03/2004  04:35:16 Begin to query NTP        
02/03/2004  02:35:46 NTP Date/Time updated     
02/03/2004  02:35:15 Begin to query NTP        
02/03/2004  00:35:45 NTP Date/Time updated     
02/03/2004  00:35:15 Begin to query NTP        
02/02/2004  22:35:45 NTP Date/Time updated     
02/02/2004  22:35:15 Begin to query NTP        
02/02/2004  21:16:40 **smurf** 24.210.237.255, 1477->> 192.168.0.51, 2662
02/02/2004  21:16:31 **smurf** 24.210.237.255, 1477->> 192.168.0.51, 2662
02/02/2004  21:10:02 **smurf** 24.210.237.255, 1477->> 192.168.0.51, 2537
02/02/2004  21:09:56 **smurf** 24.210.237.255, 1477->> 192.168.0.51, 2537
02/02/2004  21:09:54 **smurf** 24.210.237.255, 1477->> 192.168.0.51, 2537
02/02/2004  20:45:16 **smurf** 139.84.140.255, 1494->> 192.168.0.51, 2125
02/02/2004  20:45:10 **smurf** 139.84.140.255, 1494->> 192.168.0.51, 2125
02/02/2004  20:45:07 **smurf** 139.84.140.255, 1494->> 192.168.0.51, 2125

iemand een id?????

need more coffee!!!

vrijdag 6 februari 2004 13:28

Acties:

Verwijderd

flikker msn plus er eens af.

Die blauwe balk in je browser komt daardoor d8 ik.

en daarna ff je log in de gaten houden.

//norton internet security heeft ook adblokker ingebouwd.

[ Voor 20% gewijzigd door Verwijderd op 06-02-2004 13:31 ]

vrijdag 6 februari 2004 14:50

Acties:

Verwijderd

jobo schreef op 06 februari 2004 @ 10:29:
Ik heb de files fysiek niet van de systemen verwijderd. Ik zal ze verzamelen en naar het eerder gekregen adres sturen...

Zijn er verder trouwens betere mogelijkheden om dit soort dingen te blokkeren (tegen te houden)??? Ik draai nu dus iedere dag Ad-Aware en gebruik de pop-up blokker van Google (nieuwe werkbalk )

Geen IE gebruiken.
Daarnaast niet zomaar overal op klikken natuurlijk.
(Goede)virusscanner wil ook nog wel eens helpen met adware.

zaterdag 7 februari 2004 00:34

Acties:

Verwijderd

Die SMURF Attack entry's in je log kunnen komen omdat je waarschijnlijk NAT gebruikt.

Die Syn-flood kan komen omdat je een peer-to-peer programma gebruikt zoals Kazaa of overnet. Vooral overnet kan een pain zijn omdat die idioot veel verbindingen maakt die eigenlijk helemaal niet nodig zijn.

zaterdag 7 februari 2004 00:42

Acties:

tweakduke

Moderator General Chat / Wonen & Mobiliteit

Ik denk ook dat je last hebt van spyware

En zoals JSS al eerder zei haal die ip adressen weg.....!!

Tweakers Discord

zaterdag 7 februari 2004 00:53

Acties:

Palomar

wat voor router is dat? Ik heb een SMC 4000vbr (oid) en daarmee krijg ik net zulk soort meldingen. Vooral soms veel van die 'smurf' meldingen (heleboel per minuut), met als bijkomend verschijnsel dat mn internetverbinding plat gaat. Lampjes op de router en het modem knipperen ook als een gek, dus er gebeurt wel wat zeg maar

De router blijft verder wel bereikbaar. Als ik de stekker er dan uittrek of hem softwarematig reset blijft het door gaan

En na een tijdje is het dan ook weer over.

Ik heb het idee dat dit door Kazaa komt. Een tijd geleden had ik er erg veel last van (elke dag ging inet wel es plat). Toen heb ik iedereen verboden kazaa nog te draaien en daarna was het probleem zo goed als over. Gisteren heb ik weer es kazaa gestart en het een paar uur laten draaien (3 of 4 bestandjes in de queue) en op een gegeven moment ging internet weer plat. Logfile van de router stikte van de SMURF meldingen.

Aan de ene kant concludeer ik dus dat het aan Kazaa ligt, maar ik vraag me toch af of dit het ook echt kan zijn

(soms als ik kazaa draai gebeurt het weer niet, bijv. als ik het probleem es probeer te reproduceren).

[ Voor 4% gewijzigd door Palomar op 07-02-2004 00:55 ]

zaterdag 7 februari 2004 19:37

Acties:

Verwijderd

Die blauwe balk waar je het over hebt kan wel eens van lop.com afkomstig zijn.
Ik heb hem gekregen terwijl ik msn plus aan het instaleren was.
Doormiddel van deze site heb ik hem er weer vanaf gekregen: http://www.lop.com/help.html
Onderaan deze site staat een linkje naar het downloaden van het verwijder programma. Ergens boven in staat ook een linkje, maar die werkte bij mij niet.

Hierdoor ben je de blauwe balk boven in je scherm in iedergeval kwijt (als het is wat ik denk dat het is). Met het probleem zelf kan ik je niet zo goed helpen omdat ik op dit gebied ietsje minder gespecialiseerd ben.

maandag 9 februari 2004 19:14

Acties:

jobo

Topicstarter

Ik weet niet wat die hacker allemaal uit spookt, maar vandaag heeft ie mijn router onderuit gekregen.

ff stekker eruit en hij deed het weer

kan ik dit voorkomen???

need more coffee!!!

maandag 9 februari 2004 21:00

Acties:

Verwijderd

Jij pakt nu wel mooi een "hacker" als zondebok, maar ik geloof er niets van dat dat zo is. Bij dit soort SOHO-routers is het in 99,99% van de gevallen gewoon een overflow aan connecties. Je moet je wel bedenken dat er in zo'n routertje gewoon een stukje flashgeheugen en een CPU'tje zit - veel deftigs is het niet. Die zijn dus makkelijk door gewone TCP-connecties omver te helpen, dat is echt niet het werk van een "hacker" die jouw routertje aan het "hacken" is. Wat voor voordeel zou hij daarbij kunnen hebben

Ik denk, zoals in dit topic al verschillende malen aangegeven, dat je het echt in de hoek van de gebruikte software moet zoeken. P2P, ad-ware, virussen, trojans etc - geen hacker.

maandag 9 februari 2004 21:59

Acties:

jobo

Topicstarter

ik snap best dat jullie aan software denken, maar als ik iedere dag bij het opstarten van mij computers in mijn netwerk ad-aware draai, een bijgewerkte versie van nortonAV 2004 draai, mijn firewall volledig dicht heb zitten behalve poort 80 en met HiJackThis alle rare bestanden heb verwijderd, dan kan het toch haast niet meer aan software liggen?

Als jullie vinden van wel, wil ik wel graag weten heb ik de volgende vragen:
- wat kan ik dan nu nog proberen in de trant van software?
- Hoe kan mijn router er zomaar spontaan mee stoppen? en wel zo vastlopen dat ik zelfs niet meer vanaf mijn interne netwerk in de router kan komen

[ Voor 23% gewijzigd door jobo op 09-02-2004 22:03 ]

need more coffee!!!

maandag 9 februari 2004 22:22

Acties:

Miki

jobo schreef op 09 februari 2004 @ 21:59:
ik snap best dat jullie aan software denken, maar als ik iedere dag bij het opstarten van mij computers in mijn netwerk ad-aware draai, een bijgewerkte versie van nortonAV 2004 draai, mijn firewall volledig dicht heb zitten behalve poort 80 en met HiJackThis alle rare bestanden heb verwijderd, dan kan het toch haast niet meer aan software liggen?

Als jullie vinden van wel, wil ik wel graag weten heb ik de volgende vragen:
- wat kan ik dan nu nog proberen in de trant van software?
- Hoe kan mijn router er zomaar spontaan mee stoppen? en wel zo vastlopen dat ik zelfs niet meer vanaf mijn interne netwerk in de router kan komen

En jij vertrouwt Norton 2004 blindelings zeker

Ook brainwashed dus door de marketing machine van symantec. Vraag me af wanneer mensen nu eens wakker worden en gaan inzien dat Norton op je pc niet betekent dat je helemaal niks kan overkomen. Norton is leuk voor de computer-idee gebruikers maar ongeschikt voor de tweakert die naast computerliefde ook aan p0rn-surfen doet.

Ad-aware is een heel goed progje maar kan ook niet alles verwijderen, dat is al eens een keer aangetoond door Mike Jarod in zijn test van spyware-remove tools. Wil je echt een beetje safe zitten dan zul je IE moeten vergeten en moeten gaan kijken naar een mozilla based prog zoals firefox (voorheen firebird) of opera, voor bijvoorbeeld porn-surfen.

Tips om er vanaf tekomen:

Download een trial van Kaspersky en update die eerst. scan daarna systeem volledig. Wel eerst Norton verwijderen, 2 virusscanners op je systeem is niet verstandig.

Gebruik naast ad-aware ook spybot, deze wil nog wel eens bestandjes vinden die ad-aware over het hoofd ziet.

[ Voor 26% gewijzigd door Miki op 09-02-2004 22:29 ]

maandag 19 september 2005 16:16

Acties:

Verwijderd

Okee en dit is wat ik gevonden heb, ik had nml het zelfde probleem;

Ok I've just spent the last two days wondering why the firewall of my router kept giving me errors like this

12/06/2003 16:58:32 **SYN Flood to Host** 192.168.0.101, 4392->> 128.121.214.219, 80 (from ATM1 Outbound)

It was only to specific sites such as
»www.answersthatwork.com/Tasklist_pages.. and only on one of my machines a fast xp machine..

anyway enough waffle.

If you experience this problem go to
Firewall/intrusion detection
and increase the value of
Maximum incomplete TCP/UDP sessions number to same Host:

mine was 10, it is now 30 which seems to work fine

bij mijn smc routertje werkte het geweldig. ik hoop voor jou ook.

[ Voor 2% gewijzigd door Verwijderd op 19-09-2005 16:19 . Reden: spelfout ]

maandag 19 september 2005 23:49

Acties:

Verwijderd

Geplaatst op dinsdag 03 februari 2004

dinsdag 20 september 2005 00:22

Acties:

Rmg

Verwijderd schreef op maandag 19 september 2005 @ 16:16:
Okee en dit is wat ik gevonden heb, ik had nml het zelfde probleem;

Ok I've just spent the last two days wondering why the firewall of my router kept giving me errors like this

12/06/2003 16:58:32 **SYN Flood to Host** 192.168.0.101, 4392->> 128.121.214.219, 80 (from ATM1 Outbound)

It was only to specific sites such as
»www.answersthatwork.com/Tasklist_pages.. and only on one of my machines a fast xp machine..

anyway enough waffle.

If you experience this problem go to
Firewall/intrusion detection
and increase the value of
Maximum incomplete TCP/UDP sessions number to same Host:

mine was 10, it is now 30 which seems to work fine

bij mijn smc routertje werkte het geweldig. ik hoop voor jou ook.

toch aardig dat je iemand bijna 2 jaar na zijn topic start helpt

dinsdag 20 september 2005 15:51

Acties:

pasta

Ondertitel

fiers: Volgende keer toch beter op de datum letten, na anderhalf jaar zal jobo toch nog een antwoord hebben gevonden.

andree & Raz-: Dit mag je volgende keer ook in een TR melden.

Signature

Pagina: 1

Dit topic is gesloten.