Toon posts:

[Router] Vreemde entries in logfiles*

Pagina: 1
Acties:

vrijdag 19 maart 2004 15:53

Acties:

Verwijderd

Topicstarter
Beste mensen,

Vandaag zat ik eens te kijken naar de log files van mijn us robotics router te kijken omdat ik al een heel aantal keren onverklaarbaar offline ben gegaan. In deze log files een aantal opmerkelijke gegevens welke ik niet helemaal begrijp:

vrijdag 19 maart 2004 15:35:20 Unrecognized attempt blocked from 206.204.10.210:8587 to TCP port 31791
vrijdag 19 maart 2004 15:35:20 Unrecognized attempt blocked from 206.204.10.210:8591 to TCP port 31792
vrijdag 19 maart 2004 15:35:20 Unrecognized attempt blocked from 206.204.10.210:8595 to TCP port 40421
vrijdag 19 maart 2004 15:35:20 Unrecognized attempt blocked from 206.204.10.210:8601 to TCP port 40422
vrijdag 19 maart 2004 15:35:20 Unrecognized attempt blocked from 206.204.10.210:8606 to TCP port 40423
vrijdag 19 maart 2004 15:35:20 Unrecognized attempt blocked from 206.204.10.210:8609 to TCP port 40425
vrijdag 19 maart 2004 15:35:20 Unrecognized attempt blocked from 206.204.10.210:8614 to TCP port 40426
vrijdag 19 maart 2004 15:35:20 Unrecognized attempt blocked from 206.204.10.210:8620 to TCP port 54283
vrijdag 19 maart 2004 15:35:20 Unrecognized attempt blocked from 206.204.10.210:8626 to TCP port 54320
vrijdag 19 maart 2004 15:35:20 Unrecognized attempt blocked from 206.204.10.210:8632 to TCP port 54321
vrijdag 19 maart 2004 15:35:20 Unrecognized attempt blocked from 206.204.10.210:8638 to TCP port 60000
vrijdag 19 maart 2004 15:35:21 Unrecognized attempt blocked from 206.204.10.210:8426 to TCP port 6970
vrijdag 19 maart 2004 15:43:39 192.168.123.181 login successful
vrijdag 19 maart 2004 15:43:39 192.168.123.181 login successful
vrijdag 19 maart 2004 15:45:49 Unrecognized attempt blocked from 62.235.97.159:4730 to TCP port 1119
vrijdag 19 maart 2004 15:45:52 Unrecognized attempt blocked from 62.235.97.159:4730 to TCP port 1119
vrijdag 19 maart 2004 15:45:58 Unrecognized attempt blocked from 62.235.97.159:4730 to TCP port 1119


Zoals jullie zien probeert een bepaald ip adres elke keer contact te zoeken met verschillende poorten in zeer korte tijd. Duidt het hier op een soort poortscanner of iets dergelijks? Opzich zie ik dit nog niet zo als verontrustend, echter is het zo dat dit al 24 uur heel veel voorkomt van nog een aantal andere ip adressen. Daarbij gaat mijn chello modem ook regelmatig offline, waarbij deze een rood lampje weergeeft (terayon modem), wat ik in de voorgaande jaren nog niet heb gezien. De chello help service heb ik al gebeld, deze zegt echter dat ik eens moet kijken of mijn splitter/coax kabel nog wel in orde is.

Enige mensen die hier iets meer over kunnen vertellen dan ik, of de log files ook in relatie staan met het steeds offline gaan van mijn modem?

B.v.d.

vrijdag 19 maart 2004 15:55

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Dat eerste IP-adres is van Symantec (security.symantec.com [206.204.10.210]) de twee van een dial-up verbinding van Tiscali België.

Kan die eerste iets zijn van een soort AutoUpdate van je Virusscanner/Firewall of een ander Symantec-produkt.

Virussen? Scan ze hier!

vrijdag 19 maart 2004 16:06

Acties:

Verwijderd

Topicstarter
Ow w8, dacht klopt inderdaad ja. Een van mijn minder slimme opmerkingen aangezien die hiernaast op een andere computer werd gedraaid. 8)7

Maar dan heb ik opzich nog steeds wel dat ik de hele dag het volgende terug zie komen:

vrijdag 19 maart 2004 14:06:37 Unrecognized attempt blocked from 218.238.150.92:3726 to TCP port 80
vrijdag 19 maart 2004 14:06:43 Unrecognized attempt blocked from 218.238.150.92:3726 to TCP port 80
vrijdag 19 maart 2004 14:15:40 Unrecognized attempt blocked from 155.239.146.238:4425 to UDP port 1434
vrijdag 19 maart 2004 14:19:06 Unrecognized attempt blocked from 83.157.207.236:2822 to TCP port 3127


Ik heb er maar 4 van genomen, ik kan echter een hele lange lijst geven waar dit terug blijft komen waarin elke keer staat "Unrecognized attempt blocked from". Is dit gebruikelijk bij een router? En hoe kan ik zie waar dit precies vandaan komt? Veel poorten die hierin terug komen zijn 80, 1080 en 3128 welke volgens security test van norton 8)7 niet open staan.

vrijdag 19 maart 2004 16:09

Acties:
  • Gardocki
  • Registratie: Oktober 2000
  • Niet online

Gardocki

Dat zijn mensen die 'kijken' of je trojans heb draaien, kijk hier maar eens naar die poortnummers..

Is trouwens (helaas) vrij normaal.

[ Voor 14% gewijzigd door Gardocki op 19-03-2004 16:09 ]

They made me do it.

donderdag 1 april 2004 19:23

Acties:
  • jonggoud.nl
  • Registratie: Augustus 2001
  • Laatst online: 24-11 14:26

jonggoud.nl

@>--"--,--{

ik heb ook zo iets:
code:
1
2
3
4
5
6
7
8
9
10
11

  Proto  Local Address          Foreign Address        State
  TCP    127.0.0.1:3015         127.0.0.1:3502         TIME_WAIT
  TCP    127.0.0.1:3019         127.0.0.1:5226         ESTABLISHED
  TCP    127.0.0.1:5226         127.0.0.1:3019         ESTABLISHED
  TCP    127.0.0.1:9999         127.0.0.1:3501         TIME_WAIT
  TCP    192.168.1.25:80        213.73.159.55:3726     ESTABLISHED
  TCP    192.168.1.25:80        213.73.159.55:3727     ESTABLISHED
  TCP    192.168.1.25:3007      212.187.170.11:80      CLOSE_WAIT
  TCP    192.168.1.25:3504      209.87.234.214:8095    ESTABLISHED
  TCP    192.168.1.25:4131      62.58.41.195:80        CLOSE_WAIT
  TCP    192.168.1.25:4135      62.58.41.195:80        CLOSE_WAIT


wat moet ik hier mee? poort 3726 vindt ik nergens terug in die bovenstaande link. Nocht vindt norton / search/destroy of adaware iets...

vergeten te vermelden:

1) op de momenten dat die hoge poorten ertussen staan geeft dumeter ongeveer een minuut een upload aan...
2) ik run een webserver die soms gebruikt wordt, kan deze dan via een andere poort van :80 communiceren???

[ Voor 13% gewijzigd door jonggoud.nl op 01-04-2004 19:25 ]

Nieuw (groots) project, mail me wat je er van vindt
Tevens in het bezit van een beeldschone vriendin

donderdag 1 april 2004 20:30

Acties:
  • ValHallASW
  • Registratie: Februari 2003
  • Niet online

ValHallASW

<-- dit is ff geloof ik een fout antwoord, maar mss wel interessant :+ -->
TCP 192.168.1.25:80 213.73.159.55:3727 ESTABLISHED
dat is jou webserver die door 213.73.159.55 wordt aangesproken
TCP 192.168.1.25:3007 212.187.170.11:80 CLOSE_WAIT
dat ben jij die de webserver op 212.187.170.11 aanspreekt
<-- ... -->
1) op de momenten dat die hoge poorten ertussen staan geeft dumeter ongeveer een minuut een upload aan...
P2P-programma's?
2) ik run een webserver die soms gebruikt wordt, kan deze dan via een andere poort van :80 communiceren???
Ja hoor - met Apache kan je het makkelijk in je config aanpassen, met ISS weet ik het niet.
Anders kan je je router opdracht geven adres 192.168.1.25:80 te verbinden met <jouwip>:12345 bij wijze van spreken

donderdag 1 april 2004 20:34

Acties:

Verwijderd

Titeledit :)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq