[MS Proxy 2.0] Logfile analyse

Pagina: 1
Acties:

  • KillerAce_NL
  • Registratie: Juni 2001
  • Niet online

KillerAce_NL

If it ain't broke...

Topicstarter
Beste mensen, een vriend van me heeft een nt4 servertje met een isdn connectie.
Nu is ineens zijn telefoon rekening enorm hoog. Hij heeft me gevraagd om zijn systeem eens door te snuffelen. Nu kan ik me met NT4 nog wel redden. MS Proxy 2.0 is echter heel wat anders.
Ik begrijp dat er op zijn systeem 3 soorten logfiles worden gemaakt. Dat is allemaal redelijk duidelijk (al het e.e.a. over gevonden).
Ik heb zijn logs bekeken en ik zie eigenlijk niks spectaculairs.
Maar in de PSyymmdd.log kom ik toch érg vaak iets tegen.
code:
1
31-5-04, 0:23:59, inbound.ip.nr, ip.nr.2, Udp, 4500, 10001, -, 0, Dialout, -, -,

Ik snap dit nog niet helemaal.
Moet ik hieruit opmaken dat:
Er contact wordt gemaakt met inbound ip nr op poort 4500 (Cisco vpn ??) en op extern poort 10001 ? En dat er vervolgens uitgebeld wordt ?
Dit staat er namelijk om de 20 seconden in zijn logs.
Voor de duidelijkheid, er is géén Cisco vpn device, sterker nog er is helemaal geen vpn.

Zijn probleem: 9000x ingebeld in 2 maand.
Als ik al die meldingen optel kom ik aardig in de buurt.

Verwijderd

udp, lijkt me sterk dat dat vpn is. dat is juist een sessie dus tcp...

kijk op dat interne ip nummer wat er draait en wat er probeert uit te bellen.

  • paulhekje
  • Registratie: Maart 2001
  • Laatst online: 25-01 15:50
en effe spybot gebruiken om eventuele spyware te vinden

|=|=|=||=|=|=||=|=|=| http://www.vanwijck.com |=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=|


  • KillerAce_NL
  • Registratie: Juni 2001
  • Niet online

KillerAce_NL

If it ain't broke...

Topicstarter
Dat is het vage nou juist. Ik kan niks vinden, behalve een gecachede easywww.exe. Dat kan het niet zijn.
Ik snap het gewoon niet helemaal. Naar mijn idee betekent dit dat iemand via een ipblock van uunet connect vanaf zijn poort 4500 naar de lokale poort 10001, en dat er vervolgens een dial-out plaatsvind ????
Of moet ik het andersom lezen, dat er vanaf de server geconnect wordt via poort 10001 naar extern adres:4500 ????

Verwijderd

ligt aan je logformat.
meestal is het eerste ip de source en het 2de de destination, hetzelfde met de porten.

dus is de source een extern nummer of niet?

op het interne ip als je "netstat -an|find "10001" (of 4500) intikt krijg je dan udp "listeners" te zien?

(op xp of win2k3 -ano, dan zie je ook de verantwoordelijke pid)

overigens: 10001 : TCP/UDP Scp Configuration Port (Scp-Config)
op 4500 niks gevonden...

[ Voor 66% gewijzigd door Verwijderd op 14-06-2004 16:02 ]


  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

UDP 4500 wordt gebruikt voor NAT Traversal (IPSec via NAT)
'k Zou eens beginnen om UDP port 4500 te blokkeren op de internal interface en dan kijken welke client er komt klagen.

QnJhaGlld2FoaWV3YQ==


  • KillerAce_NL
  • Registratie: Juni 2001
  • Niet online

KillerAce_NL

If it ain't broke...

Topicstarter
Het vage is dat de clients al maanden via een adsl lijn internetten en mailen.
De opdracht lijkt direct vanaf de server te komen.
Tja het is altijd shitwerk om dit soort dingen op te knappen, terwijl je het zelf niet geleverd hebt.

  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

KillerAce_NL schreef op 15 juni 2004 @ 09:10:
Het vage is dat de clients al maanden via een adsl lijn internetten en mailen.
De opdracht lijkt direct vanaf de server te komen.
Tja het is altijd shitwerk om dit soort dingen op te knappen, terwijl je het zelf niet geleverd hebt.
Helemaal niet vaag. Toen er nog ADSL was, werd die connectie ook 4500 keer per maand gemaakt, maar had niemand daar last van

QnJhaGlld2FoaWV3YQ==


  • KillerAce_NL
  • Registratie: Juni 2001
  • Niet online

KillerAce_NL

If it ain't broke...

Topicstarter
Brahiewahiewa schreef op 15 juni 2004 @ 09:52:
[...]

Helemaal niet vaag. Toen er nog ADSL was, werd die connectie ook 4500 keer per maand gemaakt, maar had niemand daar last van
Nee je begrijpt het verkeerd. Eerst was er ISDN met proxy. De clients gingen toen over naar ADSL. De server bleef de isdn lijn houden voor kleine updates etc en om niet direct op het internet aangesloten te zitten.
Omdat de server niet meer gebruikt werd voor internetsharing, is er verder niet naar omgekeken, totdat er opeens een hoge rekening kwam.

  • KillerAce_NL
  • Registratie: Juni 2001
  • Niet online

KillerAce_NL

If it ain't broke...

Topicstarter
Update:
Ik ben al een stuk verder, het lijkt erop dat er een remote-acces trojan op stond die wil connecten naar een pc in het netwerk van de hogeschool Rotterdam. Helaas kan ik het niet verder tracen als de hardware (Cisco) fkirewall van de Hogeschool. Heb contact opgenomen met de beheerder daar, nu maar afwachten of hij de logs door wil spitten.
Pagina: 1