Toon posts:

1 van mijn pcs scant naar ip!

Pagina: 1
Acties:

dinsdag 13 juli 2004 23:21

Acties:
  • Redwood
  • Registratie: November 1999
  • Laatst online: 08-11 12:36

Redwood

The Truth Is In Here

Topicstarter
Ik krijg van abuse@planet.nl de melding dat een bepaalde pc attacks van 1 van onze (bedrijfs pc's, heb er plusminus 15 op een netwerk) uitvoert!

(copy/past van een log)


All timestamps are in GMT

Jul 9 19:37:54 DENY proto tcp SRC=**.***.***.*** DST=68.x.x.x LEN=40
TTL=122 ID=41593 SPT=21 DPT=21 WINDOW=47386 SYN Jul 9 19:47:18 DENY proto tcp **.***.***.*** 68.x.x.x:21 L=40 S=0x00
I=8977 F=0x0000 T=115 SYN
Jul 9 19:48:38 DENY proto tcp **.***.***.*** 68.x.x.x:21 L=40 S=0x00
I=36807 F=0x0000 T=118 SYN
Jul 9 19:48:38 DENY proto tcp **.***.***.*** 68.x.x.x:21 L=40 S=0x00
I=36807 F=0x0000 T=118 SYN
Jul 9 19:48:38 DENY proto tcp **.***.***.*** 68.x.x.x:21 L=40 S=0x00
I=36807 F=0x0000 T=118 SYN
Jul 9 19:48:38 DENY proto tcp **.***.***.*** 68.x.x.x:21 L=40 S=0x00
I=36807 F=0x0000 T=118 SYN
Jul 9 22:07:31 DENY proto tcp **.***.***.*** 68.x.x.x:21 L=40 S=0x00
I=11944 F=0x0000 T=119 SYN
Jul 9 22:07:31 DENY proto tcp **.***.***.*** 68.x.x.x:21 L=40 S=0x00
I=11944 F=0x0000 T=119 SYN


Alle pc's hebben norton antivir 2004 pro... met de nieuwste defenities. heb ook handmatig elke pc gecheked op trojans.
De pc's worden alleen voor kantoorwerk gebruikt. op 2 na.
Die van mijzelf en een collega (hier downloaden wij ook veel mee)
Beiden scannen wij niet naar poorten. en de enigste *download* software die hier op staat is kazaa, en overnet.


Voor de rest kan ik niks vinden wat dit zou kunnen veroorzaken, en die lui bij abuse@planet zijn ook niet echt behulpzaam.
Ik krijg nog 1 waarschuwing voordat de stekker eruit gaat.
Terwijl ik echt niks zou kunnen vinden.
Zij geven wel aan dat het NIET aan kazaa of overnet kan liggen....

Hoe kan ik nu uitzoeken wat hier de oorzaak van is?

ik gebruik trouwens als server een toshiba magnia sg20 samba/linux server. en een e-tech annex ? router.

Walk without Rythm, and you won't attract the worm!

dinsdag 13 juli 2004 23:24

Acties:
  • Raku
  • Registratie: November 2001
  • Laatst online: 23-09-2022

Raku

Mental Aid

Probeer eens een packetsniffer op je interne netwerk te laten sniffen. Als het goed is moet je wat packets kunnen vinden van dezelfde aard en het IP adres waarvan ie vandaan is gestuurd. Dan kun je verder denk ik wel die PC herinstallen of een andere manier om het op te lossen :)

Raku

dinsdag 13 juli 2004 23:25

Acties:

Verwijderd

Begin eens met Beveiliging en Virussen - Nieuw topic starten door te werken, dat scheelt wat vragen. :)

[ Voor 10% gewijzigd door Verwijderd op 13-07-2004 23:25 ]

dinsdag 13 juli 2004 23:36

Acties:
  • Redwood
  • Registratie: November 1999
  • Laatst online: 08-11 12:36

Redwood

The Truth Is In Here

Topicstarter
ja sorry maar kon er echt niks nuttigs over vinden hoor!

en packetsniffen kan niet, in het log staat namelijk mijn vaste planet internet ip en ik kan dus niet zien vanaf welke individuele pc het komt...


heb net een reaktie van planet....


zij adviseren om ADHOC poort 20 uit te schakelen?
vaag....

Walk without Rythm, and you won't attract the worm!

dinsdag 13 juli 2004 23:41

Acties:
  • RobIII
  • Registratie: December 2001
  • Niet online

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

(overleden)
Agressor schreef op 13 juli 2004 @ 23:36:
ja sorry maar kon er echt niks nuttigs over vinden hoor!

en packetsniffen kan niet, in het log staat namelijk mijn vaste planet internet ip en ik kan dus niet zien vanaf welke individuele pc het komt...


heb net een reaktie van planet....


zij adviseren om ADHOC poort 20 uit te schakelen?
vaag....
De packets komen van binnen uit, en gaan naar buiten toe. Wiedes dat Planet alleen je externe IP ziet. Maar INTERN moet je gewoon kunnen achterhalen waar die packets vandaan komen, dus gewoon sniffen. En vraag het anders eens je systeembeheerder? Want volgens mij ben je niet echt een netwerk-expert (om het zo maar even te zeggen, natuurlijk NOFI)

Verder snap ik niet wat KaZaA en Overnet op een bedrijfsnetwerk doen. Als je dan toch ellende wil binnenhalen is dat natuurlijk met stip de nummer 1 software om dat mee te doen.

Heb je al een online virusscan gedaan?

Oh, enne: ADHOC ;)

[ Voor 5% gewijzigd door RobIII op 13-07-2004 23:48 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

dinsdag 13 juli 2004 23:44

Acties:
  • AdLentis
  • Registratie: Mei 2000
  • Laatst online: 27-10 22:07

AdLentis

Gadget Inspector

Poort 20? Da's de DATA poort van FTP (voor passive FTP transfers).
Je PC voert echter 'attacks' uit op poort 21, de gewone FTP poort... idd vaag dus. :?

Na goed, het idee van sniffen is dat je juist achter dat 'individuele IP-adres' komt. ;)

EDIT:
shit te laat! |:(

[ Voor 19% gewijzigd door AdLentis op 13-07-2004 23:45 ]

Ik ben tenminste niet altijd hypocriet!

dinsdag 13 juli 2004 23:56

Acties:
  • Redwood
  • Registratie: November 1999
  • Laatst online: 08-11 12:36

Redwood

The Truth Is In Here

Topicstarter
offtopic:
ROBIII
Als je nou iets beter gelezen had, netzoals Adlentis
ik weet echt wel wat adhoc is ;-) alleen dat planet adviseert poort 20 uit te zetten..... das niet goed
Maar goed. vergissen is menselijk :D


Ik ben de systeembeheerder van dit bedrijf,
Het is alleen mijn netwerk niet. binnenkort gaan we over naar een nieuw systeem.

Alleen wat er nu gebeurt wist ik dus echt niet.. geen ervaringen hiermee
terwijl alle pc's GOED beveiligd zijn.
Kazaa en overnet staan er op op bepaalde images te downloaden (legaal) voor onze ontwerpafdeling hier is gewoon veel meer, makkelijker en sneller iets op te vinden.


Maar goed. ik ga nu SIFF'M gebruiken om de packets dus te sniffen....

en ondertussen ben ik aan het kijken hoe ik deze poort 21 kan blokkeren... kan er weinig over vinden op de search!

Walk without Rythm, and you won't attract the worm!

woensdag 14 juli 2004 00:01

Acties:
  • RobIII
  • Registratie: December 2001
  • Niet online

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

(overleden)
Agressor schreef op 13 juli 2004 @ 23:56:
offtopic:
ROBIII
Als je nou iets beter gelezen had, netzoals Adlentis
ik weet echt wel wat adhoc is ;-) alleen dat planet adviseert poort 20 uit te zetten..... das niet goed
Maar goed. vergissen is menselijk :D
Waar had ik dat moeten lezen dan? Dat je weet wat ADHOC is. Je zette het in HOOFDLETTERS, dus ik dacht dat je niet begreep wat het was.
Agressor schreef op 13 juli 2004 @ 23:56:
Ik ben de systeembeheerder van dit bedrijf,
Het is alleen mijn netwerk niet. binnenkort gaan we over naar een nieuw systeem.
Als je systeembeheerder bent is het je zaak van het netwerk bepaalde dingen te weten als je het mij vraagt :? En al zeker de basics (zoals hoe je netwerk topografisch in elkaar zit, waar welke routers, switches en hubs, firewalls en ga zo maar door worden gebruikt en waarom enzovoorts)
Agressor schreef op 13 juli 2004 @ 23:56:
Alleen wat er nu gebeurt wist ik dus echt niet.. geen ervaringen hiermee
terwijl alle pc's GOED beveiligd zijn.
Hoe weet je dan dat het "GOED" is? En hoe moeten wij dat ruiken? Ik heb nog geen specs gezien, geen info over WAT voor netwerk (servers, routers, switches, hubs enz) en al helemaal niet over je gateway.
Agressor schreef op 13 juli 2004 @ 23:56:
Kazaa en overnet staan er op op bepaalde images te downloaden (legaal) voor onze ontwerpafdeling hier is gewoon veel meer, makkelijker en sneller iets op te vinden.
Grappig... De meeste legale images (linux distro's, legale content e.d.) kun je makkelijk met tools als GetRight, Flashget enz. downloaden. Daar heb je écht geen KaZaA of Overnet voor nodig volgens mij? En hoe weet je dat die zooi van KaZaA of Overnet niet besmet is als je het niet van de originele bron haalt? Gebruik je MD5 hashes of andere checksums om dat te checken?
Agressor schreef op 13 juli 2004 @ 23:56:
Maar goed. ik ga nu SIFF'M gebruiken om de packets dus te sniffen....
Post je de resultaten? Daar hebben we meer aan ;) Overigens zal de trial versie van SNIFF'EM (niet SIFF'M) alleen incoming data sniffen zoals je kunt lezen op de downloadpagina. Het is maar dat je het weet. Mocht je de "hele" versie hebben, dan heb je dus geen probleem lijkt me, anders wel.
Agressor schreef op 13 juli 2004 @ 23:56:
en ondertussen ben ik aan het kijken hoe ik deze poort 21 kan blokkeren... kan er weinig over vinden op de search!
Als je nou vertelt welke router je gebruikt kunnen wij je dat ook wel vertellen. Maar nogmaals, jouw netwerk of niet, als systeembeheerder zou je dat moeten weten :>

Ow, en in het stuk log dat je post zie ik alleen maar poorten 21 staan (SPT = Source Port, DPT = Destination Port), ik zie geen 20? Hoe komt planet er dan bij om je te adviseren poort 20 te sluiten?

[ Voor 25% gewijzigd door RobIII op 14-07-2004 00:10 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

woensdag 14 juli 2004 00:40

Acties:
  • Redwood
  • Registratie: November 1999
  • Laatst online: 08-11 12:36

Redwood

The Truth Is In Here

Topicstarter
ik gebruik trouwens als server een toshiba magnia sg20 samba/linux server. en een e-tech annex ? router.
laatste zin 1st post!

daarom vond ik het dus vaag dat planet adviseert poort 20 dicht te gooien
je had inderdaad gelijk met die sniff-em,
heb nu ultra network sniffer erop staan...

laat hem alles scannen,
waar moet ik nu op zoeken. naar die poort 21 toch?

[ Voor 3% gewijzigd door Redwood op 14-07-2004 00:45 ]

Walk without Rythm, and you won't attract the worm!

woensdag 14 juli 2004 01:02

Acties:
  • RobIII
  • Registratie: December 2001
  • Niet online

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

(overleden)
Agressor schreef op 14 juli 2004 @ 00:40:

ik gebruik trouwens als server een toshiba magnia sg20 samba/linux server. en een e-tech annex ? router.


laatste zin 1st post!
Nou weet ik in ieder geval nog niks, maar dat komt wellicht omdat ik geen expert ben, maar een wannabee :)
Agressor schreef op 14 juli 2004 @ 00:40:
daarom vond ik het dus vaag dat planet adviseert poort 20 dicht te gooien
je had inderdaad gelijk met die sniff-em,
heb nu ultra network sniffer erop staan...

laat hem alles scannen,
waar moet ik nu op zoeken. naar die poort 21 toch?
Jep. Lijkt me wel. En alle verkeer dat niet hoort plaats te vinden overigens ook. Kijk eens of er 1 PC belachelijk veel pakketjes verstuurt ofzo?

[ Voor 9% gewijzigd door RobIII op 14-07-2004 01:03 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

woensdag 14 juli 2004 19:19

Acties:
  • BoGhi
  • Registratie: Juli 2002
  • Laatst online: 21-09 10:42

BoGhi

Als je poort 21 gewoon poort 21 laat zijn in je netwerk kun je mogelijk ook de verschillende clients (die continu aan staan?) bij langs om daar met netstat te checken wie er een verbinding op poort 21 wil opzetten.

Programmers don't die. They GOSUB without RETURN

woensdag 14 juli 2004 19:26

Acties:
  • Gomez12
  • Registratie: Maart 2001
  • Laatst online: 17-10-2023

Gomez12

Gewoon even een dagje poort 21 blokkeren, zie je vanzelf welke pc gaat schreeuwen.

Of gewoon even kijken welke pc er nog aanstaat om 22:00 uur, vind ik al een vrij vaag tijdstip voor bedrijfspc's...
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq