Vraag & Antwoord

Beveiliging & privacy

inbraakpoging

Anoniem
Robertnl
17 antwoorden
  • Hallo,
    Het kan toeval zijn, maar indien ik verbonden ben met Computer!Totaal krijg ik zeer regelmatig een poging tot inbraak in mijn computersysteem. Het is inderdaad vreemd, want bij bezoek aan andere websites kan ik de computer urenlang aan laten staan, zonder dat er iets gebeurt.

    De mededeling die ik bij mijn verbinding met C!T krijg via Norton Internet Security krijg is:
    HTTP_IIS_ISAPI_Extension. De laatste keer binnengekomen via 216.119.138.197 (stheimer suite 200 Houston Tx77036). Ach, dit laatste zegt niets, dat weet ik ook wel, maar kan iemand mij vertellen wat de HTTP mededeling inhoudt.

    Alvast bedankt voor het antwoord,

    Robert
  • volgens mij is het een chello user !?
  • http://securityresponse.symantec.com/avcenter/security/Content/2002.03.01.html

    kijk daar maar eens… staat wel uitleg over deze melding

    [code:1:ba316c87e8]Buffer overflow in ISAPI extension (idq.dll) in Index Server 2.0 and Indexing Service 2000 in IIS 6.0 beta and earlier allows remote attackers to execute arbitrary commands via a long argument to Internet Data Administration (.ida) and Internet Data Query (.idq) files such as default.ida, as commonly exploited by Code Red[/code:1:ba316c87e8]

    ben er niet helemaal in thuis, maar lijkt wel op een soort Ddos aanval op jouw, of misschien via jou….

    dat het net gebeurd als je hier komt, is wel heel toevallig
  • bedankt voor het meedenken, het is inderdaad erg toevallig, dat ik de mededeling krijg bij het ingelogd zijn bij C!T. Maar goed ik ben weer een informatie site rijker (Symantec)
    groeten,

    Robert
  • Ik denk dat het geen toeval is dat het gebeurt bij C!T. Als de site draait op IIS server, is de kans vrij groot dat Symantec een signaal verkeerd interpreteert. Had ik onlangs ook toen mijn vriend op mijn PC een ssh-verbinding legde met een server, de meest vreselijke meldingen van Symantec, uitroeptekentjes in het ikoontje, aanval was afgewend, terwijl er dus helemaal niets aan de hand was.

    Kortom: ik draai weer Kerio Personal Firewall, die is tenminste niet zo paranoïde.
  • [quote:e1a134fc5e="BrigitteW"]Ik denk dat het geen toeval is dat het gebeurt bij C!T. Als de site draait op IIS server, is de kans vrij groot dat Symantec een signaal verkeerd interpreteert. [/quote:e1a134fc5e]

    C!T draait niet op IIS, typ maar eens iets in als http://www.computertotaal.nl/bla.htm . Dan zie je dit:
    [quote:e1a134fc5e]Apache/1.3.27 Server at www.computertotaal.nl Port 80[/quote:e1a134fc5e]
  • Supersnail, ik vond het verhaal van BrigitteW wel plausibel, maar impliceert jouw opmerking ook het feit dat Norton iets te paranoïde is. Ik heb namelijk begrepen dat er ook 'valse' inrbraakmeldingen kunnen voorkomen, die - net zoals BrigitteW schrijft - niets met een inbraak van doen hebben.

    Groeten,
    Robert
  • OrgName: World Trade Network, Inc.
    OrgID: WTNI

    NetRange: 216.119.128.0 - 216.119.175.255
    CIDR: 216.119.128.0/19, 216.119.160.0/20
    NetName: ARIN-BLK-1
    NetHandle: NET-216-119-128-0-1
    Parent: NET-216-0-0-0-0
    NetType: Direct Allocation
    NameServer: VOYAGER.WT.NET
    NameServer: NS3.WT.NET
    Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
    RegDate: 1998-11-13
    Updated: 2001-06-29

    TechHandle: KL375-ARIN
    TechName: Leung, Tom
    TechPhone: +1-713-965-0485
    TechEmail: tom@wt.net

    ARIN Whois database, last updated 2002-12-19 20:00
    Enter ? for additional hints on searching ARIN's Whois database.
  • [quote:93c4816f0d="Robertnl"]Supersnail, ik vond het verhaal van BrigitteW wel plausibel, maar impliceert jouw opmerking ook het feit dat Norton iets te paranoïde is. Ik heb namelijk begrepen dat er ook 'valse' inrbraakmeldingen kunnen voorkomen, die - net zoals BrigitteW schrijft - niets met een inbraak van doen hebben.

    Groeten,
    Robert[/quote:93c4816f0d]

    Tja, ik heb geen ervaring met Norton (ik gebruik zelf iptables/netfilter in linux en zonealarm in windows). Maar ik vind dat de meeste firewalls behoorlijk paranoïde zijn. Die vatten een simpele port-scan op als een inbraakpoging.
    Maar zoals ik al zei weet ik niet uit eigen ervaring hoe dat zit met Norton.
  • Als je dit soort meldingen geeft is het ook wel handig als je de poortnummers van source en destination aangeeft.

    Naar alle waarschijnlijkheid betreft deze melding een Code-Red worm melding. http://www.cert.org/advisories/CA-2001-19.htm. Dat dit gebeurd terwijl je op de C!T site bent is puur toeval.

    Ik draai ook iptables onder linux en zie dat er nog steeds om de 2-5 minuten een worm scan komt van het virus opaserv. Heb je daar ook veel last van Supersnail of doe je geen full log ?
  • Ik doe geen full log. ik ben zuinig op mijn schijfruimte :). Hoeveel schijfruimte kost dat eigenlijk?
  • Zet het gewoon een keer aan en kijk hoeveel ruimte het kost.
  • [quote="[DarthV]"]Als je dit soort meldingen geeft is het ook wel handig als je de poortnummers van source en destination aangeeft.

    DarthV, kijk even naar mijn beginvraag, daar wilde ik een antwoord op hebben. Volgens mij staat daar de source en destination bij alleen niet het poortnummer, dit is poort 80 en protocol TCP

    Bij Norton Internet Security wordt een volledig logbestand bijgehouden, altijd gemakkelijk, indien niet gewist ondertussen. om even iets na te kijken.

    Robert
  • [quote:49f6d1e4f6="Sjoerd Boerhout"]Zet het gewoon een keer aan en kijk hoeveel ruimte het kost.[/quote:49f6d1e4f6]

    Ik heb het nu aangezet. Ik laat het jullie wel weten.
  • [quote:b805f274c9]Ik doe geen full log. ik ben zuinig op mijn schijfruimte . Hoeveel schijfruimte kost dat eigenlijk?[/quote:b805f274c9]

    Op een onbelaste server (dus zonder services open van buitenaf) bij mij ongeveer 200-300 kb per week. Daarbij draai ik ook logrotate zodat iedere week mijn firewall logs gecompressed worden, wat natuurlijk ook veel schijfruimte bespaard. En eigenlijk zijn de log files 200-300 kb groot omdat het merendeel poort 137/udp scans zijn van het opaserv virus (om de 10 minuten).

    Dus het valt allemaal best mee :wink:

    [quote:b805f274c9]DarthV, kijk even naar mijn beginvraag, daar wilde ik een antwoord op hebben. Volgens mij staat daar de source en destination bij alleen niet het poortnummer, dit is poort 80 en protocol TCP [/quote:b805f274c9]

    Nou robertnl dit is belangrijk omdat je uit de poortnummers vaak op kunt maken waar het om draait. Veel virussen gebruiken bijvoorbeeld een standaard bron poort waarmee ze zichzelf proberen te vermenigvuldigen. Waarschijnlijk is het bij de scan van jou ook zo dat het een worm virus is die probeert binnen te dringen. Maar de firewall houd het goed tegen.
  • [quote:f5d488685c="[DarthV]"]En eigenlijk zijn de log files 200-300 kb groot omdat het merendeel poort 137/udp scans zijn van het opaserv virus (om de 10 minuten).[/quote:f5d488685c]

    Als je het over de duivel hebt…. Ik wist niet dat het om udp ging. Ik heb het aangezet en een minuut later
    [quote:f5d488685c]INPUT udp: IN=ppp0 OUT= MAC= SRC=xxx.xxx.xxx.xxx DST=xxx.xxx.xxx.xxx LEN=78 TOS=0x00 PREC=0x00 TTL=111 ID=8754 PROTO=UDP SPT=1030 DPT=137 LEN=58
    INPUT udp: IN=ppp0 OUT= MAC= SRC=xxx.xxx.xxx.xxx DST=xxx.xxx.xxx.xxx LEN=78 TOS=0x00 PREC=0x00 TTL=112 ID=22241 PROTO=UDP SPT=1028 DPT=137 LEN=58
    INPUT udp: IN=ppp0 OUT= MAC= SRC=xxx.xxx.xxx.xxx DST=xxx.xxx.xxx.xxx LEN=78 TOS=0x00 PREC=0x00 TTL=111 ID=1897 PROTO=UDP SPT=1030 DPT=137 LEN=58
    [/quote:f5d488685c]

    Ik heb de ipadressen vervangen door xxx.xxx.xxx.xxx. Ik ga geen ip-adressen plaatsen op een publiek forum.

    [edit]En inmiddels is er weer een bijgekomen, dus ik heb er ook last van :) [/edit]
  • Als die inbraakpogingen het meest op C!T site gebeuren, kan het een vraag om cookie's zijn en dat jouw firewall zeer oplettend in gesteld is, waardoor die cookie's wantrouwt. Heb je dit ook bij andere site's waar je je moet inloggen?

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.