Help er probeert iemand tracht informatie te stelen

Status
Niet open voor verdere reacties.

kenikavanbis

Terugkerende gebruiker
Lid geworden
22 mei 2007
Berichten
2.120
beste ,
er tracht iemand op linkse wijze gegeven en ip ectra te bemachtigen via onbekende route ??
onderschepte url enkele stukken zijn verandert in ?

/login.lp?nm=1&client=???.???.???.???&server=???.???.???.???&event=ServerConnect&url=??domain.?extentie?/

werd afgeleid naar een netwerk kortsluiting log server
kunnen anderen dit via hun router/firewall ook eens bekijken.
 
Dit is, op zijn minst, een warrige posting.

a. Onderschepte URL naar wat? Naar webmail van een provider, een website, ...?
b. Heb je dit probleem in elke browser of maar in 1 en welke browser is dat dan?
c. Heb je dit probleem ook/nog steeds als je wat standaard adware-removers hebt gebruikt, zoals die in de volgende instructie?
1. Draai Junkware Removal Tool
2. Draai AdwCleaner. Na opstarten klikken op Scan en zodra dat klaar is, klikken op Clean. De pc wordt daarna geherstart, dus sluit alvast alles af en sla daarbij op wat nog opgeslagen moet worden. Na herstart opent de log van AdwCleaner, zodat je kunt zien wat er is weggehaald.

Tijs.
 
Laatst bewerkt:
Dus wat doe ik kijk of mijn eigen site naar het ip van de server verwijst en niet naar een ander ip.
Dus als mijn domein in een url terecht komt (en niet juist ip) zal deze automatisch in die log komen.
Ik dacht dat het nuteloos zou zijn dit te doen maar zo zie je. Ik weet niet naar welk domein het werd gestuurd, doordat ik forward naar mijn eigen testservertje. Ik hoop hiermee anderen te informeren over het fenomeen en als iemand het zelfde tegenkomt mij meer over hoe het komt wie wat hoe.

Ik weet eigenlijk bijna niets enkel de url dat ik poste ? de betreffende computer/ectra moet ik nog uitzoeken. tja ik zal er nog niet mee klaar zijn en hoop dat ik bij de volgende wel voldoen info heb.
 
Kijk via het
tracert "ip-adres"
commando eens of er omwegen gemaakt worden met de verbinding.
Je kunt het ook in een txt file opslaan met:
tracert 123.123.123.123 > c:\temp\logdit.txt
Zet eens zo een txt hier neer...
Neem een aantal ipadressen waarvan je zeker weet hoe ze hun weg er heen vinden.
Wel effe telkens een andere txt naam nemen....
 
Laatst bewerkt:
Ok, lijkt dus een Internet-domein DNS-verhaal of (waarschijnlijker nog) een redirect-verhaal.
Redirect kan vanuit de DNS-provider van je Internet-domein gebeuren of vanaf je webserver zelf.
Uit de startposting kan ik niet halen welke van de 2 iets loopt te redirecten, dus ik wacht op extra informatie.

Tijs.
 
dus route lijkt

1 <1 ms 4 ms <1 ms 192.168.1.??
2 1 ms <1 ms <1 ms 192.168.1.?
3 12 ms 9 ms 10 ms
4 11 ms 10 ms 10 ms lag-79-100.iarmar3.isp.belgacom.be [91.183.242.?]
5 * * * Request timed out.
6 * * 15 ms 80.84.23.94
7 11 ms 10 ms 10 ms 94.102.160.?
8 14 ms 14 ms 14 ms 94.102.160.?
9 16 ms 21 ms 24 ms br1.ams-ix.dc2.ams.denit.net [80.249.209.?]
10 16 ms 23 ms 24 ms 94.126.64.?
11 15 ms 14 ms 15 ms


en van dns detail is dns overschreven door hosts om de 53poorten te verminderen
 
Ik snap (persoonlijk) nog steeds niet waar het hier om gaat, dus als kenikavanbis of andre@home me even kan toelichten, dan kan ik (en andere lezers) ook weer meedenken met het probleem.
[Zie posting #2 waar ik denk dat het webbrowser-gerelateerd zou kunnen zijn, en in posting #5 waar ik denk dat het DNS/webserver/redirect gerelateerd zou kunnen zijn, maar dat gegokte veronderstellingen die bovendien, qua achtergrond, niet aan elkaar gerelateerd zijn.]

Tijs.
 
Laatst bewerkt:
Als je verwacht dat jouw verbindingen omgeleid worden zou dat toch uit de tracert moeten blijken?
Al die ip adressen moet te herleiden naar bekende eigenaren, zeker als je rechtstreeks naar jou provider tracert dan verwacht je niet dat dit via China gaat of zo....
Er zijn vast wel meer sites, maar ik check ip adressen meestal hier:
https://apps.db.ripe.net/search/query.html

Vertrouw je het niet kun je ook vaak het abuse mail adres van dat ip adres/subnet vinden.
Heb daar wel eens een mail naar gestuurd ivm misbruik, zorg wel voor goede documentatie wat jouw probleem is en je allemaal uitgezocht hebt.
Mijn ervaring is dat je meestal wel netjes antwoord krijgt.
 
Laatst bewerkt:
Voor trace gebruik ik volgend script(`locale`= domain extentie en kan ook com.au zijn)
Bekijk bijlage whois.txt
bijlage bevat script zonder werkende randcode van mvc en cms (reden het niet te complex maken.)

Het heeft zich nog niet voor gedaan ondertussen, enkel van middag nog 20 sql injecties van de 5. ... opgemerkt.

ik hoop dat volgende code zijn werk zal doen maar het zal afwachten zijn.
Code:
		function whois($IP){
  			$this->arr = shell_exec('whois '. escapeshellarg($IP));
		}
		/**
		 * info about the route from a server to an other server
		 * Usage:  traceroute 
		 * [-d FIlnrvx] 
		 * [-g gateway] 
		 * [-i iface] 
		 * [-f first_ttl]
		 * [-m max_ttl] 
		 * [ -p port] 
		 * [-q nqueries] 
		 * [-s src_addr] 
		 * [-t tos]
		 * [-w waittime] 
		 * [-z pausemsecs] 
		 * host [packetlen]
		 */
		function traceroute($IP){
  			$this->arr = shell_exec('traceroute '.escapeshellarg($IP));
		}
		private function cantrace(){
			return is_executable('/sbin/traceroute');//LINUX SERVER
		}
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan