Mijn IP adres misbruikt?

[Pieter Arntz]

Een lange en uitgebreide vraag. Ik hoop dat iemand me kan helpen.

In het kort: op zondag 26 januari jl. is er op een server van een forum een poging gedaan om met een 'brute force' hacking progje in de root in te breken.
De logs van de server laten een dataverkeer van 800 MB met mijn IP adres zien.
Op die dag (ik weet het precieze tijdstip niet) werd mijn internetverbinding plotseling verbroken. Dat gebeurt wel vaker, meestal een kwestie van het modem resetten en ik kan weer verder. Dat lukte toen niet meteen en ik ben toen wat anders gaan doen. Een dik uur later nog een keer het modem gereset en ik kon weer het internet op.

Een aantal vragen:

1. Is het mogelijk om een specifiek IP adres te spoofen? Ik hoef geen progjes of zo te weten, maar de theoretische achtergrond is voldoende.

2. Is het mogelijk om mij van het internet af te "drukken" om zo het IP adres over te kunnen nemen?

3. Zijn er meer mensen die die zondag met Planet ADSL geen verbinding hadden, zodat deze twee zaken misschien niets met elkaar te maken hebben?

Even voor de goede orde: ik heb er geen belang bij om die server te hacken en als ik wel iemand zou willen hacken zou ik een anonieme proxy gebruiken.
Mijn computer is en was vrij van alle trojans en virussen die bekend zijn bij TDS-3 en NAV.
Mijn firewall logs gaan niet ver genoeg terug om nog wat te kunnen vinden.

Bij voorbaat dank voor het meedenken,

Pieter

 

[Saviola]

1. Ja, dat is mogelijk.

2. Je hoeft niet eens er af te worden gedrukt. De inbreker neemt je verbinding over. Waardoor het bij jou zeer traag zult gaan.

3. Weet ik niet

Bij een (D)DOS aanval of brute-force wordt vaak gebruikt gemaakt van meerdere computers. Het is dan erg 'handig' om gebruik te maken van computers van andere personen.

 

[Bokkie77]

Geplaatst door Pieter Arntz
1. Is het mogelijk om een specifiek IP adres te spoofen? Ik hoef geen progjes of zo te weten, maar de theoretische achtergrond is voldoende.

Ja, het is mogelijk om een IP-adres te spoofen. Iemand gebruikt dan jouw IP-adres, maar daarvoor moet jou computer wel offline zijn.

Geplaatst door Pieter Arntz
2. Is het mogelijk om mij van het internet af te "drukken" om zo het IP adres over te kunnen nemen?

Ja, het is zeker mogelijk om je van het internet af te "drukken". Dat kan via een zogeheten DOS-aanval. Er wordt zoveel "verkeer" op je IP-adres adres afgestuurt. Bijv. voor de TCP/IP handshake (onderdeel van TCP protocol), als dit zeer veel naar je comp. wordt gestuurd is deze zeer lange tijd bezig met het afhandelen hiervan, waardoor jij niet meer online bent. (dit is 1 van de mogelijkheden).

Ik zou dit toch aangeven bij de Abuse afdeling van Planet, misschien dat zij in hun netwerk iets kunnen achterhalen en de verantwoordelijke kunnen straffen.

 

[Pieter Arntz]

Geplaatst door Bokkie77

Ja, het is zeker mogelijk om je van het internet af te "drukken". Dat kan via een zogeheten DOS-aanval. Er wordt zoveel "verkeer" op je IP-adres adres afgestuurt. Bijv. voor de TCP/IP handshake (onderdeel van TCP protocol), als dit zeer veel naar je comp. wordt gestuurd is deze zeer lange tijd bezig met het afhandelen hiervan, waardoor jij niet meer online bent. (dit is 1 van de mogelijkheden).

Ik zou dit toch aangeven bij de Abuse afdeling van Planet, misschien dat zij in hun netwerk iets kunnen achterhalen en de verantwoordelijke kunnen straffen.

Hoi Bokkie 77,

Ik heb twee programma's die in staat zijn om op een bepaalde poort te luisteren (TDS-3 en Port Explorer).
Kun je op die manier voorkomen dat je offline gedwongen wordt?

Ik wil het niet alleen aangeven bij abuse@planet.nl maar ook hun logs over mijn IP van die dag opvragen.
Zouden ze die verstrekken?

@Saviola

Bedankt voor je antwoorden, maar bij de inbraakpoging werd niet de server aangevallen door verschillende computers, maar er werd een poging gedaan om in de root te komen vanaf één IP adres. Ik neem aan om achter passwords e.d. te komen.
Dat verandert de zaak, neem ik aan.

Groetjes,

Pieter

 

[JPeetje]

en als voor 3:
Ik heb MxStream van Planet Internet (comfort) en ik ben er zondag de hele dag op geweest

 

[Pieter Arntz]

Geplaatst door JPeetje
en als voor 3:
Ik heb MxStream van Planet Internet (comfort) en ik ben er zondag de hele dag op geweest

JPeetje,

Thnx. Even voor de zekerheid: het gaat over zondag 26 januari.
En het kan om verschillende servers van Planet gaan, dus anderen die dat nog weten: input blijft welkom.

Groetjes,

Pieter

 

[Saviola]

Geplaatst door Pieter Arntz
@Saviola

Bedankt voor je antwoorden, maar bij de inbraakpoging werd niet de server aangevallen door verschillende computers, maar er werd een poging gedaan om in de root te komen vanaf één IP adres. Ik neem aan om achter passwords e.d. te komen.
Dat verandert de zaak, neem ik aan.

Groetjes,

Pieter

Dat verandert de zaak eigenlijk niet. Een aanval met meerdere computers is alleen effectiever.
Maar weet je zeker dat het een brute-force was? Het lijk meer op een DOS aanval (als er meerdere computers gebruikt waren was het een DDOS aanval).

 

[Pieter Arntz]

Saviola,

Sorry dat ik onduidelijk ben. Ik heb er dan ook niet zoveel verstand van. (Gelukkig maar, anders zouden ze nog echt denken, dat ik het was geweest).
Wat ik ervan begrepen heb sloeg het "brute force" op het programma dat ze gebruikt hebben om het root-password te kraken. Het is onzeker of dit gelukt is, maar er zijn tot nu toe nog geen gekke dingen gebeurd.

Groetjes,

Pieter

 

[Edwin30]

Hai Pieter, ik ben die dag ook via Planet ADSL gewoon op internet geweest, maar mijn log heb ik nog wel.
Er staan heel wat blocks in (outbound UDP, service nbname)
Heb je hier misschien iets aan?

 

[Saviola]

Geplaatst door Pieter Arntz
Saviola,

Sorry dat ik onduidelijk ben. Ik heb er dan ook niet zoveel verstand van. (Gelukkig maar, anders zouden ze nog echt denken, dat ik het was geweest).
Wat ik ervan begrepen heb sloeg het "brute force" op het programma dat ze gebruikt hebben om het root-password te kraken. Het is onzeker of dit gelukt is, maar er zijn tot nu toe nog geen gekke dingen gebeurd.

Groetjes,

Pieter

Heb je de logs van de server nog? Of kan ik die ergens bekijken? Zo niet, weet je nog wat er hebt opgevraagd door jou IP-adres? Bepaalde bestanden of zo. En op welke poort hebben ze die aanval gepleegd? FTP?

 

[Bokkie77]

Geplaatst door Pieter Arntz


Hoi Bokkie 77,

Ik heb twee programma's die in staat zijn om op een bepaalde poort te luisteren (TDS-3 en Port Explorer).
Kun je op die manier voorkomen dat je offline gedwongen wordt?

Ik wil het niet alleen aangeven bij abuse@planet.nl maar ook hun logs over mijn IP van die dag opvragen.
Zouden ze die verstrekken? Pieter

Nee, je kunt het bijna niet voorkomen. Er wordt zoveel verkeer gegenereerd, dat voordat je ook maar iets door hebt je internet al down is. Misschien zelfs je gehele systeem. Tevens is het ook zo dat je niet weet op welke poort het gedaan wordt. Wel kun je proberen om uit te zoeken welke poorten je open hebt staan en deze allemaal laten controleren. Misschien dat dat iets helpt. En dat je op tijd je comp. kunt uitzetten en bijv. vijf minuten later weer aan, dan moet jij het IP-adres namelijk weer overnemen.

(als je niet in staat bent om een poortscan te doen, stuur me dan ff een PB-tje met je IP-adres, dan zal ik het vanaf mijn werk doen en het resultaat in een PB terug sturen).

 

[Pieter Arntz]

Geplaatst door Saviola


Heb je de logs van de server nog? Of kan ik die ergens bekijken? Zo niet, weet je nog wat er hebt opgevraagd door jou IP-adres? Bepaalde bestanden of zo. En op welke poort hebben ze die aanval gepleegd? FTP?

@Saviola,

Logs ga ik wel opvragen. Als je denkt dat je er iets mee kunt, mag je wel even je e-mail adres in mijn PB zetten.
Als ik ze dan krijg stuur ik je wel een kopie.

@Edwin30,

Thnx voor het aanbod, maar aan jouw logs heb ik niet zoveel. Maar de kans dat het een storing bij Planet betrof wordt wel steeds kleiner.

Groetjes,

Pieter

 

[stormtrooper]

Hoi

dit is dus de eerste keer dat ik hier ben
maar ik wil even reageren op dit bericht
ik kon op die datum ook niet op het internet komen en mijn provider is ook planet
ik kon er s'avond's naar 22.00 uur weer op

Groeten Rob

 

[Pieter Arntz]

Geplaatst door Bokkie77

(als je niet in staat bent om een poortscan te doen, stuur me dan ff een PB-tje met je IP-adres, dan zal ik het vanaf mijn werk doen en het resultaat in een PB terug sturen).

Hoi Bokkie 77,

Ik had een paar dagen daarvoor nog de hele PCFlank riedel doorstaan, dus ik denk niet echt dat ik poorten open heb staan.
Maar als ik dit uitgezocht heb maken we wel een keer een scanafspraak.

@ stormtrooper,

Welkom op helpmij. Weet jij nog hoe laat het begon dat je niet meer kon internetten?

Groetjes,

Pieter

 

[nteusink]

Geplaatst door Pieter Arntz
Een aantal vragen:

1. Is het mogelijk om een specifiek IP adres te spoofen? Ik hoef geen progjes of zo te weten, maar de theoretische achtergrond is voldoende.

2. Is het mogelijk om mij van het internet af te "drukken" om zo het IP adres over te kunnen nemen?

3. Zijn er meer mensen die die zondag met Planet ADSL geen verbinding hadden, zodat deze twee zaken misschien niets met elkaar te maken hebben?

1. Spoofen is mogelijk, maar bij deze aanval denk ik niet. Bij planet is er toch een vorm van username/password authenticatie dus "zomaar" een ip adres overnemen gaat lijkt mij niet werken (dit aannemend dat het security-model van planet een beetje goed in elkaar zit). Bij een DDOS aanval is dit inderdaad wel mogelijk omdat het voor de aanvaller dan immers niet nodig is om data terug te krijgen. Ik zou sowieso mijn planet wachtwoord even veranderen als ik jou was, vooral als je het nog ergens anders gebruikt.

2. Er vanaf drukken is inderdaad mogelijk met (D)DOS, overnemen is een ander verhaal.

3. Planet doet de laatste tijd sowieso vreemd en heeft veel storingen, die dag kan ik me niets herinneren.

Gezien het feit dat je weet dat onder jou ip adres het forum aangevallen is neem ik aan dat je zelf al bekend was met dat forum. Houdt er rekening mee dat de server al gekraakt kan zijn en de logs dus niet betrouwbaar meer zijn. Ze kunnen aangepast zijn zodat jouw ip adres er nu staat, of misschien is het incident helemaal niet gebeurt en heeft iemand alleen een groot log aangemaakt met jouw adres erin.

Ik zal sowieso even contact op nemen met abuse@planet.nl of security@planet.nl, misschien dat zij kunnen kijken of er daadwerkelijk activiteit op je account was op dat moment. Dit blijft natuurlijk een beetje gokken.

De serverlogs zou ik ook wel eens willen zien.

 

[windoos]

Voor wat 't waard is:
Scan je systeem ook op aanwezige trojans/ wormen.
Daarbij kan men via cache bestanden e.e.a. achterhalen over mogelijke passwords, via dubieuze progjes.
succes ermee.

 

[Pieter Arntz]

Geplaatst door Pieter Arntz

Mijn computer is en was vrij van alle trojans en virussen die bekend zijn bij TDS-3 en NAV.

@windoos,

Enig idee waar ik zou moeten scannen als deze twee niks vinden.

Groetjes,

Pieter

 

[windoos]

Nee, sorry Pieter, ik zei ook voor wat 't waard is...
Wat je wel zou kunnen overwegen: de poorten en de communicatie in de gaten houden, kijk hier voor de vaak gebruikte (lees: misbruikte) poorten en hun uhm...ga(s)theer. Nogmaals succes. (verdere info)

 

[Pieter Arntz]

@ windoos,

Dat kwam een beetje rottig over. Maar ik zal je uitleggen waar ik van baal.
Op mijn computer zijn geinstalleerd:

NAV 2003 PE
TDS-3
Sygate Personal Firewall 5.0 Pro
Port Explorer
Adaware 6 Pro
Spybot S&D
Pest Patrol
System Safety Monitor
Wormguard
Script Sentry
SpywareBlaster
SpywareGuard
FileChecker
SocketLock

Allemaal volledig geupdate, Windows volledig gepatched, zoveel mogelijk services uit
en dat achter een getweaked Ethernet modem. En dan nog krijgt iemand het voor elkaar om me in de boven uitgelegde situatie te brengen.
En dan controleer ik nog regelmatig of er geen poortje openstaat en of alles nog wel werkt.
Ik hoop dat je er begrip voor op kunt brengen.

Groetjes,

Pieter

 

[windoos]

Geplaatst door Pieter Arntz
[B
Ik hoop dat je er begrip voor op kunt brengen.
[/B]

Uiteraard, ik heb er ook geen verstand van, maar wilde helpen...zat ik nog te denken of jij wellicht iets doet met draadloze verbindingen/ netwerken e.d. Je kunt zo veel programma's hebben lopen, maar ik weet niet of je een tijdje geleden Radar hebt gezien? Daar deden ze e.e.a. uit de doeken.http://www.tweakers.net/nieuws/24146/?highlight=radar