Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Onbekend verkeer en verdacht IP?
Hallo allemaal,
Ik heb sinds een een maand Kaspersky PURE 2.0 geïnstalleerd. Ik was zojuist even wat opties aan het bekijken en kwam iets tegen bij de 'Netwerkmonitor' wat ik een beetje verdacht vindt.
Bij de optie om te zien welk programma voor welk verkeerd verantwoordelijk is kwam ik iets aparts tegen.
Namelijk bij categorie 'Systeem' was het uitgaande verkeer 42,3 GB.
Eerst dacht ik dat dit een totaal van alles was, maar als ik alles van alle programma's optel kom ik net aan op 2-3GB.
Ik vroeg me dus af waar dat verkeer heen gaat en ben gaan kijken naar de 'Open poorten' functie in Kasperky en daar staan vier
verbindingen met IP addressen waar ik van schrok toen ik ze opzocht met WHOIS.
Afbeelding van de 'Netwerkmonitor' gegevens.
http://s2.postimage.org/w00ti0mk9/hmm.png
En een link naar de WHOIS gegevens van dat IP adres.
http://whois.domaintools.com/25.182.126.89
Mijn uiteindelijke vragen zijn:
Kan iemand mij uitleggen wat dit verkeer zou kunnen zijn?
Waarom maakt mijn PC verbinding met dat IP adres.
Heel erg bedankt voor het lezen.
Overige informatie:
- ik heb een legale Windows 7 Professional licentie.
- Ik heb geen 'Gecrackte' software op m'n PC
Zeg het maar als jullie meer moeten weten.
Ik heb sinds een een maand Kaspersky PURE 2.0 geïnstalleerd. Ik was zojuist even wat opties aan het bekijken en kwam iets tegen bij de 'Netwerkmonitor' wat ik een beetje verdacht vindt.
Bij de optie om te zien welk programma voor welk verkeerd verantwoordelijk is kwam ik iets aparts tegen.
Namelijk bij categorie 'Systeem' was het uitgaande verkeer 42,3 GB.
Eerst dacht ik dat dit een totaal van alles was, maar als ik alles van alle programma's optel kom ik net aan op 2-3GB.
Ik vroeg me dus af waar dat verkeer heen gaat en ben gaan kijken naar de 'Open poorten' functie in Kasperky en daar staan vier
verbindingen met IP addressen waar ik van schrok toen ik ze opzocht met WHOIS.
Afbeelding van de 'Netwerkmonitor' gegevens.
http://s2.postimage.org/w00ti0mk9/hmm.png
En een link naar de WHOIS gegevens van dat IP adres.
http://whois.domaintools.com/25.182.126.89
Mijn uiteindelijke vragen zijn:
Kan iemand mij uitleggen wat dit verkeer zou kunnen zijn?
Waarom maakt mijn PC verbinding met dat IP adres.
Heel erg bedankt voor het lezen.
Overige informatie:
- ik heb een legale Windows 7 Professional licentie.
- Ik heb geen 'Gecrackte' software op m'n PC
Zeg het maar als jullie meer moeten weten.
Reacties (7)
Dat zijn zeer waarschijnlijk inkomende verbindingen.
Kennelijk ligt je PC wijd open en is er iemand die je via NETBIOS geconnect heeft.
Deze persoon heeft waarschijnlijk toegang tot je bestanden en dergelijke.
Ik vind het vreemd dat je deze poorten open hebt staan, dit zijn juist de belangrijkste poorten om af te sluiten in een firewall.
Kennelijk ligt je PC wijd open en is er iemand die je via NETBIOS geconnect heeft.
Deze persoon heeft waarschijnlijk toegang tot je bestanden en dergelijke.
Ik vind het vreemd dat je deze poorten open hebt staan, dit zijn juist de belangrijkste poorten om af te sluiten in een firewall.
08-01-2013, 23:36 door
Erik van Straten
Op 1 van m'n PC's draai ik ook Kaspersky Pure (echter op een XP PC) en kan de vensters dus reproduceren, alleen hebben ze bij mij wel een heel andere inhoud.
Om te beginnen het linker venster in http://s2.postimage.org/w00ti0mk9/hmm.png: daarin zie je Open poorten, d.w.z. poorten waarmee jouw PC staat te luisteren naar inkomende TCP verbindindingen of inkomende UDP pakketjes.
Op mijn PC heb ik NBT (NetBIOS over TCP/IP) uitgezet. Om die reden luistert mijn PC niet meer op de UDP poorten 137 en 138, noch op TCP 139 (alle SMB verkeer loopt via TCP 445).
Het lijkt erop dat de netwerkkaart (of netwerkkaarten) in jouw PC 2 IP-adressen heeft (hebben), namelijk 192.168.1.100 (niet gek) en 25.182.126.89 (vreemd). Ik kan de volgende verklaringen bedenken:
1) Kaspersky is totaal de weg kwijt;
2) Je hebt verbinding (evt. via WiFi) met een DHCP server (router/access point of stand-alone) die absurd geconfigureerd is, namelijk om gebruik te maken van een IP reeks die toebehoort aan het UK ministry of Defence. Nb. het zou hierbij ook om een VPN verbinding bijv. met jouw werk kunnen gaan;
3) Je hebt helemaal niet zo'n verbinding maar Windows is totaal de weg kwijt;
4) Iemand heeft ooit dat IP-adres statisch geconfigureerd op 1 van jouw (mogelijk virtuele) netwerkadapters;
5) Je hebt een 2e hands PC die ooit van het UK ministry of Defence geweest is;
6) Je bent een spook (spreek uit als spoek met een lange oe) maar weet het niet meer (Bourne misschien? ;)
7) Je bent een verdachte van het UK ministry of defence en zij hebben de slechtste rootkit die zij hebben aan jou opgeofferd.
Uit niets van wat je laat zien blijkt een relatie tussen IP adres 25.182.126.89 (met luisterende poorten 137 t/m 139) en de wel heel grote hoeveelheid uitgaand verkeer onder "Systeem". Ik heb ergens eind vorig jaar de tellers gereset, maar de afgelopen maand ging het bij "System" om 481KB incoming en 106KB outgoing (nogmaals, XP, lastig te vergelijken met W7). Hou er rekening mee dat het adres 25.182.126.89 helemaal niets met de hoeveelheid uitgaand verkeer onder "Systeem" te maken hoeft te hebben.
Vertel ons ook of je VPN's (naar je werk) gebruikt, virtuele systemen (VMware etc) draait, zowel WiFi als UTP ethernet gebruikt etc.
Aanvalsplan (ervan uitgaande dat je geen spook met geheugenverlies bent):
- Draai ipconfig /all in een command promt (dos box) en vertel ons wat je ziet. Hiermee kunnen we vaststellen of getoonde IP-adressen daadwerkelijk aan jouw PC gekoppeld zijn. Draai ook: route print
- Probeer in Kaspersky vast te stellen wanneer de bulk van het netwerkverkeer is verzonden. De balkengrafiek onderin "Netwerkverkeer" kan wellicht een indicatie geven.
- Download een "off-line" virusscanner en scan daarmee jouw PC. Off-line = zonder dat Windows op jouw PC draait, dus een virusscanner op een bootable CD/DVD of USB stick.
- Bekijk zomogelijk jouw dataverbruik bij je ISP en/of in je router om vast te stellen of er echt zoveel verkeer uitgegaan is.
Wat ik op het laatst nog bedenk: het kan zijn dat Windows heel veel broadcast verkeer verzendt vanaf jouw PC (o.a. de zogenaamde browser service, ik heb dat soort crap allemaal uit staan) maar ook ARP requests. Wellicht heb je een printer aan jouw PC hangen (via USB), die willen ook nog wel eens wat broadcastverkeer veroorzaken.
Succes, en ik ben benieuwd!
Om te beginnen het linker venster in http://s2.postimage.org/w00ti0mk9/hmm.png: daarin zie je Open poorten, d.w.z. poorten waarmee jouw PC staat te luisteren naar inkomende TCP verbindindingen of inkomende UDP pakketjes.
Op mijn PC heb ik NBT (NetBIOS over TCP/IP) uitgezet. Om die reden luistert mijn PC niet meer op de UDP poorten 137 en 138, noch op TCP 139 (alle SMB verkeer loopt via TCP 445).
Het lijkt erop dat de netwerkkaart (of netwerkkaarten) in jouw PC 2 IP-adressen heeft (hebben), namelijk 192.168.1.100 (niet gek) en 25.182.126.89 (vreemd). Ik kan de volgende verklaringen bedenken:
1) Kaspersky is totaal de weg kwijt;
2) Je hebt verbinding (evt. via WiFi) met een DHCP server (router/access point of stand-alone) die absurd geconfigureerd is, namelijk om gebruik te maken van een IP reeks die toebehoort aan het UK ministry of Defence. Nb. het zou hierbij ook om een VPN verbinding bijv. met jouw werk kunnen gaan;
3) Je hebt helemaal niet zo'n verbinding maar Windows is totaal de weg kwijt;
4) Iemand heeft ooit dat IP-adres statisch geconfigureerd op 1 van jouw (mogelijk virtuele) netwerkadapters;
5) Je hebt een 2e hands PC die ooit van het UK ministry of Defence geweest is;
6) Je bent een spook (spreek uit als spoek met een lange oe) maar weet het niet meer (Bourne misschien? ;)
7) Je bent een verdachte van het UK ministry of defence en zij hebben de slechtste rootkit die zij hebben aan jou opgeofferd.
Uit niets van wat je laat zien blijkt een relatie tussen IP adres 25.182.126.89 (met luisterende poorten 137 t/m 139) en de wel heel grote hoeveelheid uitgaand verkeer onder "Systeem". Ik heb ergens eind vorig jaar de tellers gereset, maar de afgelopen maand ging het bij "System" om 481KB incoming en 106KB outgoing (nogmaals, XP, lastig te vergelijken met W7). Hou er rekening mee dat het adres 25.182.126.89 helemaal niets met de hoeveelheid uitgaand verkeer onder "Systeem" te maken hoeft te hebben.
Vertel ons ook of je VPN's (naar je werk) gebruikt, virtuele systemen (VMware etc) draait, zowel WiFi als UTP ethernet gebruikt etc.
Aanvalsplan (ervan uitgaande dat je geen spook met geheugenverlies bent):
- Draai ipconfig /all in een command promt (dos box) en vertel ons wat je ziet. Hiermee kunnen we vaststellen of getoonde IP-adressen daadwerkelijk aan jouw PC gekoppeld zijn. Draai ook: route print
- Probeer in Kaspersky vast te stellen wanneer de bulk van het netwerkverkeer is verzonden. De balkengrafiek onderin "Netwerkverkeer" kan wellicht een indicatie geven.
- Download een "off-line" virusscanner en scan daarmee jouw PC. Off-line = zonder dat Windows op jouw PC draait, dus een virusscanner op een bootable CD/DVD of USB stick.
- Bekijk zomogelijk jouw dataverbruik bij je ISP en/of in je router om vast te stellen of er echt zoveel verkeer uitgegaan is.
Wat ik op het laatst nog bedenk: het kan zijn dat Windows heel veel broadcast verkeer verzendt vanaf jouw PC (o.a. de zogenaamde browser service, ik heb dat soort crap allemaal uit staan) maar ook ARP requests. Wellicht heb je een printer aan jouw PC hangen (via USB), die willen ook nog wel eens wat broadcastverkeer veroorzaken.
Succes, en ik ben benieuwd!
of kijk eens met wireshark wat het verkeer op die poorten is misschien kun je dan achterhalen welke applicatie ermee vandoen heeft. maar weet je ook van hoelang het is. als die over een periode van een aantal jaar is dan kom je er wss wel op.
10-01-2013, 16:10 door
User2048
Nog een optie:
8) Je PC maakt deel uit van een botnet en de server van het ministerie is gehackt en maakt ook deel uit van het botnet.
8) Je PC maakt deel uit van een botnet en de server van het ministerie is gehackt en maakt ook deel uit van het botnet.
10-01-2013, 21:48 door
MrTre
Is er toevallig LogMeIn Hamachi op de computer geïnstalleerd? Dat was het eerste waar ik aan dacht bij het 25.x adres.
Ik gebruik het, en de pc hebben een viruteel ipadres wat begint met 25.x.x.x.
Ik gebruik het, en de pc hebben een viruteel ipadres wat begint met 25.x.x.x.
11-01-2013, 02:08 door
ricardoz
Sorry dat ik nu pas reageer! Ik heb het een beetje druk.
Bedankt voor de zeer informatieve post Erik.
Ik heb even bij mijn netwerkadapters gekeken en zag dat het m'n Hamachi adapter was die het IP 25.182.126.89 had.
Ik heb het maar verwijderd want ik gebruik het toch nooit.
De 42,3 GB uitgaand verkeer vind ik nog steeds een beetje vaag. Als ik het verbruik sorteer op datum in Kaspersky dan laat hij zien dat het verkeer allemaal in de laatste week van December was. Mijn PC heeft toen bijna de hele week uitgestaan.
Ik zal even mijn PC een dag of 3 aan laten staan en dan de upload verkeer in m'n router bekijken.
Heel erg bedankt voor de reacties allemaal.
Bedankt voor de zeer informatieve post Erik.
Ik heb even bij mijn netwerkadapters gekeken en zag dat het m'n Hamachi adapter was die het IP 25.182.126.89 had.
Ik heb het maar verwijderd want ik gebruik het toch nooit.
De 42,3 GB uitgaand verkeer vind ik nog steeds een beetje vaag. Als ik het verbruik sorteer op datum in Kaspersky dan laat hij zien dat het verkeer allemaal in de laatste week van December was. Mijn PC heeft toen bijna de hele week uitgestaan.
Ik zal even mijn PC een dag of 3 aan laten staan en dan de upload verkeer in m'n router bekijken.
Heel erg bedankt voor de reacties allemaal.
11-01-2013, 03:27 door
Erik van Straten
Door ricardoz: Sorry dat ik nu pas reageer! Ik heb het een beetje druk.
No problemo!Ik heb even bij mijn netwerkadapters gekeken en zag dat het m'n Hamachi adapter was die het IP 25.182.126.89 had.
Ah, in http://b.logme.in/2012/11/07/changes-to-hamachi-on-november-19th/ staat o.a. dat Hamachi 5.x.y.z adressen zijn gewijzigd in 25.x.y.z omdat 5.*.*.* in gebruik zou zijn (bizar verhaal, alsof 25.*.*.* niet in gebruik is...)Anyway, de oorzaak van dat bizarre UK defence adres is verklaard!
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.