Computerbeveiliging - Hoe je bad guys buiten de deur houdt

IANA.net of org stuurt wormen??

04-08-2012, 11:27 door Anoniem, 10 reacties
Hallo,
Ik zit vrij regelmatig op een chatbox en soms merk ik dat Kaspersky een aanval wist te blokkeren van buitenuit.
Dit weet Kaspersky te melden:
Netwerkaanval blokker Gevonden: Intrusion.Win.MSSQL.worm.Helkern AfwezigUDP van 200.35.51.126 naar lokale poort 1434
Als je 200.35.51.126 (niet altijd dezelfde, veranderen soms) gaat nazoeken kom ik steeds uit op http://www.iana.net/.
Bij het nalezen op het net zijn er nog wel mensen die hier blijkbaar hun twijfels aan hebben aan dit Iana.net en dan vraag ik mij af is dit wel zuiver op de graat?
Ik heb er geen idee van wat ik mij hier verder moet bij voorstellen? Iemand?
(is dat een botnet misschien???)
Met dank bij voorbaat.
Reacties (10)
05-08-2012, 14:04 door Army
Hoe kom je tot die conclusie dat IANA je dingen stuurt? Het IP-adres wat je noemt ligt in Colombia en de port die je noemt is gereserveerd voor MS SQL om databases te kunnen monitoren.
05-08-2012, 16:00 door Anoniem
topicschrijver

Naar alle waarschijnlijkheid is dat iemand die een proggie installeerde waar men IP's vanuit een ander land tijdelijk toegewezen krijgt om de boel te omzeilen.(proxy zootje of zo, geen idee van)
Hoe ik bij IANA (http://www.iana.net/) kwam is vrij simpel hoor. Ik heb deze of de andere die die persoon toegewezen kreeg ff door Ripe laten lopen en die gaf IANA.net weer. (http://www.ripe.net/)
Kan zijn dat ik aan overreacting maar ja.
05-08-2012, 20:08 door Anoniem
lees ff http://www.iana.net/abuse

het lijkt me hoogst onwaarschijnlijk dat iana jouw zou aanvallen =)
06-08-2012, 11:14 door SirDice
Door Anoniem: Als je 200.35.51.126 (niet altijd dezelfde, veranderen soms) gaat nazoeken kom ik steeds uit op http://www.iana.net/.
IANA delegeert IP adressen, in dit geval wordt het gedelegeerd naar LACNIC. Die heeft het vervolgens aan Edatel S.A. uitgegeven.

Ik vermoed dat je niet goed kijkt, of het op de verkeerde whois database probeert na te vragen.
06-08-2012, 15:30 door Anoniem
topicschrijver

Een ander forum ergens ten velde wist mij te vertellen dat dit een "overheid" was?¿

Volgens mij is dit een raar zaakje en een soort HideIP voor wie het wil gebruiken en zo precies vanuit één of ander exotisch land zit te internetten/chatten of wat anders dat IANA. (al ondervonden op chats en dat wees steeds naar dat iana na een search in Ripe)

Wel raar dat als ik die IP's in Ripe zet steeds op dat Iana uitkom ...
http://www.ripe.net/ (vanonder bij search database zetten)

Spijtig dat ik de kennis of de kunde niet bezit om dit verder uit te zoeken :)

Sorry, maar ik vertrouw dat boeltje niet.
Verder heb ik er geen last van internet security wist de 'aanval' af te slaan ...
06-08-2012, 16:14 door SirDice
Door Anoniem: Wel raar dat als ik die IP's in Ripe zet steeds op dat Iana uitkom ...
http://www.ripe.net/ (vanonder bij search database zetten)
Het adres valt niet onder RIPE en die stuurt je dan, terecht, naar IANA. IANA is de organisatie die IP adressen delegeert.
06-08-2012, 16:46 door Anoniem
Doe een whois voor 200.35.51.126 op whois.lacnic.net

inetnum: 200.35.48/20
status: allocated
aut-num: N/A
owner: EDATEL S.A. E.S.P
ownerid: CO-ESES2-LACNIC
responsible: Eduar D. Uribe P.
address: CL 41 CR 52 -28 (PISO 15 ), 0, 0
address: 0 - MEDELLIN - 4
country: CO
phone: +57 4 3846696 []
owner-c: EDP4
tech-c: EDP4
abuse-c: EDP4
created: 20060317
changed: 20060317

nic-hdl: EDP4
person: Eduar Dario Uribe P.
e-mail: adminternet EDATEL.NET.CO
address: Calle 41 Nro. 52 28, P 3, Ed. Edatel
address: 574 - Medellin - An
country: CO
phone: +57 4 3846696 []
created: 20041004
changed: 20080125
06-08-2012, 16:57 door Anoniem
"Volgens mij is dit een raar zaakje en een soort HideIP voor wie het wil gebruiken en zo precies vanuit één of ander exotisch land zit te internetten/chatten of wat anders dat IANA. (al ondervonden op chats en dat wees steeds naar dat iana na een search in Ripe)"

HideIP ? Het is simpelweg een IP adres bij een provider in Colombia. Hieronder een overzichtje van de regional registries :

Asia-Pacific - http://www.apnic.net
Europe - http://www.ripe.net
North America - http://www.arin.net
Latin America - http://www.lacnic.net
Africa and Indian Ocean - http://www.afrinic.net

Voor meer info zie ook http://www.iana.org/numbers

"Wel raar dat als ik die IP's in Ripe zet steeds op dat Iana uitkom ... "

Volstrekt normaal. Je zoekt bij Ripe, dat gaat over IP adressen in Europa, naar een IP adres uit Colombia. IANA is een overkoepeld orgaan voor bovenstaande internet registries.

"Sorry, maar ik vertrouw dat boeltje niet."

Het gaat hier naar alle waarschijnlijkheid om een geinfecteerde machine waar de SQL slammer worm, die rondgaat over het internet sinds 2003, op staat. De eigenaar is zich waarschijnlijk niet eens bewust van het feit dat zijn of haar machine besmet is.

Verder heb ik zo het vermoeden dat je geen SQL server op je machine hebt staan, waardoor jouw PC niet eens zal reageren op de activiteit van deze worm. Bovendien is deze zwakheid in SQL al jaren geleden gepatched, waardoor een PC met SQL server evenmin kwetsbaar is, tenzij je een patch van zo'n 10 jaar geleden nog niet hebt geinstalleerd -

SQL Slammer (a.k.a. Helkern)
http://en.wikipedia.org/wiki/SQL_Slammer

Microsoft Security Bulletin MS02-039
http://technet.microsoft.com/en-us/security/bulletin/ms02-039

;)
06-08-2012, 17:34 door Anoniem
Alvast bedankt voor alle reacties.
Het is mij al veel duidelijker geworden.
Naar alle waarschijnlijkheid sloeg mijn paranoia weer op hol ...

Tnx
06-08-2012, 17:47 door Anoniem
Dat is die boodschap van iana die er altijd voor zit, even scrollen
:P
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.