Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
IRC-botnet!?!?
28-08-2010, 10:13 door Anoniem, 13 reacties
Gisteren was ineens mijn UPC internet verbinding afgesloten en kon alleen nog maar TV en telefoon van UPC en toen ik dit navroeg vernam ik dat een brief had ontvangen die ik moest onderteken en terug zenden maar ik had alleen een waarschuwingsbrief ontvangen. Die instructies opgevolgd en per e-mail teruggemeld en prompt de volgende dag was ik afgesloten.
Hier hadden zij mij nadat ze mijn internet hadden afgesloten een e-mail gezonden met de uitleg hoe ik weer aangesloten kon worden....klein probleem ik heb geen internet meer dus kan dus ook die e-mail niet meer lezen. Via kennissen de inhoud van die e-mail gekregen en een extra scan laten uitvoeren door Malwarebytes en na een paar uren was die klaar met mijn computer en werd niets gevonden door het programma. Om te kunnen scannen kreeg ik wel weer tijdelijk toegang.
Zij zonden mijn ook een stukje uit hun log van mijn verbinding waaruit zij opmaakten dat ik andere mensen lastig val met mijn computer.
| xxx.xxx.xxx.xxx | 2010-08-25 22:42:27 CES | Bots | srcport 2215 mwtype irc-botnet |
| xxx.xxx.xxx.xxx | 2010-08-25 22:46:26 CES | Bots | srcport 4570 mwtype irc-botnet |
| xxx.xxx.xxx.xxx | 2010-08-25 22:50:27 CES | Bots | srcport 2863 mwtype irc-botnet |
| xxx.xxx.xxx.xxx | 2010-08-25 22:54:27 CES | Bots | srcport 1196 mwtype irc-botnet |
| xxx.xxx.xxx.xxx | 2010-08-25 22:58:27 CES | Bots | srcport 3492 mwtype irc-botnet |
| xxx.xxx.xxx.xxx | 2010-08-25 23:02:27 CES | Bots | srcport 1847 mwtype irc-botnet |
| xxx.xxx.xxx.xxx | 2010-08-25 23:06:26 CES | Bots | srcport 4402 mwtype irc-botnet |
De xxx.xxx.xxx.xxx staan voor mijn IP adres en ik heb in de wikki gekeken naar irc-botnet maar daar word ik niet echt wijzer van.
Wie kan wat meer uitleg geven wat dit log inhoud en hoe ik kan voorkomen dat ik door UPC zomaar weer wordt afgesloten?
Hier hadden zij mij nadat ze mijn internet hadden afgesloten een e-mail gezonden met de uitleg hoe ik weer aangesloten kon worden....klein probleem ik heb geen internet meer dus kan dus ook die e-mail niet meer lezen. Via kennissen de inhoud van die e-mail gekregen en een extra scan laten uitvoeren door Malwarebytes en na een paar uren was die klaar met mijn computer en werd niets gevonden door het programma. Om te kunnen scannen kreeg ik wel weer tijdelijk toegang.
Zij zonden mijn ook een stukje uit hun log van mijn verbinding waaruit zij opmaakten dat ik andere mensen lastig val met mijn computer.
| xxx.xxx.xxx.xxx | 2010-08-25 22:42:27 CES | Bots | srcport 2215 mwtype irc-botnet |
| xxx.xxx.xxx.xxx | 2010-08-25 22:46:26 CES | Bots | srcport 4570 mwtype irc-botnet |
| xxx.xxx.xxx.xxx | 2010-08-25 22:50:27 CES | Bots | srcport 2863 mwtype irc-botnet |
| xxx.xxx.xxx.xxx | 2010-08-25 22:54:27 CES | Bots | srcport 1196 mwtype irc-botnet |
| xxx.xxx.xxx.xxx | 2010-08-25 22:58:27 CES | Bots | srcport 3492 mwtype irc-botnet |
| xxx.xxx.xxx.xxx | 2010-08-25 23:02:27 CES | Bots | srcport 1847 mwtype irc-botnet |
| xxx.xxx.xxx.xxx | 2010-08-25 23:06:26 CES | Bots | srcport 4402 mwtype irc-botnet |
De xxx.xxx.xxx.xxx staan voor mijn IP adres en ik heb in de wikki gekeken naar irc-botnet maar daar word ik niet echt wijzer van.
Wie kan wat meer uitleg geven wat dit log inhoud en hoe ik kan voorkomen dat ik door UPC zomaar weer wordt afgesloten?
Reacties (13)
28-08-2010, 12:24 door
spatieman
zit je mischien zelf op IRC te chatten ?
ik zou meer informatie opvragen, lijkt me dom dat ze maar een stukje log stuurde
ik zou meer informatie opvragen, lijkt me dom dat ze maar een stukje log stuurde
Een botnet is een groep computers die doen wat de botherder hen opdraagt.
Irc is een chat programma waarmee men met elkaar kan comuniceren.
combineer dit en je hebt een irc botnet ofwel een botnet dat communiceert over irc ipv via een p2p protocol enz enz.
Dus je moet je pc eens scannen met een aantal anti-virus scanners omdat je waarschijn besmet bent met zon botje
Irc is een chat programma waarmee men met elkaar kan comuniceren.
combineer dit en je hebt een irc botnet ofwel een botnet dat communiceert over irc ipv via een p2p protocol enz enz.
Dus je moet je pc eens scannen met een aantal anti-virus scanners omdat je waarschijn besmet bent met zon botje
28-08-2010, 14:12 door
meh
Tja, ik gok dat je Windows gebruikt. Probeer het eens met Spybot S&D...
Wat heeft dat in godsnaam met Windows te maken en btw spybot search & destroy is brol.
als je vista of hoger hebt kan je volgende eens proberen
netstat -a -b
die poorten die in je mail staan ff nakijken welk process deze gebruiken en dat process verwijderen.
netstat -a -b
die poorten die in je mail staan ff nakijken welk process deze gebruiken en dat process verwijderen.
Je bent gewoon geinfecteerd door een bot-net .. Hoe simpel is dat, er staat malware op je pc.
Hier wat handige Removal tools voor jou:
http://download.cnet.com/Spybot-Search-amp-Destroy/3000-8022_4-10122137.html
http://searchenterprisedesktop.techtarget.com/tip/0,289483,sid192_gci1228876,00.html
http://www.spywareremove.com/removeBackdoorBot.html
http://www.2-spyware.com/remove-malware-removal-bot.html
De beste oplossing: MalwareBytes ( google en dan de 1e link )
Hier wat handige Removal tools voor jou:
http://download.cnet.com/Spybot-Search-amp-Destroy/3000-8022_4-10122137.html
http://searchenterprisedesktop.techtarget.com/tip/0,289483,sid192_gci1228876,00.html
http://www.spywareremove.com/removeBackdoorBot.html
http://www.2-spyware.com/remove-malware-removal-bot.html
De beste oplossing: MalwareBytes ( google en dan de 1e link )
28-08-2010, 23:23 door
Bitwiper
Een IRC-botnet wil zeggen dat je ergens in je netwerk (op een van je PC's, maar zou ook in je router kunnen zitten) een "bot" hebt (een op afstand bestuurbare robot of drone). Let op: als je een WiFi router hebt die je niet goed hebt beveiligd, kan het ook om een PC van de buren gaan die besmet is, of zelfs een smartphone (zoals een gejailbreakte iPhone!)
Zo'n bot is een programma, soms wel zichtbaar maar lastig te vinden, en soms onvindbaar doordat het zich verstopt middels een rootkit. In het laatste geval is de kans dat een virusscanner die bot vindt, erg klein. Zo'n bot (programma dus) maakt zelf verbinding met IRC servers op internet (IRC kun je zien als een voorloper van MSN) om instructies op te halen, bijv. om te spammen of om andere computers aan te vallen.
Security.nl is echter niet het ideale forum om je te helpen met het vinden en verwijderen van de malware op je PC; er zijn fora die zich hierin specialiseren, zoals deze, waarin iemand door ISP xs4all was afgesloten http://www.nucia.eu/forum/showthread.php?t=46403 om vergelijkbare redenen.
Voor vergelijkbare Nederlandstalige fora Google je naar: HijackThis GMER afgesloten
N.b.bereid je voor op een lange discussie en loop niet halverwege weg, er zitten vrijwilligers op deze fora en het is onbeschoft om die te laten hangen (een bedankje achteraf wordt ook zeer gewaardeerd). Draai de programma's en post de logs waar ze om vragen. Heb je daar allemaal geen zin in, roep dan de hulp van iemand in je omgeving in (met voldoende verstand van zaken) om bij je PC te komen kijken. Die kan bijv. met een eigen PC en een netwerksniffer via een hubje vaststellen welke PC in je netwerk besmet is, en inschatten of het zin heeft om die besmetting te bestrijden dan wel de PC opnieuw te installeren. Succes!
Zo'n bot is een programma, soms wel zichtbaar maar lastig te vinden, en soms onvindbaar doordat het zich verstopt middels een rootkit. In het laatste geval is de kans dat een virusscanner die bot vindt, erg klein. Zo'n bot (programma dus) maakt zelf verbinding met IRC servers op internet (IRC kun je zien als een voorloper van MSN) om instructies op te halen, bijv. om te spammen of om andere computers aan te vallen.
Security.nl is echter niet het ideale forum om je te helpen met het vinden en verwijderen van de malware op je PC; er zijn fora die zich hierin specialiseren, zoals deze, waarin iemand door ISP xs4all was afgesloten http://www.nucia.eu/forum/showthread.php?t=46403 om vergelijkbare redenen.
Voor vergelijkbare Nederlandstalige fora Google je naar: HijackThis GMER afgesloten
N.b.bereid je voor op een lange discussie en loop niet halverwege weg, er zitten vrijwilligers op deze fora en het is onbeschoft om die te laten hangen (een bedankje achteraf wordt ook zeer gewaardeerd). Draai de programma's en post de logs waar ze om vragen. Heb je daar allemaal geen zin in, roep dan de hulp van iemand in je omgeving in (met voldoende verstand van zaken) om bij je PC te komen kijken. Die kan bijv. met een eigen PC en een netwerksniffer via een hubje vaststellen welke PC in je netwerk besmet is, en inschatten of het zin heeft om die besmetting te bestrijden dan wel de PC opnieuw te installeren. Succes!
29-08-2010, 18:17 door
ej__
Je kunt beginnen met in je router het verkeer van binnen NAAR buiten (let op, dit is andersom dan normaal) poort 6666 tot en met 6668 dicht te zetten. Dit zijn de meest gebruikte poorten voor IRC.
Zo uit de door UPC gestuurde logs te zien draai jij geen (rogue) irc server, dan was het inkomend verkeer geweest. Ik vermoed dat je een trojan of en rootkit te pakken hebt, en misschien staat je computer wel al wat hoger op de rangorde: een botnet controller. Check eens met trojanhunter. (http://www.misec.net/). Het is ook jammer dat ze de destination ip niet laten zien.
Wel een beetje suf van UPC dat ze je een mail sturen dat je bent afgesloten trouwens...
Zo uit de door UPC gestuurde logs te zien draai jij geen (rogue) irc server, dan was het inkomend verkeer geweest. Ik vermoed dat je een trojan of en rootkit te pakken hebt, en misschien staat je computer wel al wat hoger op de rangorde: een botnet controller. Check eens met trojanhunter. (http://www.misec.net/). Het is ook jammer dat ze de destination ip niet laten zien.
Wel een beetje suf van UPC dat ze je een mail sturen dat je bent afgesloten trouwens...
Wat een waardeloze log heeft CheckPoint.
Ik zie er geen aanwijzing in dat je een bot hebt. Laat UPC het maar eens uitleggen.
Wat betekent "mwtype"?
Waar komt de classiciatie bots vandaan?
Wat is "irc-botnet"? Een target tcp port?
Ik zie er geen aanwijzing in dat je een bot hebt. Laat UPC het maar eens uitleggen.
Wat betekent "mwtype"?
Waar komt de classiciatie bots vandaan?
Wat is "irc-botnet"? Een target tcp port?
Deze logs komen van een darknet of honeypot. MWtype staat voor MalWaretype, in sommige gevallen staat er een specifiekere benaming achter (conficker , mebroot etc). Maar dat was in jouw geval waarschijnlijk niet te achterhalen. Eén ding is zeker, je PC (of een ander systeem dat aan je netwerk hangt) is besmet met een trojan/virus.
Aangezien je aangeeft dat je met Malwarebytes niets kunt vinden (wel geupdate?) heb je waarschijnlijk een niet voldoende beveiligd draadloos netwerk. Heb je echt maar 1 PC in huis? Niet nog een laptop, of ander apparaat dat aan je netwerk hangt?
Hoe je kunt voorkomen dat je 'zomaar' afgesloten wordt door je provider? ; zorgen voor een goede beveiliging van je PC en netwerk :)
Aangezien je aangeeft dat je met Malwarebytes niets kunt vinden (wel geupdate?) heb je waarschijnlijk een niet voldoende beveiligd draadloos netwerk. Heb je echt maar 1 PC in huis? Niet nog een laptop, of ander apparaat dat aan je netwerk hangt?
Hoe je kunt voorkomen dat je 'zomaar' afgesloten wordt door je provider? ; zorgen voor een goede beveiliging van je PC en netwerk :)
Hartelijk dank voor alle suggesties en op de computers is geen vreemde software gevonden en ook de WPA-2 sleutel van het UPC modem is nu veranderd van standaard naar eigen sleutel.
Het log is erg mager en zo kun je niet waar de z.g.n. bot naartoe gaat en welke poort er gebuikt wordt.
Voorlopig heb ik weer Internet aangezien UPC er zo ook niets van kon bakken.
Het log is erg mager en zo kun je niet waar de z.g.n. bot naartoe gaat en welke poort er gebuikt wordt.
Voorlopig heb ik weer Internet aangezien UPC er zo ook niets van kon bakken.
je kan het beste een rootkit scanner pakken. mcafee heeft die onder andere.
daarnaast als je pc opstart naar de commando prompt gaan (die zwarte dos box zeg maar) en dan netstat intikken
je krijgt dan te zien of er connecties zijn naar de buitenwereld. als die er niet zijn zit je redelijk goed.
ook je kabelmodem kan gehackt zijn. dan zie jij het niet maar upc wel. het is dan een probleem van upc omdat jij het modem niet mag beheren maar jij bent wel de dupe. om dat te testen zou je je netwerk los moeten koppelen van het kabelmodem en als er dan toch gek verkeer is dan weet je dat het daar zit.
daarnaast als je pc opstart naar de commando prompt gaan (die zwarte dos box zeg maar) en dan netstat intikken
je krijgt dan te zien of er connecties zijn naar de buitenwereld. als die er niet zijn zit je redelijk goed.
ook je kabelmodem kan gehackt zijn. dan zie jij het niet maar upc wel. het is dan een probleem van upc omdat jij het modem niet mag beheren maar jij bent wel de dupe. om dat te testen zou je je netwerk los moeten koppelen van het kabelmodem en als er dan toch gek verkeer is dan weet je dat het daar zit.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
