ik zou beginnen met zoeken bij je mail server omdat die verouderde Ubuntu draait, kijk bijv. ook een met iets als nmap of je van buiten af open staande poorten ontdekt, update alles waar een update voor is op ubuntu is het commando "sudo apt-get upgrade" een goed begin maar kijk uit naar software die niet in de repository's zitten.

Als je een printer met ingebouwde (web)server software hebt je die je in hebt gesteld om bijvoorbeeld onderweg met je smartfoon via internet thuis te kunnen printen dan zou ik die funktie maar gauw uitzetten.

Het is algemeen bekend dat die printersoftware via het web zo lek is als een mandje en de printerfabrikanten daar vaak weigeren wat aan te doen.

Los daarvan kunnen de login gegevens van die printer die in dat geval bijvoorbeeld ook op je smartfoon, tablet of laptop staan, zijn gehackt c.q. onderschept als je bijvoorbeeld zonder ssl van een hotspot gebruik hebt gemaakt.

En ik zou in ieder geval de logbestanden van je firewall eens goed bekijken.

Hallo, ter aanvulling: de printserver is niet direct toegankelijk van af internet! (ik kijk wel uit ;-)

Nou dan moet je wel gehackt zijn.

En dan is vooralsnog je vraag hier op de verkeerde plaats. Ik ken die Fortigate 60c firewall zelf niet, maar ik ga er van uit dat ook daar een logfile in zit die exact bijhoudt welk ip address, via welke poort op welk tijdstip toegang tot je systemen heeft verkregen.

Aangezien je zelf thuis was toen dit gebeurde, weet waarschijnlijk ook wel hoe laat dat ongeveer was. Het enig wat je dan nog hoeft te doen is die poort dicht te zetten en al je computers op malware scannen.

Dat zou je bijvoorbeeld eerst met rkhunter http://rkhunter.sourceforge.net/ kunnen doen (ook goed in de logfile kijken wat er gebeurt) en daarna zou je comodo kunnen installeren http://www.comodo.com/home/internet-security/antivirus-for-linux.php en deze nog eens uit uitgebreide scan uit kunnen laten voeren.

Maar er van uitgaande dat je overal een redelijk root password hebt gebruikt en het heel recent is dat dit is gebeurd en er nog weinig kans is geweest dat dat root password al is gekraakt lijkt de kans dat je computers zijn geïnfecteerd niet zo heel erg groot.

Ik zou daarom ook maar eens heel goed kijken of je Wifi niet is gehackt want die zit ongetwijfeld achter je firewall en een aanvaller kan dan in principe printen zonder toegang te hoeven hebben tot je computers zelf.

Ik denk ook dat het probleem bij je WiFi ligt, als je dat gebruikt. Ik zou in je router kijken of je wat meer info kan vinden in de logs. Maar WPA2 met zwak wachtwoord, zwakkere WiFi encryptie of WPS... ;-) Printservertjes zijn altijd easy targets als je eenmaal op het netwerk zit.

Weet je dat zeker of denk je dat maar?
Er zijn zat printers die zichzelf automatisch met UPNP bij de router melden en poortjes open laten zetten...

Ubuntu, netjes reageren is moeilijk niet? ik werk zelf in ict netwerk/security maar weet nog niet alles. denk je werkelijk dat ik voor m'n lol m'n hebben en houden hier opschrijf? Reageer dan niet of val een ander lastig. Mijn dank is groot.

my 2 cents:

printer is denk ik wel geraakt door iets naars, maar dit kan ook een javascript zijn op een pagina die je bezocht hebt.

Sommige scripts kunnen je router van binnen uit benaderen via je pc/browser, om daarmee een http 192.168.1.1 set password dinges te doen.
Zelfde truc kan met je printer worden uitgehaald.

Kijk maar es goed naar je axis printserver ding, die is waarschijnlijk aan vervanging toe.
via http://community.spiceworks.com/how_to/show/1769-default-password-list
"Axis All Axis Printserver All Multi root pass Admin"

Denk dat je eigenlijk alles opnieuw aan het installeren komt, of je moet de oorzaak kunnen vinden. En overal andere wachtwoorden gebruiken.

In de router upnp uitzetten.
Indien je een eigen router hebt, deze altijd up to date houden, hier ook upnp uitzetten.
WPS uitzetten in de router.

Met firewall zoveel mogelijk dicht maken.
Met firewall misschien op ip adress openen/blokkeren.
Overal andere wachtwoord gebruiken op verschillende apparaten. dus niet op elke pc dezelfde user/wachtwoord.
Op alles een wachtwoord zetten, vaak werken printers of nas of print server zonder wachtwoord, dit is nooit goed, bij een fout in je router/software, dan kan een hacker overal bij. Indien er een wachtwoord op zit is het al iets minder gemakkelijk.
Veel nassen staan open naar het internet, http://reporter.incontxt.nl/seizoenen/2012/afleveringen/07-12-2012?npo_cc=na&npo_rnd=859988659&npo_cc_skip_wall=1 (kro reporter+nas zoeken met google)
security now op youtube vind je veel info.
Heleboel routers zijn onveilig, kun je met wachtwoord zo in, vanuit de fabriek, is gedeeltelijk geupdate, maar staat nog open.

Voor de rest beveilig je pc's. zie hier op het forum en andere pc forums.

In Ubuntu kan je de log-bestanden analyseren. Deze staan in /var/log. Bijvoorbeeld /var/log/auth.log kan interessant zijn. Mocht er van een ongewenst adres ingelogd zijn, dan zou ik aangifte doen.

En dat vind je wel raar met dit soort reacties?




Waar is dit allemaal goed voor als ik vragen mag?
Iemand zit met een vraag, daar is dit forum ook voor, niet om mensen *f te z**ken.

Vind je het bericht wat vreemd dan kan je ook wat neutraler omschrijven welke kanttekeningen je hebt bij de vraag of de achtergrond daarvan. Om de sfeer een beetje leuk en goed te houden hier.
Kleine moeite.

Hmmm dat was eergisteravond.... En jij vroeg je gistermiddag al af of alles was gefixed.
Even er vanuitgaande dat hij ook nog een sociaal leven heeft en het even tijd kost om alles uit te zoeken, kan ik me heel goed voorstellen dat hij iets langer nodig heeft dan een paar uur.

Inderdaad, zit niet dag en nacht achter mijn pc. Dank voor jullie reacties. Ik werk zelf in netwerkbeveiliging maar ben nog niet that up to speed dat ik van alles de hoed en de rand weet.
Ik heb de poorten voor transmission dichtgezet (torrent software) en op zowel de ubuntu desktop als ubuntu server (waar mijn mail draait) had ik direct na installatie van het OS denyhosts geinstalleerd, deze blockt remote logins via alle protocollen na 3 failed attempts vanaf het betreffende ip. Alle wachtwoorden heb ik gewijzigd en redellijk complex gemaakt. Root login via ssh is niet mogelijk, alleen op de mailserver, maar daar kun je niet direct vanaf internet op inloggen (je moet doorhoppen). De printer is een laserjet 1200 die het al jaren prima doet en nog altijd aan een axis 5400 printservertje hangt.
Herinstallatie zie ik niet zo zitten, dus ik probeer die rootkit detectie tool eerst.
Ik heb firewall logs pas de volgende ochtend gecheckt en kon toen net niet ver genoeg terug kijken.
Dat dus.
Grt. Ralph

@Ubuntu. oprecht in grote problemen zit ik niet, het is hooguit vervelend, lastig etc. Ik draai geen commercieel bedrijf, ben hooguit bang dat ik mijn films kwijtraak of dat mijn mailserver om zeep wordt geholpen, maar ik heb backups tot 2 maanden terug en mijn prive data bewaar ik op mijn thuis pc in een truecrypt container. Dus, hopelijk beetje mening bijgesteld? ;-)

Die printserver heeft vast logging, net als je pc. Zoek daar eens wat in terug.

Tip voor de toekomst:
zet wireshark aan in je netwerk (even alles via een hub laten lopen) en sla alles op wat er gebeurd.
Kom je er vanzelf achter.

Ik denk dat er niets aan de hand is. Vermoed namelijk dat het de Axis printservertje is.

Het zou nog een restant kunnen zijn van een print taak, een crash van de software lokaal of wat anders vaag. Vaak genoeg 'rare' dingen meegemaakt met deze hardware.

Dat de printer een smiley print hoeft niet te betekenen dat er ook echt een smiley verstuurd is, dit kan ook de standaard vervang lettertype zijn van data dat de printer niet ondersteund. Zo zie je dit ook vaak als blokjes.

De Help tekst kan een 'geintje' zijn van de Axis software, bij een crash print hij dit :-D

Maar goed, het kan nooit kwaad om alle systemen te checken ;-)

AXIS 5400+ Support

Discontinued product
Supported until 2014-12-31. Online support only.

Ik zou 'm met USB aan een werkstation hangen en de printer sharen. heb je gelijk wachtwoord protectie.

Upnp is waarschijnlijk de boosdoener, en onthoud; een axis printserver heeft voor *printen* geen verificatie nodig. Dus als je wireless inside hangt is dat ook een ingang.

Heb je een technische buurman die jou een beetje loopt te treiteren?

Ik zie dat de firmware is te updaten via FTP met een standaard UID en Password. Dus als je iets gaat herinstalleren, herinstalleer dan ook maar gelijk de firmware van je AXIS.

Is een van je systemen een webserver die benaderbaar is vanaf internet ? Zoja, kijk eens of er onbekende bestanden in je folders staan (PHP, ASP, ....). Wellicht dat er een webshell is geinstalleerd vanaf waar men commando's op je machine kan uitvoeren ?

Verder raad ik je aan om je logfiles eens door te lopen, om te kijken wie dat printcommando gaf, en vanaf welk IP deze gebruiker op je machine aktief was ?

"Dat de printer een smiley print hoeft niet te betekenen dat er ook echt een smiley verstuurd is, dit kan ook de standaard vervang lettertype zijn van data dat de printer niet ondersteund. Zo zie je dit ook vaak als blokjes. Het zou nog een restant kunnen zijn van een print taak, een crash van de software lokaal of wat anders vaag. "

De teksten HELP en root erbij wijzen ook niet op een breach ? Jouw uitleg lijkt mij in deze situatie verre van waarschijnlijk.

Waarschijnlijk iemand die middels telnet onhandig de banner probeert te grabben.

Wat laatste anoniem zegt...
Ziet er naar uit als iemand die niet weet op wat voor poort hij/zij connected is en dan maar HELP en 'root' enzo in tikt...
Ik zou niet denken aan dat je eigen systemen gecompromitteerd zijn..
Doe eens een port scan van buiten af........

Dit lijkt me overigens geen gedrag van een automatische tool... maar eerder van een script kid of zelfs iemand die specifiek jouw IP benaderd...

het zou wel cool zijn als het een herleving van het prehistorisch bugbear virus was :-)
maar ik zie wel een aantal zaken waar ik zoiets heb van "hmmm, klopt dat wel?"

Ubuntu 12.04LTS is gewoon support tot april 2017, die kun je gerust de komende 3 jaar nog blijven draaien.
Je zou wel een upgrade kunnen doen maar alle bestanden worden toch netjes geupgrade, alleen je distributie niet.
Je zou ook een dist-upgrade kunnen doen naar Trusty Tahr, dat is ook een long-term-support.

Een update licentie voor een Fortigate 60c kost ongeveer 100 euro per jaar, weet je zeker dat je die hebt?
Is ook zonde om 100 euro per jaar aan firmware support uit te geven als je een nieuwe Fortigate 60D voor 400 kunt krijgen, 600 euro inc 3 jaar support.

Alles wat aan internet hangt zou ik minstens 1 keer per 6 maanden herinstalleren, eigenlijk 1 x per 3 maanden checken of de firmware nog up to date is, of er bekende issues zijn en na 2 keer herinstalleren die hap.
Verse installatie, zorgt ook voor dat je je backups goed houdt...

Kijk ook even je TV na ;)