Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Onbekend verkeer en verdacht IP?
Hallo allemaal,
Ik heb sinds een een maand Kaspersky PURE 2.0 geïnstalleerd. Ik was zojuist even wat opties aan het bekijken en kwam iets tegen bij de 'Netwerkmonitor' wat ik een beetje verdacht vindt.
Bij de optie om te zien welk programma voor welk verkeerd verantwoordelijk is kwam ik iets aparts tegen.
Namelijk bij categorie 'Systeem' was het uitgaande verkeer 42,3 GB.
Eerst dacht ik dat dit een totaal van alles was, maar als ik alles van alle programma's optel kom ik net aan op 2-3GB.
Ik vroeg me dus af waar dat verkeer heen gaat en ben gaan kijken naar de 'Open poorten' functie in Kasperky en daar staan vier
verbindingen met IP addressen waar ik van schrok toen ik ze opzocht met WHOIS.
Afbeelding van de 'Netwerkmonitor' gegevens.
http://s2.postimage.org/w00ti0mk9/hmm.png
En een link naar de WHOIS gegevens van dat IP adres.
http://whois.domaintools.com/25.182.126.89
Mijn uiteindelijke vragen zijn:
Kan iemand mij uitleggen wat dit verkeer zou kunnen zijn?
Waarom maakt mijn PC verbinding met dat IP adres.
Heel erg bedankt voor het lezen.
Overige informatie:
- ik heb een legale Windows 7 Professional licentie.
- Ik heb geen 'Gecrackte' software op m'n PC
Zeg het maar als jullie meer moeten weten.
Ik heb sinds een een maand Kaspersky PURE 2.0 geïnstalleerd. Ik was zojuist even wat opties aan het bekijken en kwam iets tegen bij de 'Netwerkmonitor' wat ik een beetje verdacht vindt.
Bij de optie om te zien welk programma voor welk verkeerd verantwoordelijk is kwam ik iets aparts tegen.
Namelijk bij categorie 'Systeem' was het uitgaande verkeer 42,3 GB.
Eerst dacht ik dat dit een totaal van alles was, maar als ik alles van alle programma's optel kom ik net aan op 2-3GB.
Ik vroeg me dus af waar dat verkeer heen gaat en ben gaan kijken naar de 'Open poorten' functie in Kasperky en daar staan vier
verbindingen met IP addressen waar ik van schrok toen ik ze opzocht met WHOIS.
Afbeelding van de 'Netwerkmonitor' gegevens.
http://s2.postimage.org/w00ti0mk9/hmm.png
En een link naar de WHOIS gegevens van dat IP adres.
http://whois.domaintools.com/25.182.126.89
Mijn uiteindelijke vragen zijn:
Kan iemand mij uitleggen wat dit verkeer zou kunnen zijn?
Waarom maakt mijn PC verbinding met dat IP adres.
Heel erg bedankt voor het lezen.
Overige informatie:
- ik heb een legale Windows 7 Professional licentie.
- Ik heb geen 'Gecrackte' software op m'n PC
Zeg het maar als jullie meer moeten weten.
Reacties (7)
Dat zijn zeer waarschijnlijk inkomende verbindingen.
Kennelijk ligt je PC wijd open en is er iemand die je via NETBIOS geconnect heeft.
Deze persoon heeft waarschijnlijk toegang tot je bestanden en dergelijke.
Ik vind het vreemd dat je deze poorten open hebt staan, dit zijn juist de belangrijkste poorten om af te sluiten in een firewall.
Kennelijk ligt je PC wijd open en is er iemand die je via NETBIOS geconnect heeft.
Deze persoon heeft waarschijnlijk toegang tot je bestanden en dergelijke.
Ik vind het vreemd dat je deze poorten open hebt staan, dit zijn juist de belangrijkste poorten om af te sluiten in een firewall.
08-01-2013, 23:36 door
Erik van Straten
Op 1 van m'n PC's draai ik ook Kaspersky Pure (echter op een XP PC) en kan de vensters dus reproduceren, alleen hebben ze bij mij wel een heel andere inhoud.
Om te beginnen het linker venster in http://s2.postimage.org/w00ti0mk9/hmm.png: daarin zie je Open poorten, d.w.z. poorten waarmee jouw PC staat te luisteren naar inkomende TCP verbindindingen of inkomende UDP pakketjes.
Op mijn PC heb ik NBT (NetBIOS over TCP/IP) uitgezet. Om die reden luistert mijn PC niet meer op de UDP poorten 137 en 138, noch op TCP 139 (alle SMB verkeer loopt via TCP 445).
Het lijkt erop dat de netwerkkaart (of netwerkkaarten) in jouw PC 2 IP-adressen heeft (hebben), namelijk 192.168.1.100 (niet gek) en 25.182.126.89 (vreemd). Ik kan de volgende verklaringen bedenken:
1) Kaspersky is totaal de weg kwijt;
2) Je hebt verbinding (evt. via WiFi) met een DHCP server (router/access point of stand-alone) die absurd geconfigureerd is, namelijk om gebruik te maken van een IP reeks die toebehoort aan het UK ministry of Defence. Nb. het zou hierbij ook om een VPN verbinding bijv. met jouw werk kunnen gaan;
3) Je hebt helemaal niet zo'n verbinding maar Windows is totaal de weg kwijt;
4) Iemand heeft ooit dat IP-adres statisch geconfigureerd op 1 van jouw (mogelijk virtuele) netwerkadapters;
5) Je hebt een 2e hands PC die ooit van het UK ministry of Defence geweest is;
6) Je bent een spook (spreek uit als spoek met een lange oe) maar weet het niet meer (Bourne misschien? ;)
7) Je bent een verdachte van het UK ministry of defence en zij hebben de slechtste rootkit die zij hebben aan jou opgeofferd.
Uit niets van wat je laat zien blijkt een relatie tussen IP adres 25.182.126.89 (met luisterende poorten 137 t/m 139) en de wel heel grote hoeveelheid uitgaand verkeer onder "Systeem". Ik heb ergens eind vorig jaar de tellers gereset, maar de afgelopen maand ging het bij "System" om 481KB incoming en 106KB outgoing (nogmaals, XP, lastig te vergelijken met W7). Hou er rekening mee dat het adres 25.182.126.89 helemaal niets met de hoeveelheid uitgaand verkeer onder "Systeem" te maken hoeft te hebben.
Vertel ons ook of je VPN's (naar je werk) gebruikt, virtuele systemen (VMware etc) draait, zowel WiFi als UTP ethernet gebruikt etc.
Aanvalsplan (ervan uitgaande dat je geen spook met geheugenverlies bent):
- Draai ipconfig /all in een command promt (dos box) en vertel ons wat je ziet. Hiermee kunnen we vaststellen of getoonde IP-adressen daadwerkelijk aan jouw PC gekoppeld zijn. Draai ook: route print
- Probeer in Kaspersky vast te stellen wanneer de bulk van het netwerkverkeer is verzonden. De balkengrafiek onderin "Netwerkverkeer" kan wellicht een indicatie geven.
- Download een "off-line" virusscanner en scan daarmee jouw PC. Off-line = zonder dat Windows op jouw PC draait, dus een virusscanner op een bootable CD/DVD of USB stick.
- Bekijk zomogelijk jouw dataverbruik bij je ISP en/of in je router om vast te stellen of er echt zoveel verkeer uitgegaan is.
Wat ik op het laatst nog bedenk: het kan zijn dat Windows heel veel broadcast verkeer verzendt vanaf jouw PC (o.a. de zogenaamde browser service, ik heb dat soort crap allemaal uit staan) maar ook ARP requests. Wellicht heb je een printer aan jouw PC hangen (via USB), die willen ook nog wel eens wat broadcastverkeer veroorzaken.
Succes, en ik ben benieuwd!
Om te beginnen het linker venster in http://s2.postimage.org/w00ti0mk9/hmm.png: daarin zie je Open poorten, d.w.z. poorten waarmee jouw PC staat te luisteren naar inkomende TCP verbindindingen of inkomende UDP pakketjes.
Op mijn PC heb ik NBT (NetBIOS over TCP/IP) uitgezet. Om die reden luistert mijn PC niet meer op de UDP poorten 137 en 138, noch op TCP 139 (alle SMB verkeer loopt via TCP 445).
Het lijkt erop dat de netwerkkaart (of netwerkkaarten) in jouw PC 2 IP-adressen heeft (hebben), namelijk 192.168.1.100 (niet gek) en 25.182.126.89 (vreemd). Ik kan de volgende verklaringen bedenken:
1) Kaspersky is totaal de weg kwijt;
2) Je hebt verbinding (evt. via WiFi) met een DHCP server (router/access point of stand-alone) die absurd geconfigureerd is, namelijk om gebruik te maken van een IP reeks die toebehoort aan het UK ministry of Defence. Nb. het zou hierbij ook om een VPN verbinding bijv. met jouw werk kunnen gaan;
3) Je hebt helemaal niet zo'n verbinding maar Windows is totaal de weg kwijt;
4) Iemand heeft ooit dat IP-adres statisch geconfigureerd op 1 van jouw (mogelijk virtuele) netwerkadapters;
5) Je hebt een 2e hands PC die ooit van het UK ministry of Defence geweest is;
6) Je bent een spook (spreek uit als spoek met een lange oe) maar weet het niet meer (Bourne misschien? ;)
7) Je bent een verdachte van het UK ministry of defence en zij hebben de slechtste rootkit die zij hebben aan jou opgeofferd.
Uit niets van wat je laat zien blijkt een relatie tussen IP adres 25.182.126.89 (met luisterende poorten 137 t/m 139) en de wel heel grote hoeveelheid uitgaand verkeer onder "Systeem". Ik heb ergens eind vorig jaar de tellers gereset, maar de afgelopen maand ging het bij "System" om 481KB incoming en 106KB outgoing (nogmaals, XP, lastig te vergelijken met W7). Hou er rekening mee dat het adres 25.182.126.89 helemaal niets met de hoeveelheid uitgaand verkeer onder "Systeem" te maken hoeft te hebben.
Vertel ons ook of je VPN's (naar je werk) gebruikt, virtuele systemen (VMware etc) draait, zowel WiFi als UTP ethernet gebruikt etc.
Aanvalsplan (ervan uitgaande dat je geen spook met geheugenverlies bent):
- Draai ipconfig /all in een command promt (dos box) en vertel ons wat je ziet. Hiermee kunnen we vaststellen of getoonde IP-adressen daadwerkelijk aan jouw PC gekoppeld zijn. Draai ook: route print
- Probeer in Kaspersky vast te stellen wanneer de bulk van het netwerkverkeer is verzonden. De balkengrafiek onderin "Netwerkverkeer" kan wellicht een indicatie geven.
- Download een "off-line" virusscanner en scan daarmee jouw PC. Off-line = zonder dat Windows op jouw PC draait, dus een virusscanner op een bootable CD/DVD of USB stick.
- Bekijk zomogelijk jouw dataverbruik bij je ISP en/of in je router om vast te stellen of er echt zoveel verkeer uitgegaan is.
Wat ik op het laatst nog bedenk: het kan zijn dat Windows heel veel broadcast verkeer verzendt vanaf jouw PC (o.a. de zogenaamde browser service, ik heb dat soort crap allemaal uit staan) maar ook ARP requests. Wellicht heb je een printer aan jouw PC hangen (via USB), die willen ook nog wel eens wat broadcastverkeer veroorzaken.
Succes, en ik ben benieuwd!
of kijk eens met wireshark wat het verkeer op die poorten is misschien kun je dan achterhalen welke applicatie ermee vandoen heeft. maar weet je ook van hoelang het is. als die over een periode van een aantal jaar is dan kom je er wss wel op.
10-01-2013, 16:10 door
User2048
Nog een optie:
8) Je PC maakt deel uit van een botnet en de server van het ministerie is gehackt en maakt ook deel uit van het botnet.
8) Je PC maakt deel uit van een botnet en de server van het ministerie is gehackt en maakt ook deel uit van het botnet.
10-01-2013, 21:48 door
MrTre
Is er toevallig LogMeIn Hamachi op de computer geïnstalleerd? Dat was het eerste waar ik aan dacht bij het 25.x adres.
Ik gebruik het, en de pc hebben een viruteel ipadres wat begint met 25.x.x.x.
Ik gebruik het, en de pc hebben een viruteel ipadres wat begint met 25.x.x.x.
11-01-2013, 02:08 door
ricardoz
Sorry dat ik nu pas reageer! Ik heb het een beetje druk.
Bedankt voor de zeer informatieve post Erik.
Ik heb even bij mijn netwerkadapters gekeken en zag dat het m'n Hamachi adapter was die het IP 25.182.126.89 had.
Ik heb het maar verwijderd want ik gebruik het toch nooit.
De 42,3 GB uitgaand verkeer vind ik nog steeds een beetje vaag. Als ik het verbruik sorteer op datum in Kaspersky dan laat hij zien dat het verkeer allemaal in de laatste week van December was. Mijn PC heeft toen bijna de hele week uitgestaan.
Ik zal even mijn PC een dag of 3 aan laten staan en dan de upload verkeer in m'n router bekijken.
Heel erg bedankt voor de reacties allemaal.
Bedankt voor de zeer informatieve post Erik.
Ik heb even bij mijn netwerkadapters gekeken en zag dat het m'n Hamachi adapter was die het IP 25.182.126.89 had.
Ik heb het maar verwijderd want ik gebruik het toch nooit.
De 42,3 GB uitgaand verkeer vind ik nog steeds een beetje vaag. Als ik het verbruik sorteer op datum in Kaspersky dan laat hij zien dat het verkeer allemaal in de laatste week van December was. Mijn PC heeft toen bijna de hele week uitgestaan.
Ik zal even mijn PC een dag of 3 aan laten staan en dan de upload verkeer in m'n router bekijken.
Heel erg bedankt voor de reacties allemaal.
11-01-2013, 03:27 door
Erik van Straten
Door ricardoz: Sorry dat ik nu pas reageer! Ik heb het een beetje druk.
No problemo!Ik heb even bij mijn netwerkadapters gekeken en zag dat het m'n Hamachi adapter was die het IP 25.182.126.89 had.
Ah, in http://b.logme.in/2012/11/07/changes-to-hamachi-on-november-19th/ staat o.a. dat Hamachi 5.x.y.z adressen zijn gewijzigd in 25.x.y.z omdat 5.*.*.* in gebruik zou zijn (bizar verhaal, alsof 25.*.*.* niet in gebruik is...)Anyway, de oorzaak van dat bizarre UK defence adres is verklaard!
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
