Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Grootscheepse en wereldwijde aanval op poort 7547

27-11-2016, 18:42 door Anoniem, 10 reacties
Hoewel deze kwetsbaarheid al jaren beken is https://tweakers.net/nieuws/100353/miljoenen-routers-kwetsbaar-voor-aanval-met-gemanipuleerde-cookies.html wordt op mijn server vandaag opeens op grote schaal vanuit de hele wereld op vrijwel alleen poort 7547 aangeklopt.

Mijn lijstje met landen tot dusverre CN,FR,DE,RU,KR,BR,GB,IE,AR,CL,SC,IR,TR

Je zou haast zeggen dat het hier een gecoördineerde aanval betreft omdat ze allemaal op dezelfde dag vanuit de hele wereld plaats vinden. Of is er soms een soort nieuwscentrum voor hackers waarop recent een artikel over deze poort staat gepubliceerd?

Als dat laatste het geval is hoor ik graag wat het webadres daarvan is, dan kan ik me in de toekomst op dit soort aanvallen voorbereiden.

Iemand hier enig idee waar deze aanval kan zijn getriggerd?
Reacties (10)
28-11-2016, 13:08 door Anoniem
Dat soort kanalen bevinden zich naar mijn weten vooral op allerlij Darknets. Wel eens erachteraan gejaagd, maar te veel moeite om de veranderende adressen e.d. bij te houden. Dat soort paginas doen goed hun best om uit het zicht te blijven van de normalere mens...

Jammer, gaf je wel inzichten vanaf de eerste rij met aankomende exploits.
28-11-2016, 14:47 door Anoniem
Door Anoniem:

Jammer, gaf je wel inzichten vanaf de eerste rij met aankomende exploits.

Dat is precies wat ik ook dacht. Temeer daar ik de indruk krijg dat dit soort aanvallen steeds meer een gecoördineerd karakter lijken te krijgen.

Momenteel doet hetzelfde zich als gisteren voor, maar nu met poort 60378

Geen idee wat er achter die poort zit want ik kan er absoluut niets relevants over vinden, maar het is voor die figuren blijkbaar toch een interessante poort.
28-11-2016, 14:59 door Anoniem
gecoordineerd ?

Dit gebeurd gewoon vanaf een botnet, je geeft je bots bijvoorbeeld de opdracht om te scannen naar exploits
!scan 104.20.0.0 - 105.20.0.0 exploit misfortunecookie

En alle botjes gaan het internet afscannen en waarmogelijk infecteren.
28-11-2016, 15:27 door Anoniem
Hier ook wat info, je bent dus niet de enige:
https://www.dshield.org/forums/diary/Port+7547+SOAP+Remote+Code+Execution+Attack+Against+DSL+Modems/21759/
28-11-2016, 15:27 door Erik van Straten
Zie https://isc.sans.edu/forums/diary/Port+7547+SOAP+Remote+Code+Execution+Attack+Against+DSL+Modems/21759/

Ik vermoed een relatie met https://www.security.nl/posting/494143/Storing+900_000+routers+Deutsche+Telekom+mogelijk+door+hack
28-11-2016, 16:10 door Anoniem
Door Erik van Straten:

Ik vermoed een relatie met https://www.security.nl/posting/494143/Storing+900_000+routers+Deutsche+Telekom+mogelijk+door+hack

Daar lijkt het inderdaad wel heel erg op.

En als het klopt wat "Anoniem 14:59" zegt dan moet dat wel een enorm botnet zijn, want ik kreeg gisteren urenlang 150-250 aanvallen per uur op poort 7547 van totaal verschillende ip adressen over de hele wereld.

En vandaag weer precies hetzelfde maar nu op poort 60378 Dus morgen krijgen we wellicht een vergelijkbaar bericht te zien als vandaag over Deutsche Telekom.
28-11-2016, 16:21 door Anoniem
Hier in Noorwegen ligt het betalingsverkeer van mijn bank eruit,de bank zelf kon ook niet bij de rekeningen komen.
Heeft dit er iets of niets mee te maken?

W.
29-11-2016, 20:19 door Anoniem
Door Anoniem:
... Of is er soms een soort nieuwscentrum voor hackers waarop recent een artikel over deze poort staat gepubliceerd?...
Die is er, nl https://www.security.nl
29-11-2016, 21:33 door Anoniem
Anoniem 16.21

De Rabobank ligt er nu ook uit.
Weet niet of dat met elkaar te maken heeft.
Is wel opvallend.
29-11-2016, 21:57 door Anoniem
Door Anoniem:
Door Anoniem:
... Of is er soms een soort nieuwscentrum voor hackers waarop recent een artikel over deze poort staat gepubliceerd?...
Die is er, nl https://www.security.nl

Nope. Try news.ycombinator.com
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure