Security Professionals - ipfw add deny all from eindgebruikers to any

Twee lokale IP adressen

21-09-2018, 09:42 door Anoniem, 44 reacties
Ik woon alleen thuis en niemand anders gebruikt het internet behalve ik.
Mijn laptop heeft alleen een wifi interface.
Hoe komt het dat er twee source IP adressen zijn 192.168.2.2 is mijn lokale IP adres en wie is 192.168.2.10 ik ben de enige die deze internet connectie gebruikt
192.168.2.2.49851 > X
192.168.2.10.47125 > X

Dit zijn lokale IP adressen.
Reacties (44)
21-09-2018, 13:27 door Anoniem
Door Anoniem: Ik woon alleen thuis en niemand anders gebruikt het internet behalve ik.
Mijn laptop heeft alleen een wifi interface.
Hoe komt het dat er twee source IP adressen zijn 192.168.2.2 is mijn lokale IP adres en wie is 192.168.2.10 ik ben de enige die deze internet connectie gebruikt
192.168.2.2.49851 > X
192.168.2.10.47125 > X

Dit zijn lokale IP adressen.

Dit ziet er verdacht uit, mag ik je toevallig vragen of je inkomende connecties van 127.0.0.1 naar 127.0.0.1 hebt gehad? Ik heb dit laatst ook gehad en bleek dat ik gespoofed was.
21-09-2018, 13:35 door Anoniem
Door Anoniem:
Door Anoniem: Ik woon alleen thuis en niemand anders gebruikt het internet behalve ik.
Mijn laptop heeft alleen een wifi interface.
Hoe komt het dat er twee source IP adressen zijn 192.168.2.2 is mijn lokale IP adres en wie is 192.168.2.10 ik ben de enige die deze internet connectie gebruikt
192.168.2.2.49851 > X
192.168.2.10.47125 > X

Dit zijn lokale IP adressen.

Dit ziet er verdacht uit, mag ik je toevallig vragen of je inkomende connecties van 127.0.0.1 naar 127.0.0.1 hebt gehad? Ik heb dit laatst ook gehad en bleek dat ik gespoofed was.

Klopt ik had meerdere malen connecties van
127.0.0.1 naar 127.0.0.53 op poort53

voor de rest kon ik niet op het internet en was alleen 1 ip adress met poort 9001 met mij verbonden via mijn eigen ip adress 192.168.2.2 met 176.165.28.X:9001
21-09-2018, 13:43 door Anoniem
Door Anoniem: Ik woon alleen thuis en niemand anders gebruikt het internet behalve ik.
Mijn laptop heeft alleen een wifi interface.
Hoe komt het dat er twee source IP adressen zijn 192.168.2.2 is mijn lokale IP adres en wie is 192.168.2.10 ik ben de enige die deze internet connectie gebruikt
192.168.2.2.49851 > X
192.168.2.10.47125 > X

Dit zijn lokale IP adressen.
Heb je een smartphone die koppelt aan WiFi? Printer? Smart thermostaat? Alarm? Camera? Nog iets anders, WiFi of bedraad? Niet vergeten, dat die dingen ook verbinden, dus dat eerst goed nalopen. Zet de lease van DHCP kort, zodat je kunt zien of het IP-adres wegvalt en terugkomt. Zet de DHCP range naar 1 adres en reserveer dat adres voor je laptop, dan kan er geen gebruik worden gemaakt van jouw netwerk. Let wel, vervang je die laptop, dan moet je de range vergroten en de nieuwe toevoegen. Gaat je laptop kapot, moet je de router terugzetten naar fabrieksinstellingen.
21-09-2018, 14:04 door Anoniem
Door Anoniem:
Door Anoniem: Ik woon alleen thuis en niemand anders gebruikt het internet behalve ik.
Mijn laptop heeft alleen een wifi interface.
Hoe komt het dat er twee source IP adressen zijn 192.168.2.2 is mijn lokale IP adres en wie is 192.168.2.10 ik ben de enige die deze internet connectie gebruikt
192.168.2.2.49851 > X
192.168.2.10.47125 > X

Dit zijn lokale IP adressen.
Heb je een smartphone die koppelt aan WiFi? Printer? Smart thermostaat? Alarm? Camera? Nog iets anders, WiFi of bedraad? Niet vergeten, dat die dingen ook verbinden, dus dat eerst goed nalopen. Zet de lease van DHCP kort, zodat je kunt zien of het IP-adres wegvalt en terugkomt. Zet de DHCP range naar 1 adres en reserveer dat adres voor je laptop, dan kan er geen gebruik worden gemaakt van jouw netwerk. Let wel, vervang je die laptop, dan moet je de range vergroten en de nieuwe toevoegen. Gaat je laptop kapot, moet je de router terugzetten naar fabrieksinstellingen.

Nee en wat raar is dat ik ik ben gaan inloggen op mijn modem en daar twee computers zag staan 192.168.2.2 en 192.168.2.10.
21-09-2018, 14:09 door Anoniem
Oh oh oh wat een dwalingen allemaal weer.
Simpele oplossing: vraag bij je router wat het MAC adres is wat hoort bij dit IP adres.
Dit kun je vinden bij de DHCP leases en/of in de ARP tabel.
Als je dit weet kijk je naar de 1e 3 hex getallen die er staan bijvoorbeeld 2C:27:D7
Dit kun je nazoeken in een lijst en dan weet je de fabrikant van het apparaat waar het om gaat.
(weet je niet hoe plaats die info dan hier dan zoekt iemand het wel voor je op)

Als je het merk eenmaal weet dan gaat er vaak wel een belletje rinkelen.
21-09-2018, 14:12 door Anoniem
Is 2.2 toevallig je router?
21-09-2018, 14:15 door Anoniem
die post over gespoofed is onzin, mogelijk de topicstarter ook.

https://db-ip.com/all/176.165.28 geeft aan dat je 9001 poort- ipadres een frans adres is, wellicht als je het hele ipadres een keer door google gooit dat je weet wat of wie het is.

download een portscanner, en scan die .10 eens een keer, kijken wat dat is. wellicht je buurman zijn mobiele foon, die een keer je wifi wachtwoord gekregen heeft.
en verder wat"Vandaag, 13:43 door Anoniem " zegt
21-09-2018, 14:15 door Anoniem
Vertel eens wat meer over je infrastructuur.

KPN modem, Ziggo of een FritzBox in huis, nog routers, hoe komt je wifi verbinding tot stand etc. ?
21-09-2018, 14:18 door Anoniem
Misschien eens het MAC adres laten zien? Zo kunnen we het device redelijk terug vinden. Alleen de eerste 6 tekens zijn van belang.
21-09-2018, 14:43 door Anoniem
Door Anoniem: Oh oh oh wat een dwalingen allemaal weer.
Simpele oplossing: vraag bij je router wat het MAC adres is wat hoort bij dit IP adres.
Dit kun je vinden bij de DHCP leases en/of in de ARP tabel.
Als je dit weet kijk je naar de 1e 3 hex getallen die er staan bijvoorbeeld 2C:27:D7
Dit kun je nazoeken in een lijst en dan weet je de fabrikant van het apparaat waar het om gaat.
(weet je niet hoe plaats die info dan hier dan zoekt iemand het wel voor je op)

Als je het merk eenmaal weet dan gaat er vaak wel een belletje rinkelen.
Ik heb het Mac adress van de Machine dat is het probleem niet d4:90:9c:6a:9c:2a en ik kan het ook blokken als je dat zo graag wilt weten.
De vraag is alleen hoe is het in mijn modem/router binnen gekomen en hoe is het in mijn computer gekomen?
21-09-2018, 14:46 door Anoniem
Door Anoniem: Is 2.2 toevallig je router?
Nee mijn router is 192.168.2.254
192.168.2.2 is mijn eigen IP adres
192.168.1.10:52777 verstuurd pakketten naar mijn DNS 192.168.1.1:53
21-09-2018, 15:18 door Anoniem
Door Anoniem: die post over gespoofed is onzin, mogelijk de topicstarter ook.

https://db-ip.com/all/176.165.28 geeft aan dat je 9001 poort- ipadres een frans adres is, wellicht als je het hele ipadres een keer door google gooit dat je weet wat of wie het is.

download een portscanner, en scan die .10 eens een keer, kijken wat dat is. wellicht je buurman zijn mobiele foon, die een keer je wifi wachtwoord gekregen heeft.
en verder wat"Vandaag, 13:43 door Anoniem " zegt

Heb deze uiteraard gescanned met nmap, maar kreeg geen respons.
bij arp -a had ik zijn Mac adres en het bleek om een door appel geleverde apparaat te zijn.
21-09-2018, 15:19 door Anoniem
Door Anoniem: Misschien eens het MAC adres laten zien? Zo kunnen we het device redelijk terug vinden. Alleen de eerste 6 tekens zijn van belang.

Het gaat om een apple Machine dat had ik al uitgezocht.
21-09-2018, 15:20 door Anoniem
Door Anoniem: die post over gespoofed is onzin, mogelijk de topicstarter ook.

https://db-ip.com/all/176.165.28 geeft aan dat je 9001 poort- ipadres een frans adres is, wellicht als je het hele ipadres een keer door google gooit dat je weet wat of wie het is.

download een portscanner, en scan die .10 eens een keer, kijken wat dat is. wellicht je buurman zijn mobiele foon, die een keer je wifi wachtwoord gekregen heeft.
en verder wat"Vandaag, 13:43 door Anoniem " zegt

Niemand heeft mijn Wifi wachtwoord gekregen.
21-09-2018, 15:22 door Anoniem
Door Anoniem: Vertel eens wat meer over je infrastructuur.

KPN modem, Ziggo of een FritzBox in huis, nog routers, hoe komt je wifi verbinding tot stand etc. ?

Ik heb een modem van KPN en ben rechtstreeks met de modem verbonden via je de wifi gewoon.
21-09-2018, 15:26 door Anoniem
Door Anoniem:
Door Anoniem: Oh oh oh wat een dwalingen allemaal weer.
Simpele oplossing: vraag bij je router wat het MAC adres is wat hoort bij dit IP adres.
Dit kun je vinden bij de DHCP leases en/of in de ARP tabel.
Als je dit weet kijk je naar de 1e 3 hex getallen die er staan bijvoorbeeld 2C:27:D7
Dit kun je nazoeken in een lijst en dan weet je de fabrikant van het apparaat waar het om gaat.
(weet je niet hoe plaats die info dan hier dan zoekt iemand het wel voor je op)

Als je het merk eenmaal weet dan gaat er vaak wel een belletje rinkelen.
Ik heb het Mac adress van de Machine dat is het probleem niet d4:90:9c:6a:9c:2a en ik kan het ook blokken als je dat zo graag wilt weten.
De vraag is alleen hoe is het in mijn modem/router binnen gekomen en hoe is het in mijn computer gekomen?
Dat is een Apple device. Heb je een iPhone of iPad of Apple TV (of Macbook)?
21-09-2018, 15:31 door Anoniem
Is je IPhone zie hier: https://hwaddress.com/oui-iab/D4-90-9C
21-09-2018, 15:35 door Anoniem
Dude je bent over Tor gehacked, vergevorderde hackers zoals inlichtingendiensten en top criminelen gebruiken Tor om te hacken.
Voordat iedereen mij bashen ga eerst goed onderzoek doen doen!
21-09-2018, 15:36 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Oh oh oh wat een dwalingen allemaal weer.
Simpele oplossing: vraag bij je router wat het MAC adres is wat hoort bij dit IP adres.
Dit kun je vinden bij de DHCP leases en/of in de ARP tabel.
Als je dit weet kijk je naar de 1e 3 hex getallen die er staan bijvoorbeeld 2C:27:D7
Dit kun je nazoeken in een lijst en dan weet je de fabrikant van het apparaat waar het om gaat.
(weet je niet hoe plaats die info dan hier dan zoekt iemand het wel voor je op)

Als je het merk eenmaal weet dan gaat er vaak wel een belletje rinkelen.
Ik heb het Mac adress van de Machine dat is het probleem niet d4:90:9c:6a:9c:2a en ik kan het ook blokken als je dat zo graag wilt weten.
De vraag is alleen hoe is het in mijn modem/router binnen gekomen en hoe is het in mijn computer gekomen?
Dat is een Apple device. Heb je een iPhone of iPad of Apple TV (of Macbook)?

Nee heb totaal geen producten van Apple dat vond ik dus ook al het rare...
21-09-2018, 17:27 door Anoniem
KPN Fon?
21-09-2018, 17:34 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Oh oh oh wat een dwalingen allemaal weer.
Simpele oplossing: vraag bij je router wat het MAC adres is wat hoort bij dit IP adres.
Dit kun je vinden bij de DHCP leases en/of in de ARP tabel.
Als je dit weet kijk je naar de 1e 3 hex getallen die er staan bijvoorbeeld 2C:27:D7
Dit kun je nazoeken in een lijst en dan weet je de fabrikant van het apparaat waar het om gaat.
(weet je niet hoe plaats die info dan hier dan zoekt iemand het wel voor je op)

Als je het merk eenmaal weet dan gaat er vaak wel een belletje rinkelen.
Ik heb het Mac adress van de Machine dat is het probleem niet d4:90:9c:6a:9c:2a en ik kan het ook blokken als je dat zo graag wilt weten.
De vraag is alleen hoe is het in mijn modem/router binnen gekomen en hoe is het in mijn computer gekomen?
Dat is een Apple device. Heb je een iPhone of iPad of Apple TV (of Macbook)?

Nee heb totaal geen producten van Apple dat vond ik dus ook al het rare...

Je kan gehacked zijn, dit kan zowel vanuit buiten plaats gevonden zijn of dat gewoon je buurman je wifi steelt.
21-09-2018, 18:02 door Anoniem
Door Anoniem:
Door Anoniem: Misschien eens het MAC adres laten zien? Zo kunnen we het device redelijk terug vinden. Alleen de eerste 6 tekens zijn van belang.

Het gaat om een apple Machine dat had ik al uitgezocht.

Had je natuurlijk ook even kunnen melden. Scheelt ons weer onnodig tijd.....

Maar is de lease nog actueel, of niet? Kan je het device pingen.

Door Anoniem:

Je kan gehacked zijn, dit kan zowel vanuit buiten plaats gevonden zijn of dat gewoon je buurman je wifi steelt.
Of iemand heeft toch zijn wifi code een keer gekregen. Die kans is groter dan een hacker..
21-09-2018, 18:19 door Anoniem
Door Anoniem: Is je IPhone zie hier: https://hwaddress.com/oui-iab/D4-90-9C

Ik heb geen iphone...
21-09-2018, 18:22 door Anoniem
Wat ook raar was is dat binnen enkele seconden
192.168.2.10
20 keer met 192.168.1.1:53 de DNS server mee in contact was
21-09-2018, 20:50 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Misschien eens het MAC adres laten zien? Zo kunnen we het device redelijk terug vinden. Alleen de eerste 6 tekens zijn van belang.

Het gaat om een apple Machine dat had ik al uitgezocht.

Had je natuurlijk ook even kunnen melden. Scheelt ons weer onnodig tijd.....

Maar is de lease nog actueel, of niet? Kan je het device pingen.

Door Anoniem:

Je kan gehacked zijn, dit kan zowel vanuit buiten plaats gevonden zijn of dat gewoon je buurman je wifi steelt.
Of iemand heeft toch zijn wifi code een keer gekregen. Die kans is groter dan een hacker..

Ik kan de device niet pingen.
Krijg een Request timeout for icmp_seq

Ik geef aan dat ik mijn wifi wachtwoord niet heb gegeven
21-09-2018, 21:45 door Anoniem
Dat MAC adres zegt natuurlijk helemaal niks. Kan makkelijk gespoofd worden.
Je kan natuurlijk het MAC adres blokkeren in de DHCP server. Kijk of er een ander MAC gaat verbinden met je netwerk.
Trek eens een PCAP en ga deze analyseren.
Poort. 53 is populair om over te tunnelen, aangezien de meeste firewalls poort 53 doorlaten (voor DNS verkeer).

Anders verander je toch het WW van je WiFi? Kijken of je zo dit apparaat weg krijgt.

Zo maar wat ideeen.
21-09-2018, 22:13 door Anoniem
Ik zou mn router firmware upgraden, wifi wachtwoord veranderen, en laptop opnieuw installeren.

Kan je dataverkeer zien? Wireshark?
22-09-2018, 10:07 door Anoniem
Door Anoniem: Dat MAC adres zegt natuurlijk helemaal niks. Kan makkelijk gespoofd worden.
Je kan natuurlijk het MAC adres blokkeren in de DHCP server. Kijk of er een ander MAC gaat verbinden met je netwerk.
Trek eens een PCAP en ga deze analyseren.
Poort. 53 is populair om over te tunnelen, aangezien de meeste firewalls poort 53 doorlaten (voor DNS verkeer).

Anders verander je toch het WW van je WiFi? Kijken of je zo dit apparaat weg krijgt.

Zo maar wat ideeen.

Het rare is, ik in mijn modem heb ik gekeken hoe deze persoon is ingelogd en deze persoon is bekabeld ingelogd. Dus deze persoon heeft niet als wifi ingelogd. De Mac adress had ik geblokeerd inderdaad en toen was deze persoon weg maar even later en dit heb ik nog nooit meegemaakt was deze persoon weer bekabeld ingelogd (ik heb geen kabels aan de modem dus dit is onmogelijk) en het rare was dit maal waar er vorige keer een Mac adress was stond er dit keer unknown MAC address.

Verder heb ik de IP adressen in virustotal gegooid en zag ik dat er verschillende Trojans via dat IP adress werden verstuurd.

Hoe kan ik zien dat ik getunneld ben?
Ik zie dat localhost 127.0.0.1 via poort 37148 met 127.0.0.53 op 53 (DNS) communiceert dat ben ik dus waarschijnlijk en dat 192.168.2.10 met de DNS server op 192.168.1.1 op poort 53
en ik heb een nieuwe ontdekt
192.168.1.137 op 192.168.1.1 op poort 53
nadat ik de vorige IP adress reeksen had geblocked in de reeks van 192.168.2.\ behalve de IP adress van de router.

Ik vind het ook raar dat er een IP reeks van 192.168.1. te voorschijn komt nu.
22-09-2018, 11:34 door Anoniem
Door Anoniem:
Door Anoniem: Dat MAC adres zegt natuurlijk helemaal niks. Kan makkelijk gespoofd worden.
Je kan natuurlijk het MAC adres blokkeren in de DHCP server. Kijk of er een ander MAC gaat verbinden met je netwerk.
Trek eens een PCAP en ga deze analyseren.
Poort. 53 is populair om over te tunnelen, aangezien de meeste firewalls poort 53 doorlaten (voor DNS verkeer).

Anders verander je toch het WW van je WiFi? Kijken of je zo dit apparaat weg krijgt.

Zo maar wat ideeen.

Het rare is, ik in mijn modem heb ik gekeken hoe deze persoon is ingelogd en deze persoon is bekabeld ingelogd. Dus deze persoon heeft niet als wifi ingelogd. De Mac adress had ik geblokeerd inderdaad en toen was deze persoon weg maar even later en dit heb ik nog nooit meegemaakt was deze persoon weer bekabeld ingelogd (ik heb geen kabels aan de modem dus dit is onmogelijk) en het rare was dit maal waar er vorige keer een Mac adress was stond er dit keer unknown MAC address.

Verder heb ik de IP adressen in virustotal gegooid en zag ik dat er verschillende Trojans via dat IP adress werden verstuurd.

Hoe kan ik zien dat ik getunneld ben?
Ik zie dat localhost 127.0.0.1 via poort 37148 met 127.0.0.53 op 53 (DNS) communiceert dat ben ik dus waarschijnlijk en dat 192.168.2.10 met de DNS server op 192.168.1.1 op poort 53
en ik heb een nieuwe ontdekt
192.168.1.137 op 192.168.1.1 op poort 53
nadat ik de vorige IP adress reeksen had geblocked in de reeks van 192.168.2.\ behalve de IP adress van de router.

Ik vind het ook raar dat er een IP reeks van 192.168.1. te voorschijn komt nu.
Door Anoniem: Dat MAC adres zegt natuurlijk helemaal niks. Kan makkelijk gespoofd worden.
Je kan natuurlijk het MAC adres blokkeren in de DHCP server. Kijk of er een ander MAC gaat verbinden met je netwerk.
Trek eens een PCAP en ga deze analyseren.
Poort. 53 is populair om over te tunnelen, aangezien de meeste firewalls poort 53 doorlaten (voor DNS verkeer).

Anders verander je toch het WW van je WiFi? Kijken of je zo dit apparaat weg krijgt.

Zo maar wat ideeen.
Ik had dit ook laatst precies hoe jij dit beschrijft en had toen Ransomware gekregen
22-09-2018, 12:32 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Dat MAC adres zegt natuurlijk helemaal niks. Kan makkelijk gespoofd worden.
Je kan natuurlijk het MAC adres blokkeren in de DHCP server. Kijk of er een ander MAC gaat verbinden met je netwerk.
Trek eens een PCAP en ga deze analyseren.
Poort. 53 is populair om over te tunnelen, aangezien de meeste firewalls poort 53 doorlaten (voor DNS verkeer).

Anders verander je toch het WW van je WiFi? Kijken of je zo dit apparaat weg krijgt.

Zo maar wat ideeen.

Het rare is, ik in mijn modem heb ik gekeken hoe deze persoon is ingelogd en deze persoon is bekabeld ingelogd. Dus deze persoon heeft niet als wifi ingelogd. De Mac adress had ik geblokeerd inderdaad en toen was deze persoon weg maar even later en dit heb ik nog nooit meegemaakt was deze persoon weer bekabeld ingelogd (ik heb geen kabels aan de modem dus dit is onmogelijk) en het rare was dit maal waar er vorige keer een Mac adress was stond er dit keer unknown MAC address.

Verder heb ik de IP adressen in virustotal gegooid en zag ik dat er verschillende Trojans via dat IP adress werden verstuurd.

Hoe kan ik zien dat ik getunneld ben?
Ik zie dat localhost 127.0.0.1 via poort 37148 met 127.0.0.53 op 53 (DNS) communiceert dat ben ik dus waarschijnlijk en dat 192.168.2.10 met de DNS server op 192.168.1.1 op poort 53
en ik heb een nieuwe ontdekt
192.168.1.137 op 192.168.1.1 op poort 53
nadat ik de vorige IP adress reeksen had geblocked in de reeks van 192.168.2.\ behalve de IP adress van de router.

Ik vind het ook raar dat er een IP reeks van 192.168.1. te voorschijn komt nu.
Door Anoniem: Dat MAC adres zegt natuurlijk helemaal niks. Kan makkelijk gespoofd worden.
Je kan natuurlijk het MAC adres blokkeren in de DHCP server. Kijk of er een ander MAC gaat verbinden met je netwerk.
Trek eens een PCAP en ga deze analyseren.
Poort. 53 is populair om over te tunnelen, aangezien de meeste firewalls poort 53 doorlaten (voor DNS verkeer).

Anders verander je toch het WW van je WiFi? Kijken of je zo dit apparaat weg krijgt.

Zo maar wat ideeen.
Ik had dit ook laatst precies hoe jij dit beschrijft en had toen Ransomware gekregen

Daarnaast ontvang verstuurd deze IP adress
192.168.2.10.60234 > 239.255.255.250.ssdp: UDP, length 125
192.168.2.10.60234 > 239.255.255.250.ssdp: UDP, length 125

en 239.255.255.250 is een Multicast-ip, een techniek waarbij een ip-pakketje "gebroadcast" wordt naar alle apparaten die naar een bepaalde poort binnen je netwerk luisteren gestuurd dus ik vraag mij serieus af wat er aan de handt is.
Deze 192.168.2.10 is nu verdwenen van mijn router (ik zie geen 192.168.2.10 meer daar staan) maar in tcpdump zie ik wel dat 192.168.2.10 via mijn laptop aan het communiceren is.
Ik zie in de router en modem dat mijn IP nogsteeds 192.168.2.2 is.
Ik heb UPNP ook uitstaan op mijn modem...
22-09-2018, 16:05 door Anoniem
Door Anoniem: Dat MAC adres zegt natuurlijk helemaal niks. Kan makkelijk gespoofd worden.
Je kan natuurlijk het MAC adres blokkeren in de DHCP server. Kijk of er een ander MAC gaat verbinden met je netwerk.
Trek eens een PCAP en ga deze analyseren.
Poort. 53 is populair om over te tunnelen, aangezien de meeste firewalls poort 53 doorlaten (voor DNS verkeer).

Anders verander je toch het WW van je WiFi? Kijken of je zo dit apparaat weg krijgt.

Zo maar wat ideeen.

Wat bedoel je met het laatste gedeelte over tunnelen?
22-09-2018, 20:57 door Anoniem
Hitman Pro en Adwcleaner laten scannen en schoonmaken.
22-09-2018, 21:41 door Anoniem
Door Anoniem:
Door Anoniem: Dat MAC adres zegt natuurlijk helemaal niks. Kan makkelijk gespoofd worden.
Je kan natuurlijk het MAC adres blokkeren in de DHCP server. Kijk of er een ander MAC gaat verbinden met je netwerk.
Trek eens een PCAP en ga deze analyseren.
Poort. 53 is populair om over te tunnelen, aangezien de meeste firewalls poort 53 doorlaten (voor DNS verkeer).

Anders verander je toch het WW van je WiFi? Kijken of je zo dit apparaat weg krijgt.

Zo maar wat ideeen.

Wat bedoel je met het laatste gedeelte over tunnelen?

Dat je in een pakketje met dest port 53 andere informatie stopt dan een DNS verzoek. Die informatie kan van alles zijn. Callback naar een CnC server bijvoorbeeld. Of als het een TCP pakket over 53 is kan er ook een reverse shell in verstopt zijn.
Zo is er nog wel meer mogelijk.


Kijk ook hier eens:

https://www.speedguide.net/port.php?port=53
23-09-2018, 08:46 door Anoniem
@TS, ik vermoed dat je main pc gehacked is. Hier een VM o.i.d. op draait die via je gewone draadje via virtual switch en DHCP een nieuw IP krijgt. En vervolgens d.m.v. Iodine o.i.d. via poort 53 (DNS) naar communiceert met inderdaad een Command and Control server.

Als je UTP stekker pc los haalt van het router, dan hoort 192.168.178.2 weg te vallen. Wat ik mij afvraag of dat mede ook 192.168.178.10 weg valt. Zo ja, is vermoedelijk je PC gehacked. Zo niet, schakel wifi eens uit. (Ja, ik begrijp dat je het wifi wachtwoord niet hebt afgegeven, maar daar zijn meerdere manieren voor).

Ik zou eens de vinger gaan leggen op waar deze 192.168.178.10 vandaan komt. En een mac adres spoofen is peanuts, dus of het daadwerkelijk om een Apple device gaat??

Daarnaast zou ik je niet willen adviseren dingen te blocken zonder je weet wat het is. I.v.m. bovenstaande mogelijkheid.

Succes!
x0L0x
23-09-2018, 15:27 door Anoniem
Door Anoniem: @TS, ik vermoed dat je main pc gehacked is. Hier een VM o.i.d. op draait die via je gewone draadje via virtual switch en DHCP een nieuw IP krijgt. En vervolgens d.m.v. Iodine o.i.d. via poort 53 (DNS) naar communiceert met inderdaad een Command and Control server.

Als je UTP stekker pc los haalt van het router, dan hoort 192.168.178.2 weg te vallen. Wat ik mij afvraag of dat mede ook 192.168.178.10 weg valt. Zo ja, is vermoedelijk je PC gehacked. Zo niet, schakel wifi eens uit. (Ja, ik begrijp dat je het wifi wachtwoord niet hebt afgegeven, maar daar zijn meerdere manieren voor).

Ik zou eens de vinger gaan leggen op waar deze 192.168.178.10 vandaan komt. En een mac adres spoofen is peanuts, dus of het daadwerkelijk om een Apple device gaat??

Daarnaast zou ik je niet willen adviseren dingen te blocken zonder je weet wat het is. I.v.m. bovenstaande mogelijkheid.

Succes!
x0L0x

Dankjewel voor de Info,
Wat ik gedaan had toen ik gehacked werd is inderdaad de wifi uitschakelen en via kabel internetten en had mijn ip op statische IP adress gezet.
Wat er toen gebeurde is dat mijn oude IP adress met een uitgaande IP adress aan het communiceren was over poort 9001
192.168.2.2.49851 > X:9001

en dat ik stuk of 40 keer
192.168.1.137:43520 > 192.168.1.1:53
DNS requests zag met een paar keer
127.0.0.1:37148 > 127.0.0.53:53

Het gaat trouwens om een machine waar ik bitcoins aan het minnen ben.

Ik wil dus ook weten waar die 192.168.1.137 vandaan komt ik heb wel de IP adress van de autoput maar dat veranderd steeds

Wat bedoel je met "M o.i.d. op draait die via je gewone draadje via virtual switch en DHCP een nieuw IP krijgt. En vervolgens d.m.v. Iodine"
24-09-2018, 08:49 door Anoniem
Je pc is bekabeld aangesloten op een switch poort in je router. Een switch zal alleen netwerkverkeer over een poort sturen voor computers die op die poort zijn aangesloten. Dus als de switch in de router netwerkverkeer bedoeld voor 192.168.1.137 naar je pc toe stuurt, dan is dit dus een IP op jouw pc.

Zoals je waarschijnlijk weet kan je op je pc meerdere MAC adressen hebben, en per MAC adres meerdere IP nummers.

Ik zou nu eerst met Wireshark op je PC gaan luisteren en bekijken welk netwerkverkeer de router naar jou pc toestuurt. Als je 192.168.1.137 naar je toegestuurd krijgt, dan is er dus een proces op je pc dat luistert naar dit IP.

En dat kan dus een verborgen virtuele machine zijn.
24-09-2018, 10:15 door Anoniem
Door Anoniem: Je pc is bekabeld aangesloten op een switch poort in je router. Een switch zal alleen netwerkverkeer over een poort sturen voor computers die op die poort zijn aangesloten. Dus als de switch in de router netwerkverkeer bedoeld voor 192.168.1.137 naar je pc toe stuurt, dan is dit dus een IP op jouw pc.

Zoals je waarschijnlijk weet kan je op je pc meerdere MAC adressen hebben, en per MAC adres meerdere IP nummers.

Ik zou nu eerst met Wireshark op je PC gaan luisteren en bekijken welk netwerkverkeer de router naar jou pc toestuurt. Als je 192.168.1.137 naar je toegestuurd krijgt, dan is er dus een proces op je pc dat luistert naar dit IP.

En dat kan dus een verborgen virtuele machine zijn.
Normaliter gaat mijn DNS verkeer altijd naar openDNS server.
Ik heb had inderdaad de MAC adressen bekeken en de MAc adressen die in mijn router is niet van mij.
De Mac adress die hieronder staat bestaat niet eens a0:ae:90:46:4e:8a
Ethernet II, Src: Cisco_ff:fc:7c (00:08:e3:ff:fc:7c), Dst: a0:ae:90:46:4e:8a (a0:ae:90:46:4e:8a)
(Cisco is mijn router)

Deze Mac adres zit wel geregistreerd in mijn router en had de wifi ook uitgeschakeld.
24-09-2018, 15:49 door Anoniem
Dus, was het je mobiel die WiFi gebruikt?
24-09-2018, 16:02 door Anoniem
Door Anoniem: Dus, was het je mobiel die WiFi gebruikt?

Nee wifi is uitgeschakeld dus zoals ik zeg is het onmogelijk om met wifi op deze modem te komen.....
24-09-2018, 17:18 door Anoniem
Fritz
gebruiksaanwijzing
lezen
24-09-2018, 17:53 door Anoniem
Door Anoniem: Je pc is bekabeld aangesloten op een switch poort in je router. Een switch zal alleen netwerkverkeer over een poort sturen voor computers die op die poort zijn aangesloten. Dus als de switch in de router netwerkverkeer bedoeld voor 192.168.1.137 naar je pc toe stuurt, dan is dit dus een IP op jouw pc.

Zoals je waarschijnlijk weet kan je op je pc meerdere MAC adressen hebben, en per MAC adres meerdere IP nummers.

Ik zou nu eerst met Wireshark op je PC gaan luisteren en bekijken welk netwerkverkeer de router naar jou pc toestuurt. Als je 192.168.1.137 naar je toegestuurd krijgt, dan is er dus een proces op je pc dat luistert naar dit IP.

En dat kan dus een verborgen virtuele machine zijn.

Hoe detecteer ik een virtuele machine?
Het is UDP traffic wat deze persoon verstuurd over DNS zodat deze mooi onder de radar blijft.
24-09-2018, 18:34 door Anoniem
Door Anoniem: Fritz
gebruiksaanwijzing
lezen

Ik weet hoe mijn Modem ingesteld is.
24-09-2018, 18:35 door Anoniem
Door Anoniem:
Door Anoniem: Je pc is bekabeld aangesloten op een switch poort in je router. Een switch zal alleen netwerkverkeer over een poort sturen voor computers die op die poort zijn aangesloten. Dus als de switch in de router netwerkverkeer bedoeld voor 192.168.1.137 naar je pc toe stuurt, dan is dit dus een IP op jouw pc.

Zoals je waarschijnlijk weet kan je op je pc meerdere MAC adressen hebben, en per MAC adres meerdere IP nummers.

Ik zou nu eerst met Wireshark op je PC gaan luisteren en bekijken welk netwerkverkeer de router naar jou pc toestuurt. Als je 192.168.1.137 naar je toegestuurd krijgt, dan is er dus een proces op je pc dat luistert naar dit IP.

En dat kan dus een verborgen virtuele machine zijn.

Hoe detecteer ik een virtuele machine?
Het is UDP traffic wat deze persoon verstuurd over DNS zodat deze mooi onder de radar blijft.

Een virtuele machine kan je niet detecteren
24-09-2018, 21:33 door Anoniem
Een virtuele machine gebruiken hackers om sporen van hun hack te wissen, en dan voeren ze hun hack in de virtuele machine uit zodat je niks van hack vinden, tergelijker tijd met jouw DNS tunnel hebben de hackers een geadvanceerde hack in elkaar zet lijkt het.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.