Mein WLAN-Router wurde heute und vor 2 Wochen aus dem Internet angegriffen - sehr mysteriös das Ganze.
Symtome:
* volle Auslastung der 2Mbit DSL-Leitung
* beim Telefonieren kommt es zu Aussetzern
* aus dem Internet wird auf meinen lokalen Proxy-Server zugegriffen und in rasender Folge auf einschläge URLs zugegriffen:
Code:
2013-04-09 12:16:32.496 00001ca4 Crunch: Blocked: http://ad.globe7.com/st?ad_type=iframe&ad_size=160x600§ion=4189381&pub_url=${www.explorebusinessroad.com}
2013-04-09 12:16:32.527 00001ed8 Crunch: Blocked: http://
ib.adnxs.com/ttj?id=1261060
2013-04-09 12:16:32.590 0000084c Crunch: Blocked: http://ad.globe7.com/st?ad_type=iframe&ad_size=120x600§ion=4012918&pub_url=${PUB_URL}
2013-04-09 12:16:32.621 00001f60 Crunch: Blocked: http://ads1.ministerial5.com/creative/2-002134049-00001i;size=2
2013-04-09 12:16:32.621 00001d64 Crunch: Blocked: http://
ib.adnxs.com/ttj?id=1142116&cb=${CACHEBUSTER}&pubclick=${CLICK_URL}
2013-04-09 12:16:32.652 00003cac Crunch: Blocked: http://ads.yashi.com/1016/
2013-04-09 12:16:32.683 00001a88 Crunch: Blocked: http://
ib.adnxs.com/tt?id=866410&cb=${CACHEBUSTER}&pubclick=${CLICK_URL}&referrer=makemoneyhouse.com
Allerdings werden alle URLs von meinem Proxyserver geblockt.
Wenn ich meinen Proxyserver abschalte, kann ich mit Wireshark jede Menge
TCP - SYN Pakete mitschneiden, die von ganz unterschiedlichen IPv4-Adressen kommen.
Entweder wurden die IPs gefälscht oder es gibt dort drausen ein Botnetz das meinen Proxyserver benützen möchte.
Ein Neustart des Routers beendet den Spuk weil sich ja dann die öffentliche
IP des Routers geändert hat.
Mein Theorie sieht so aus:
ich surfe ganz normal im WWW und greife ungewollt auf einen bösen Webserver zu.
Dieser Webserver kennt nun meine öffentliche
IP und den Port.
Der Webserver führt einen Portscan aus und entdeckt meinen Proxyserver.
IP/Port werden an ein Botnetz weitergegeben, das dann meinen Proxyserver für einen DoS-Angriff (oder was immer das soll) benützt.