|
Angriff aus dem Internet
Liste der Anhänge anzeigen (Anzahl: 1)
Mein WLAN-Router wurde heute und vor 2 Wochen aus dem Internet angegriffen - sehr mysteriös das Ganze.
Symtome: * volle Auslastung der 2Mbit DSL-Leitung * beim Telefonieren kommt es zu Aussetzern * aus dem Internet wird auf meinen lokalen Proxy-Server zugegriffen und in rasender Folge auf einschläge URLs zugegriffen:
Code:
Allerdings werden alle URLs von meinem Proxyserver geblockt.
2013-04-09 12:16:32.496 00001ca4 Crunch: Blocked: http://ad.globe7.com/st?ad_type=iframe&ad_size=160x600§ion=4189381&pub_url=${www.explorebusinessroad.com}
2013-04-09 12:16:32.527 00001ed8 Crunch: Blocked: http://ib.adnxs.com/ttj?id=1261060 2013-04-09 12:16:32.590 0000084c Crunch: Blocked: http://ad.globe7.com/st?ad_type=iframe&ad_size=120x600§ion=4012918&pub_url=${PUB_URL} 2013-04-09 12:16:32.621 00001f60 Crunch: Blocked: http://ads1.ministerial5.com/creative/2-002134049-00001i;size=2 2013-04-09 12:16:32.621 00001d64 Crunch: Blocked: http://ib.adnxs.com/ttj?id=1142116&cb=${CACHEBUSTER}&pubclick=${CLICK_URL} 2013-04-09 12:16:32.652 00003cac Crunch: Blocked: http://ads.yashi.com/1016/ 2013-04-09 12:16:32.683 00001a88 Crunch: Blocked: http://ib.adnxs.com/tt?id=866410&cb=${CACHEBUSTER}&pubclick=${CLICK_URL}&referrer=makemoneyhouse.com Wenn ich meinen Proxyserver abschalte, kann ich mit Wireshark jede Menge TCP - SYN Pakete mitschneiden, die von ganz unterschiedlichen IPv4-Adressen kommen. Entweder wurden die IPs gefälscht oder es gibt dort drausen ein Botnetz das meinen Proxyserver benützen möchte. Ein Neustart des Routers beendet den Spuk weil sich ja dann die öffentliche IP des Routers geändert hat. Mein Theorie sieht so aus: ich surfe ganz normal im WWW und greife ungewollt auf einen bösen Webserver zu. Dieser Webserver kennt nun meine öffentliche IP und den Port. Der Webserver führt einen Portscan aus und entdeckt meinen Proxyserver. IP/Port werden an ein Botnetz weitergegeben, das dann meinen Proxyserver für einen DoS-Angriff (oder was immer das soll) benützt. |
AW: Angriff aus dem Internet
Kein DoS, die scheinen Klicks auf Werbebanner simulieren zu wollen, oder?
|
AW: Angriff aus dem Internet
Zitat:
Mein Proxyserver war bisher auch aus dem LAN erreichtbar. Das habe ich jetzt geändert, so dass der Proxyserver nur über 127.0.0.1 benützt werden kann. Aber wie die Hacker über den Router das NAT überwinden ist mir schleierhaft. Irgendwie haben sie es geschafft aus einer ausgehenden Verbindung eine Eingehende zu machen. :gruebel: |
AW: Angriff aus dem Internet
Bist du sicher das der Proxy aus dem Internet nicht erreichbar war? Du könntest ja mal Heise mal einen
 Portscan machen lassen. |
AW: Angriff aus dem Internet
Falls es sich außerdem um einen D-Link Router handelt, besteht Bedarf auf Firmware-Update - es kursiert irgende Lücke im Internet.
Ist immer blöd, wenns dann die Router betrifft. |
AW: Angriff aus dem Internet
Zitat:
Code:
Windows 7 Firewall ist aktiv.
internet <---------> WLAN Router <-------> Notebook (mit Proxy auf 0.0.0.0:8118)
Ein Portscan hat keine offene Port ergeben. Der Router ist eine Congstar Box (Speedport W701V Hardware). Ich werde mal nach einem Firmware Update schauen. |
AW: Angriff aus dem Internet
Zitat:
|
AW: Angriff aus dem Internet
Liste der Anhänge anzeigen (Anzahl: 1)
Ich glaube ich habe jetzt den Grund gefunden.
Von einem früheren Experiment ist im Router noch eine Portregel übriggeblieben. Damit kann man vom Internet auf meinen Proxyserver zugreifen. Aber anscheinend gibt es ein Botnetz, dass nach offenen Proxies sucht und für ihre Zwecke missbraucht. Da habe wohl noch Glück gehabt dass keine illegalen Dinge darüber gelaufen sind. |
AW: Angriff aus dem Internet
.. habe ich heute per mail bekommen:
Zitat:
Klaus |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:37 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz