Attacker

[webbaccess.net]

Nu har jag haft under en tid attacker mot min lina, jag har tagit kontakt med dem berörda företagen om detta men dem anser att detta är okej(?)

 

är detta någon som kan hjälpa mig?

http://webbaccess.net/v4/router071217.txt

http://webbaccess.net/v4/abuse-nocom.txt (Fått reda på att det är RixPort80)

http://webbaccess.net/v4/abuse-ownit.txt (här saknas väldigt mycket på denna listan)

http://webbaccess.net/v4/abuse-tre.txt (här är väldigt mycket borttaget för att filen inte skulle bli för lång)

 

Jag förstår inte hur abuse (avdelningarna?) bara kan strunta i detta

 

[Stefan Eklinder]

 

Behöver inte vara hackers som är i farten. Kan vara en mask, trojan eller dyligt som scannar av nätet efter kända säkerhetshål.

 

Att sätta dit en hacker är inte så lätt. Dom är skickliga på att dölja sig bakom botnets och proxys. Spåras IP-numret till någon, så kan det vara oskyldiga Svensson som inte har en susning om att deras dator används i attacksyften.

 

Jag förstår inte hur abuse (avdelningarna?) bara kan strunta i detta

 

Förmodligen ser dom det inte så allvarligt att åtgärd behöver vidtas. Dessutom härrör tydligen IP-numret från ett företag. RixPort80.

 

Har du något med dom att göra - RixPort80?

Ser att dom är internetleverantör för både företag och privatpersoner.

 

Du borde kanske ta kontakt med dom istället och fråga vad dom sysslar med. Om du inte redan gjort det?

 

---

C:\Eforum\Stefan Eklinder>|

 

"Om allt verkar gå bra, måste du ha missat något."

 

- Steven Wright

 

 

[inlägget ändrat 2007-12-17 15:53:20 av Stefan Eklinder]

[webbaccess.net]

Enligt den informationen jag fick ut när jag kollade ipadressen så var det att

"NoCom" som ägde ip adressen, så jag tog kontakt med dem och fick till svar att det var antingen "RixPort80" som ägde ipadressen. Tog kontakt med RixPort80 angående detta och fick till svar att det är "Arete Internet AB" som ägde den. tog kontakt med detta företaget och fick följande svar:

 

[log]Hej!

 

Tjänsten som skickar dessa paket är Network Time Protocol (NTP), eller

tidssynkronisering över internet. Jag har en sådan server, och klienter

ingår i de flesta operativsystem (t ex Windows).

Troligtvis skickar någon av klienterna i ditt nätverk förfrågningar till

min server, men svaren blockas i din brandvägg och rapporteras som någon

slags attack.

Du kan antingen stänga av NTP på dina datorer (dock så kan klockorna

driva iväg om man inte synkroniserar dem), eller konfigurera om

brandväggen så att den tillåter NTP.

http://en.wikipedia.org/wiki/Network_Time_Protocol

 

Mvh Johan

[/log] Från Blinkenlights.se(!?)

 

svarade dem med följande:

[log]Hej Johan!

 

Dem servrar och klienter som finns på denna Internet linan använder en lokal server som i sin tur använder time.windows.com, så det är en dålig ursäkt anser jag.

 

Det är mot samma port, men med olika ägare av adresserna...

 

· Tre

· RixPort80

· Ownit

· Swipnet (Romelebygdens Kabel-TV AB)

· TeliaSonera AB (Caligosolutions)

Etc. etc.

 

Så det är fullt tillåtet enligt er att det skickas NTP trafik från olika bolag hela tiden?

 

Med vänlig hälsning

 

Peter

[/log]

Vilket gav

[log]Hej

 

Det är fullt möjligt att time.windows.com i sin tur använder NTP-poolen

( http://www.pool.ntp.org/ ) där min server är med.

 

Jag vet inte vad du vill ha sagt med den senare delen av mailet, men jag

kan försäkra dig om att ingen här försöker attackera dig. Förfrågan

initieras ju från ditt håll (klienten), så det är väl snarare du som

attackerar någon i så fall.

[/log]

Som svar...

Tycker att detta är en massa bjäbbande mellan alla olika företag.

 

Det enda jag har med RixPort80 att göra är att jag använder deras IRC server (som jag inte ens använder från denna linan...)

 

Vad finns det att göra mot detta?

 

Edit.

Även någon kund från företaget 3 (Tre) har försökt attakera mig men på andra portar...

http://webbaccess.net/v4/abuse-tre.txt

Mailar man till antingen abuse@tre.se eller info@tre.se så får man tillbaka svar att "den adressen du försöker nå finns inte listad på denna server." Men ringer man så blir man skickad från ena personen till den andra personen och ingen kan svara på var jag ska skicka loggen

[inlägget ändrat 2007-12-17 16:20:07 av webbaccess.net]

[Cecilia]

Har du prövat med vad som händer om du slutar använda time.windows.com för tidsuppdatering?

 

[webbaccess.net]

Såg nu att jag har inte det aktiverat, så jag måste ha avaktiverat det tidigare. men jag förstår inte varför det är sekund efter sekund routern blockerar.

 

[webbaccess.net]

Nu har det gått 3 dagar sedan jag senast fick svar på mina loggar...

Ska efter jul ringa upp dem berörda leverantörerna så jag kan få reda på hur dem tänker med attacker m.m.

 

[joe]

Precis som en av lev skrev så är ju mycket av det du ser NTP-svar. Dvs en NTP server som på begäran från din IP-address skickar ett svar på tidssynkningen.

 

Du bör nog logga noga vad du eg skickar ut i form av NTP (port 123) innan du börjar jaga dem, för baserat på dina loggar är det risk för att man snarare ser det som abuse från ditt håll om du skickar NTP requests var o varannan sekund.

 

[webbaccess.net]

Kan du förklara varför det fortsätter även när allt är nerstängt?

 

även att någon försöker attakera mig igen fast från turkiet?

 

[log]9 12/23/2007 23:10:51 Unrecognized attempt blocked from 89.149.196.238:7777 to 90.227.240.221 UDP:61877

10 12/23/2007 23:10:53 Unrecognized attempt blocked from 89.149.196.238:7777 to 90.227.240.221 UDP:61877

11 12/23/2007 23:10:53 Unrecognized attempt blocked from 89.149.196.238:7777 to 90.227.240.221 UDP:61877

12 12/23/2007 23:10:53 Unrecognized attempt blocked from 89.149.196.238:7777 to 90.227.240.221 UDP:61877

13 12/23/2007 23:10:53 Unrecognized attempt blocked from 89.149.196.238:7777 to 90.227.240.221 UDP:61877

15 12/23/2007 23:10:54 Unrecognized attempt blocked from 89.149.196.238:7777 to 90.227.240.221 UDP:61877

16 12/23/2007 23:10:56 Unrecognized attempt blocked from 89.149.196.238:7777 to 90.227.240.221 UDP:61877

17 12/23/2007 23:10:57 Unrecognized attempt blocked from 89.149.196.238:7777 to 90.227.240.221 UDP:61877

19 12/23/2007 23:10:59 Unrecognized attempt blocked from 89.149.196.238:7777 to 90.227.240.221 UDP:61877

20 12/23/2007 23:11:00 Unrecognized attempt blocked from 89.149.196.238:7777 to 90.227.240.221 UDP:61877

21 12/23/2007 23:11:02 Unrecognized attempt blocked from 89.149.196.238:7777 to 90.227.240.221 UDP:61877

22 12/23/2007 23:11:02 Unrecognized attempt blocked from 89.149.196.238:7777 to 90.227.240.221 UDP:61877

23 12/23/2007 23:11:03 Unrecognized attempt blocked from 89.149.196.238:7777 to 90.227.240.221 UDP:61877

25 12/23/2007 23:11:05 Unrecognized attempt blocked from 89.149.196.238:7777 to 90.227.240.221 UDP:61877[/log]

och även från Svenska Bredbandsbolaget

[log]14 12/23/2007 23:10:53 Unrecognized attempt blocked from 85.227.253.39:60443 to 90.227.240.221 UDP:63489

18 12/23/2007 23:10:58 Unrecognized attempt blocked from 85.227.253.39:60863 to 90.227.240.221 UDP:63489

24 12/23/2007 23:11:03 Unrecognized attempt blocked from 85.227.253.39:60863 to 90.227.240.221 UDP:63489[/log]

 

[Cecilia]

Nu är det ju inte port 123 längre.

Det finns många ute på internet som skannar av alla IP-adresser som finns för att försöka hitta någon som inte har täppt till något säkerhetshål eller har någon port öppen som något program svarar på. Även om det inte är normalt att det kommer varje sekund. Har du möjligen fått ny IP-adress och den som hade IP-adressen förut hade öppna portar?

 

[Olle M]

Hej

 

Attackerna är något man får leva med. De har ökat ofantligt de senaste åren. Troligen kommer man aldrig att komma till rätta med detta. Men med en bra uppdaterad brandvägg och router så behöver man inte oroa sej.

 

Vill du inte se attackerna i din brandväggslogg så skaffa dej en router och du kan sova lungt.

 

Om du skaffar en router. Se till att ändra defult lösenordet för Administratörs inloggning i routern. Detta för att man inte skall kunna gå in utifrån internet via en manipulerad sida och göra ändringar i routern.

 

GOD JUL

 

/Olle

 

[inlägget ändrat 2007-12-24 10:41:16 av Olle M]

[inlägget ändrat 2007-12-24 10:43:23 av Olle M]

[inlägget ändrat 2007-12-24 10:44:03 av Olle M]

[RESTU]

Jag håller med att router är bra att ha.

För att förbättra säkerhet i datorn du kan använda TimeTimer som SpyBotS&D har. Den håller koll på dem ändringar som görs av andra program i datorn.

 

[lizardKng]

Tyvärr verkar många säkerhetsprogram flagga för "attack" oftast helt i onödan. de gör det så fort det finns en möjlighet till att en attack kan vara på g.

 

Som tidigare sagt i tråden, en router tar bort väldigt mycket av detta. Den är bra av många andra anledningar också.

 

Det finns ett uttryck - "vargen kommer" - det ska man inte säga för ofta för då tror ingen på en den dag vargen faktiskt kommer.

 

(fast idag skulle nog "vargen" bytas ut mot nåt annat)

 

[webbaccess.net]

Hmm... ska försöka svara på allas frågor.

Har Telia, har haft denna ip adressen i ca 4-5 månader. Fick denna ipadressen och telias besked var att den var oanvänd innan, då den var ny i telestationen(?).

Det är i brandväggen i routern loggarna ligger, det roliga är att varje gång jag har skickat till en ISP utan att få resultat så upphör loggarna från den ipadressen.

 

Det enda jag kan tänka mig som använder så höga portar är FTPs passiva portar, har aldrig haft en FTP server på denna linan. Men vad vet jag?

 

[RESTU]

Attacker är oftast automatiserade.

Det finns många "robotar" från olicka länder som skannar alla IP för att hitta säkerhetsbrister.