Har noen koblet seg på nettet mitt

[bizarro_per]

Trenger proff hjelp her:

Har modem som er koblet til en Linksys WRT54G router. En stasjonær pc med xp proff. koblet med kabel til router. En bærbar med vista home prem. koblet trådløst til router. I tillegg hybelboer med to bærbare koblet trådløst til router. Nettet har vært dønn stabilt hele tiden men den siste uken har det begynnt å skje ting.

Før kjørte jeg med WEP kryptering. Plutselig begynte alt og gå veldig tregt på nett. Har 5 Mb linje og målte fra 4800 ned til 250. I loggen til linksys routeren har det aldri vært noen trafikk på incoming log. Nå har jeg en masse ip adresser på port 7171?

Slo av alle PC-er som går trådløst. Oppdaterte firmware på routeren. Hard resett av alt. Ny ssid (skjult), wpa kryptering (tall og bokstaver i en fin haug).

Alt fungerte fint i ca en halv time. ingenting på loggen. Men så startet morroa igjen. Incoming log full av ip adresser på port 7171. Ingen ting unormalt i DHCP clients.

Hva skjer. Er det mulig å knekke kryptering så kjapt og skjule at man låner nettet?

Eller har jeg en trojaner som tuller med meg?

Evt routeren er gammel og tøven?

Har AVG og kjørt adaware, spybot og smitfraud(tror det hva det det hete). Den stasjonære har i tillegg ikke vært brukt det siste halvåret untatt til oppdatering av xp og virusprog.

 

Ble en lang sak, men nå begynner jeg å virkelig lure på hva som skjer?

 

Kan i tillegg si at den ene PC-en til hybelboer har vært ustabil. kobler seg av nett hvert femte minutt ca og logger på igjen.

[Demantios]

Port 7171 er et spill kalt Tibia. Et WLAN med wep-kryptering kan hackes på under 10min. Med WPA skal det nok ikke gå så fort. Blokker porten og problemet er løst

 

Edit: Når man har hacket et nett er det også mulig å gjøre seg usynlig. Et triks dem bruker når dem hacker er å kaste folk ut av nettet, så det blir sendt flere pakker når dem kobler seg til igjen. Mac-filtrering bør hjelpe

Endret 27. september 2007 av PepsiCo

[bizarro_per]

Har tenkt å prøve mac filtrering i kveld når jeg kommer hjem.

Men hadde vært veldig intressant og kunne finne ut hvem eller hva som foregår på nettet mitt. Har en nabo i kikkerten (Ser faktisk PC-en hans fra vinduet og han har en del svarte vinduer åpne på skjermen (cmd? o.l.))

Leste litt om det å hacke nett og så det sto om å koble PC-er til og fra for å snappe opp pakker med info.

 

Prøver å stenge porten og men frykter en ny port blir åpnet?

Det er vel også mulig for en som er kommet seg inn på nettet og knekke koden på routeren slik at han kan styre innstillinger der selv?

[Demantios]

Har en nabo i kikkerten (Ser faktisk PC-en hans fra vinduet og han har en del svarte vinduer åpne på skjermen (cmd? o.l.))

9586100[/snapback]

Er nok kommandolinjen til crackeprogrammene i linux tenker jeg. Om bakgrunnen hans er en stor drage og det står backtrack2 så ville jeg banka på døra og trua med anmeldelse.

[bizarro_per]

For å ikke ta helt av, jeg håper at det bare er noe krøll fra min side. Kan det være andre ting jeg kan finne ut av på en enkel måte?

En ting er å sperre en port og legge inn mac filtrering men jeg skulle likt å visst hva det er som foregår.

[PerB]

Du skal kunne se hvilke PC-er som er koblet opp mot routeren. Jeg kjenner ikke din router så jeg kan ikke si hvor. Men prøv å finn en eller annen log.

[nebrewfoz]

Har tenkt å prøve mac filtrering i kveld når jeg kommer hjem.

9586100[/snapback]

MAC-filtrering fungerer fint til å forhindre at folk som ikke aner hva de driver med kobler seg inn på ditt nett ved en tilfeldighet.

 

Men de fleste nettverkskort lar deg skrive inn en MAC-adresse (i stedet for den default-adressen kortet er oppsatt med), og det går an å snappe opp MAC-adresser i det trådløse nettet ved å analysere trafikken.

 

Så MAC-filtrering er en dårlig beskyttelse mot hackere.

 

En ting er incoming traffic, en annen ting er om den trafikken blir stoppet i ruteren eller om den blir forwardet videre til en klient-PC i nettet ditt. Jeg antar at du ikke har satt opp port forwarding av port 7171, så da vil det bare skje dersom incoming traffic er en respons på outgoing traffic på samme port. Finner du noe sånt i loggen?

 

Har du forresten statisk eller dynamisk IP-adresse hos din ISP? Hvis den er dynamisk kan det jo hende at du har overtatt en IP-adresse som noen annen hadde tidligere, og at den innkommende trafikken du ser har noe med den forrige "eieren" av IP-adressen å gjøre. Han spilte muligens Tibia?

Jeg kjenner ikke din ruter spesielt, men er det ikke et sted i menyen der du kan disconnecte og reconnecte forbindelsen til ISP og få tildelt en ny IP-adresse?

 

Hacking av WPA med et langt random passord (fra GRC.com, f.ex.) har vel ennå ikke blitt demonstrert, så er kan du nok være trygg for naboen din - såfremt han ikke kan lese alt du skriver på PC-en din, da.

[bizarro_per]

Du skal kunne se hvilke PC-er som er koblet opp mot routeren. Jeg kjenner ikke din router så jeg kan ikke si hvor. Men prøv å finn en eller annen log.

9586293[/snapback]

Har sjekket loggen, og det er bare kjente PC-er der.

[bizarro_per]

Har ikke åpnet port 7171.

Har dynamisk ip adresse. Tok en dhcp renew (er det rett) for å få ny ip.

Samme problem.

Så ikke på trafikken ut. men kan sjekke det i kveld (mener det bare står: ip adr fra og til pluss www/http/osv)

skal prøve grc.com.

takker så langt. får se i kveld hva som skjer...

[G]

Dette er vel et tema som folk flest vet lite om. Meg inkludert.

 

Finnes det noen programvare som kan gi mer informasjon, og som det gjerne ikke er for avansert grensesnitt på?

 

Jeg har ett programvareforslag, selv om jeg ikke er sikker på om det kan hjelpe. Hva med Wireshark? Finnes det noen gode alternativer?

 

Er det noen software brannmurer og anti-malware programmer som gir god støtte og utmerker seg spesiellt i slike situasjoner som bizarro_per opplever?

[learntofly]

Dette er vel et tema som folk flest vet lite om. Meg inkludert.

 

Finnes det noen programvare som kan gi mer informasjon, og som det gjerne ikke er for avansert grensesnitt på?

 

Jeg har ett programvareforslag, selv om jeg ikke er sikker på om det kan hjelpe. Hva med Wireshark? Finnes det noen gode alternativer?

 

Er det noen software brannmurer og anti-malware programmer som gir god støtte og utmerker seg spesiellt i slike situasjoner som bizarro_per opplever?

9586380[/snapback]

Enig med G her. Skulle gjerne hatt ett slikt program. Har ingen spesiell mistanke, men har ett studenthjem i nabolaget her som er fylt til randen av it-studenter... Hadde vært kjekt å kunne sjekke at alt er som det skal på nettet mitt!

Endret 27. september 2007 av GEman

[bizarro_per]

sitter å ser en video på youtube om backtrack2. skummelt. ser jo ut som om naboen har noe lignende.

Nå er nettet helt stabilt, men naboen er ikke hjemme. hmmm, en sammenheng?

får se når han dukker opp. Venter med ny kryptering til jeg ser hva som skjer.

 

Er jo litt spennende...

Men finner jeg ut at det er han som har stellt istand det her så vanker det nok en tur til politiet.

[Lars Dongeri Oppholdsnes]

Du må nok velge WPA kryptering for å hindre cracking av nettverket ditt.

Dette krever at klienten også støtter WPA. (Windows XP eller Vista er f.eks OK for WPA med et nyere nettverkskort).

Tviler på at det er noe å hente på en anmeldelse bortsett fra å skremme han da

[bizarro_per]

Har wpa nå (I to dager nå). Men det virket bra i en halv time, så ble nettet veldig tregt igjen. Masse trafikk på incoming port 7171.

Har kanskje ikke verdens beste passord i wpa (skal bytte til noe fra grc.com), men jeg venter på å se om det blir forskjell når naboen slår på PC-en. I går var han ikke hjemme.

Kan det være en trojaner som har en port åpen som noen kan bruke til å komme seg inn på nettet mitt?

[Demantios]

Kan det være en trojaner som har en port åpen som noen kan bruke til å komme seg inn på nettet mitt?

9591702[/snapback]

Kan være en orm eller trojan som har åpnet en backdoor, men det skal hjelpe å sperre porten i routeren asså

 

edit:

The trojan also uses IEXPLORE.EXE to listen on two TCP ports on the compromised system. These ports appear to be chosen at random. Some examples of port numbers opened were: 7625, 7640, 7171 and 7218.

http://vil.nai.com/vil/content/v_137505.htm

Endret 28. september 2007 av PepsiCo

[BremnesX]

Har du prøvd å deaktivere det trådløse nettet i en dag eller to for å se om det er noe hos deg som forårsaker problemet?

[Rave670]

Litt væll paranoid...

Men regne med du har et eller annet program som kjøre på maskin din som sende ut trafikk og gjerne vil ha et svar på den porten...

 

Tvile vææældig mye på at du e hacka!

 

Go Hjul å Go Bedring!

[bizarro_per]

ja blir litt paranoid ja. har nok mest mistanke om en trojan. Men jeg lurer på om det er hybelboerne mine som har noe (har jo ikke brukt den ene på lenge annet enn å oppdatere den).

Syns og det er litt rart at hastigheten går ned uansett hvilken pc jeg kjører fra (kan den spre seg via nettet mitt?)

 

Å så har jeg et lite håp om at jeg finner en måte og overvåke hva som egentlig foregår på nettet mitt når dette skjer (hvilken pc er det som stjeler kapasitet)

[Demantios]

Å så har jeg et lite håp om at jeg finner en måte og overvåke hva som egentlig foregår på nettet mitt når dette skjer (hvilken pc er det som stjeler kapasitet)

9592594[/snapback]

Sjekk hvilke SNMP/MRTG-muligheter du har på router, modem, og sånt. Da får du grafisk oversikt over hvor trafikken går. Ethereal(wireshark) kan også funke hvis nettverkskortet ditt støtter WinPcap

Endret 28. september 2007 av PepsiCo

[Lars Dongeri Oppholdsnes]

Årsaken til at alt blir tregt er at routeren blir overbelastet pga mange forbindelser.

Scann alle computerne på nettverket med en online scanner. http://www.ewido.net/en/onlinescan/

Restart maskinene og start opp i sikkermodus med nettverk før du scanner og kjør scan inntil du har renset bort alt.