Er dette et reelt angrep på min hardware brannmur?

[Gjest Slettet+3124]

I ruteren min så har jeg flere meldinger på rad i fra samme IP, det er snakk om flere meldinger pr sekund i en lang periode. Disse brannmur meldingene er av typen:

 

SYN:ACK, FIN:ACK, RST:ACK og bare ACK

 

Selve meldingen ser generelt slik ut:

 

Blocked incoming TCP packet from 208.xxx.xx.xx:80 to 193.xx.xxx.xx:20954 as SYN:ACK received but there is no active connection

 

 

Portnummerene varierer hele tiden.

 

Anyone?

[Gjest Slettet+3124]

Har hatt bøtter og spann av disse meldingene i natt og på morgenen i dag. Noen som kan forklare hva dette er?

[Demantios]

Kjør en whois på IPen. Kanskje det kan gi en formening om hva det er. Har noen grunn til å angripe deg?

[Gjest Slettet+3124]

Dette er svaret i WHOIS:

 

OrgName: GoDaddy.com, Inc.

OrgID: GODAD

Address: 14455 N Hayden Road

Address: Suite 226

City: Scottsdale

StateProv: AZ

PostalCode: 85260

Country: US

 

NetRange: 208.109.0.0 - 208.109.255.255

CIDR: 208.109.0.0/16

NetName: GO-DADDY-SOFTWARE-INC

NetHandle: NET-208-109-0-0-1

Parent: NET-208-0-0-0-0

NetType: Direct Allocation

NameServer: CNS1.SECURESERVER.NET

NameServer: CNS2.SECURESERVER.NET

NameServer: CNS3.SECURESERVER.NET

Comment:

RegDate: 2006-04-12

Updated: 2007-06-14

 

OrgAbuseHandle: ABUSE51-ARIN

OrgAbuseName: Abuse Department

OrgAbusePhone: +1-480-624-2505

OrgAbuseEmail: [email protected]

 

OrgNOCHandle: NOC124-ARIN

OrgNOCName: Network Operations Center

OrgNOCPhone: +1-480-505-8809

OrgNOCEmail: [email protected]

 

OrgTechHandle: NOC124-ARIN

OrgTechName: Network Operations Center

OrgTechPhone: +1-480-505-8809

OrgTechEmail: [email protected]

[Demantios]

Virker som noe slumsk det der ja. Sjekk først ipen om det er en webserver på den. Finner du ikke ut noe mer, så send mail til [email protected]

[Gjest Slettet+3124]

Får også masse meldinger i fra IP: 208.75.89.52 og denne ser ikke ut til finnes når jeg bruker WHOIS, dette er i alle fall utdrag av WHOIS meldingen:

 

Trit Networks TRITN-NETBLK-01 (NET-208-75-88-0-1)

208.75.88.0 - 208.75.91.255

Blackened Industries TRITN-208-75-89-48-28 (NET-208-75-89-48-1)

208.75.89.48 - 208.75.89.63

 

[Demantios]

Blackened virker som er et slags hackerteam av et eller annet slag. Et søk på google viser noen treff med mange andre hackreferanser. Kom også over dette: http://archive.lightspeedsystems.com/archi...11b53dfca37c088 Kan det være spam-filteret i brannmuren som stopper spam-mails?

 

edit: ser også at trit networks har noen tor-proxyer igang

Endret 23. oktober 2007 av PepsiCo

[Gjest Slettet+3124]

Jeg er visst umåtelig populær i hacker kretser ser ut som om.. Hva vil de med mitt private nettverk liksom..

 

Edit: Det har vært slik i flere dager nuh.. Blir de ikke lei tilslutt?

Endret 23. oktober 2007 av Slettet+3124

[Gjest Slettet+432]

Har du server(e) bak brannmuren? Når jeg hadde servere hjemme så var det boter som prøvde å bruteforce SSH hele tiden. Ganske normalt.

[Gjest Slettet+3124]

Nei, ingen servere her i huset, kun ordinær surfing og spilling..

[Demantios]

Hvorfor har du hardware brannmur da?

[Gjest Slettet+3124]

Hvorfor har du hardware brannmur da?

 

 

Den ligger i ruteren (D-link).

[Malvado]

Er ikke helt uvanlig at hackere trener seg på vanlige "home users".

På tide at du slår av modemet tror jeg.

[Gjest Slettet+3124]

Hehe slår ikke av modemet nei, de begynner å bli avansert nå, her er de siste sakene i loggen:

 

FIN:PSH:ACK, PSH:ACK, RST:ACK og bare RST

 

[deleder]

Tror du bare ska la vær og drite i det.. jeg hadde i alle fall ikke brydd meg.