Virus of virusaanval ?

[iceke]

Sinds een paar weken valt het netwerk altijd uit, kijk in log van de router en wat zie ik ?
Een paar minuten voor het netwerk wegvalt wordt er remote ingelogd of geprobeerd remote in te loggen
het is telkens naar dezelfde pc ook al heeft hij een ander ip adres.
Iemand een idee ? heb de desberteffende pc al gescand met malwarebytes/security essentials/ en in hijackthis valt ook niks raars te bespeuren.

uit log van router :


[Internet connected] IP address: 78.22.210.160, Friday, May 25,2012 16:39:13
[DoS Attack: ACK Scan] from source: 188.127.247.42, port 80, Friday, May 25,2012 16:25:06
[DHCP IP: 192.168.1.6] to MAC address c8:xxxx Friday, May 25,2012 16:00:58
[DHCP IP: 192.168.1.4] to MAC address 60:xxxx Friday, May 25,2012 15:57:41
[DHCP IP: 192.168.1.9] to MAC address 00:xxxx Friday, May 25,2012 15:52:59
[Internet connected] IP address: 78.22.xxx, Friday, May 25,2012 14:39:13
[admin login] from source 192.168.1.8, Friday, May 25,2012 13:57:18
[UPnP set event: del_nat_rule] from source 192.168.50.210 Friday, May 25,2012 13:52:02
[LAN access from remote] from 210.195.111.99:21330 to 192.168.50.210:59637, Friday, May 25,2012 13:41:18
[Internet connected] IP address: 78.22.xxx, Friday, May 25,2012 13:39:13
[LAN access from remote] from 210.195.111.99:21330 to 192.168.50.210:59637, Friday, May 25,2012 13:31:30
[LAN access from remote] from 118.232.185.223:1420 to 192.168.50.210:59637, Friday, May 25,2012 13:29:37
[LAN access from remote] from 83.149.38.132:1887 to 192.168.50.210:59637, Friday, May 25,2012 13:29:26
[LAN access from remote] from 116.86.217.84:10050 to 192.168.50.210:59637, Friday, May 25,2012 13:23:13
[LAN access from remote] from 210.195.111.99:21330 to 192.168.50.210:59637, Friday, May 25,2012 13:21:16
[LAN access from remote] from 64.203.235.133:40959 to 192.168.50.210:59637, Friday, May 25,2012 13:20:10
[UPnP set event: add_nat_rule] from source 192.168.50.210 Friday, May 25,2012 13:17:25
[UPnP set event: del_nat_rule] from source 192.168.50.210 Friday, May 25,2012 13:11:55
[UPnP set event: add_nat_rule] from source 192.168.50.210 Friday, May 25,2012 12:51:49
[UPnP set event: del_nat_rule] from source 192.168.1.8 Friday, May 25,2012 12:51:49
[UPnP set event: add_nat_rule] from source 192.168.50.210 Friday, May 25,2012 12:51:49
[UPnP set event: del_nat_rule] from source 192.168.1.8 Friday, May 25,2012 12:51:48
[LAN access from remote] from 210.195.111.99:21330 to 192.168.1.8:59637, Friday, May 25,2012 12:51:30
[LAN access from remote] from 117.202.66.16:64410 to 192.168.1.8:59637, Friday, May 25,2012 12:51:27
[LAN access from remote] from 64.203.235.133:40959 to 192.168.1.8:59637, Friday, May 25,2012 12:51:01
[LAN access from remote] from 84.234.98.99:37636 to 192.168.1.8:59637, Friday, May 25,2012 12:49:13
[LAN access from remote] from 177.99.12.115:1024 to 192.168.1.8:59637, Friday, May 25,2012 12:48:19
[UPnP set event: add_nat_rule] from source 192.168.1.8 Friday, May 25,2012 12:47:27
[Internet connected] IP address: 78.22.210.160, Friday, May 25,2012 12:39:13

[johcla]

Misschien heb je malware op je pc die zijn extern en lokaal ip-adress doorgeeft aan een command-and-control server.
Ongeveer de helft van de virusscanners kan zo'n virus niet detecteren, afhankelijk van het virus natuurlijk. Onlangs stond op KrebsOnSecurity een link naar een interview met een hacker. Veel aandacht-trekkerij, maar het bevat toch ook interessante weetjes.
Kan je die pc enkele dagen blokkeren van het internet? Het beste van je volledig netwerk. Dan kan je controleren of dat inderdaad de oorzaak is?
Heb je een back-up van voor de eerste uitval? Kan je die pc herformatteren en opnieuw installeren?

[ubremoved_539]

Er moet toch iets zijn dat via uPnP die NAT rule aanmaakt... en dus ook zal luisteren normaal.

Doe eens een netstat -an om te kijken welk process het is.

[mailracer]

poort 59637 zou iets te maken hebben met Xsan 'Xsan Filesystem Access'. Is het toevallig op een mac ?

[iceke]

Er hangt sinds een paar weken wel een mac in het netwerk... maar dat is niet de 192.168.1.8
op de 192.168.1.8 draait wel een vpn , 192.168.50.210 is een ip adres op dat netwerk.

update : gisteren poort 59637 op die pc geblokkeerd, daarna geen abnormaal netwerkverkeer meer :


[admin login] from source 192.168.1.8, Saturday, May 26,2012 06:16:37
[DHCP IP: 192.168.1.8] to MAC address 78:e3:b5:95:, Saturday, May 26,2012 05:48:47
[Internet connected] IP address: 78.22.210.160, Saturday, May 26,2012 05:39:20
[DHCP IP: 192.168.1.6] to MAC address c8:33:4b:52:, Saturday, May 26,2012 04:49:22
[Internet connected] IP address: 78.22.210.160, Saturday, May 26,2012 04:39:19
[UPnP set event: add_nat_rule] from source 192.168.1.3 Saturday, May 26,2012 04:18:02
[DHCP IP: 192.168.1.3] to MAC address e0:b9:a, Saturday, May 26,2012 04:17:58
[Internet connected] IP address: 78.22.210.160, Saturday, May 26,2012 03:39:18
[UPnP set event: add_nat_rule] from source 192.168.1.3 Saturday, May 26,2012 02:49:31
[DHCP IP: 192.168.1.3] to MAC address e0:b9:7, Saturday, May 26,2012 02:48:53
[Internet connected] IP address: 78.22.210.160, Saturday, May 26,2012 02:39:17
[UPnP set event: add_nat_rule] from source 192.168.1.3 Saturday, May 26,2012 02:00:25
[DHCP IP: 192.168.1.3] to MAC address e0:b9:a5:, Saturday, May 26,2012 02:00:20
[Internet connected] IP address: 78.22.210.160, Saturday, May 26,2012 01:39:16
[UPnP set event: add_nat_rule] from source 192.168.1.3 Saturday, May 26,2012 00:54:58
[DHCP IP: 192.168.1.3] to MAC address e0:b9:a5, Saturday, May 26,2012 00:54:54
[Internet connected] IP address: 78.22.210.160, Friday, May 25,2012 23:39:14
[UPnP set event: add_nat_rule] from source 192.168.1.3 Friday, May 25,2012 23:07:54
[DHCP IP: 192.168.1.3] to MAC address e0:b9:a, Friday, May 25,2012 23:04:21
[DHCP IP: 192.168.1.6] to MAC address c8:33:4b:, Friday, May 25,2012 22:57:08
[Internet connected] IP address: 78.22.210.160, Friday, May 25,2012 22:39:14


Het enig dat hij nu nog doet is telkens [Internet connected] geven, zou dit normaal zijn of valt die router (netgear)telkens uit ?

[mailracer]

Dan merk ik verdachte activiteit op de VPN tunnel. Welke software heb je gebruikt ?

DoS Attack: ACK Scan] from source: 188.127.247.42, port 80, Friday, May 25,2012 16:25:06

, Dat is er eentje vanuit rusland.

Heb je iobit advanced system care al eens gedraaid ?

[ubremoved_539]

Van zo'n "DoS Attacks" moet je niet wakker liggen... dit zijn vaak torrent clients die connecteren op een adres dat voordien door iemand anders is gebruikt.

Het enige waar ik zou van wakker liggen is wat die NAT rules aanmaakt via uPnP... volg dus eens mijn eerder advies op.

[iceke]

ik ga het eerst efkes aanzien, door die poort te blocken is alles voorlopig terug goed hoop ik.
Er draait nogal veel speciale soft op die pc, citrix,vpn,een vingerscannersysteem, een managingsysteem over internet, opendns programma enz..

[ubremoved_539]

door die poort te blocken is alles voorlopig terug goed hoop ik

Je hebt het gevolg opgelost... niet de oorzaak... als er iets op je PC zou zitten... zit dat daar nog steeds !

Zoeken dus wat die rotzooi is !

[cptKangaroo]

Ik zou de installers van je software eens hashchecken want het kan altijd dat een server gehackt was toen je de installer downloadde.

[iceke]

goh, er staat eigenlijk geen rotzooi op, ik weet ook niet goed met welk programma ik nog zou moeten checken, malwarebytes geeft niks, security essentials geeft niks en hijackthis geeft niks.

[ubremoved_539]

ik weet ook niet goed met welk programma ik nog zou moeten checken

Gewoon "netstat" onder Windows heeft de optie om de PID te zien van iedere netwerk connectie... de PID kan je dan weer terugvinden in je TaskManager. Blijkbaar zoekt iedereen het hier graag véél verder dan nodig

[mailracer]

ik ben ook wel benieuwd wat die netstat opleverd

[cptKangaroo]

Het is toch niet zo erg om stap 2 al te vermelden vooraleer de OP bevestigt dat stap 1 iets opleverde?

[iceke]

Wat moet ik dan vinden...zoeken in netstat ? iets met poort 59637 staat er in ieder geval niet meer tussen...