Telfort Abuseteam Misbruik van uw internetverbinding

  • 4 juli 2018
  • 87 reacties
  • 1521 keer bekeken


Toon het eerste bericht

87 reacties

Reputatie 1
Port 443 (TCP) is dus van de modem

experia
Port 139 (TCP)
Port 53 (TCP)
Port 443 (TCP)
Port 515 (TCP)
Reputatie 8
Badge +17
Heb je ook op alle computers een volledig scan op virussen uitgevoerd?

Solicited TCP Packets: PASSED — No TCP packets were received from your system as a direct result of our attempts to elicit some response from any of the ports listed below — they are all either fully stealthed or blocked by your ISP. However . . .



Unsolicited Packets: PASSED — No Internet packets of any sort were received from your system as a side-effect of our attempts to elicit some response from any of the ports listed above. Some questionable personal security systems expose their users by attempting to "counter-probe the prober", thus revealing themselves. But your system remained wisely silent. (Except for the fact that not all of its ports are completely stealthed as shown below.)



Ping Reply: RECEIVED (FAILED) — Your system REPLIED to our Ping (ICMP Echo) requests, making it visible on the Internet. Most personal firewalls can be configured to block, drop, and ignore such ping requests in order to better hide systems from hackers. This is highly recommended since "Ping" is among the oldest and most common methods used to locate systems prior to further exploitation.
Dat is goed; die ping (ICMP Echo) komt van je modem en is niet erg. al je poorten staan netjes dicht. Aan de modem ligt het niet!
Reputatie 3
Ik zou het nu gewoon afwachten, omdat je wachtwoorden zijn aangepast, router is gereset, je sat. receiver is bijgewerkt, je vrouw haar telefoon is leeg.. Kijken wat er de komende dagen gebeuren gaat. Als het in het modem zou zitten dan hadden veel meer mensen hier al melding van gemaakt denk ik..
Reputatie 1
Heb je ook op alle computers een volledig scan op virussen uitgevoerd?

Solicited TCP Packets: PASSED — No TCP packets were received from your system as a direct result of our attempts to elicit some response from any of the ports listed below — they are all either fully stealthed or blocked by your ISP. However . . .



Unsolicited Packets: PASSED — No Internet packets of any sort were received from your system as a side-effect of our attempts to elicit some response from any of the ports listed above. Some questionable personal security systems expose their users by attempting to "counter-probe the prober", thus revealing themselves. But your system remained wisely silent. (Except for the fact that not all of its ports are completely stealthed as shown below.)

Ping Reply: RECEIVED (FAILED) — Your system REPLIED to our Ping (ICMP Echo) requests, making it visible on the Internet. Most personal firewalls can be configured to block, drop, and ignore such ping requests in order to better hide systems from hackers. This is highly recommended since "Ping" is among the oldest and most common methods used to locate systems prior to further exploitation.
Dat is goed; die ping (ICMP Echo) komt van je modem en is niet erg. al je poorten staan netjes dicht. Aan de modem ligt het niet!



de modem is het eenigste dat om 5 uur bv online is hier staan we pas om 7 uur op. en de rest is uit de stroom.
Reputatie 8
Badge +17

bovenste is LG de TV (wifi)
de 2de is me satelite reciever (kabel)
de 3de de telefoon van me vrouw (wifi)
de 4de deze PC (kabel)
de 5de zonnepanelen kastje (wifi)
de 6de lijkt me de modem
7de dont know
de 2 onderste zijn van de modem; de ExperiaBox8 heeft namelijk 2 IPadressen 😉
Reputatie 3

bovenste is LG de TV (wifi)
de 2de is me satelite reciever (kabel)
de 3de de telefoon van me vrouw (wifi)
de 4de deze PC (kabel)
de 5de zonnepanelen kastje (wifi)
de 6de lijkt me de modem
7de dont know
de 2 onderste zijn van de modem; de ExperiaBox8 heeft namelijk 2 IPadressen ;)


ooO, een 8 😛
Reputatie 1

bovenste is LG de TV (wifi)
de 2de is me satelite reciever (kabel)
de 3de de telefoon van me vrouw (wifi)
de 4de deze PC (kabel)
de 5de zonnepanelen kastje (wifi)
de 6de lijkt me de modem
7de dont know
de 2 onderste zijn van de modem; de ExperiaBox8 heeft namelijk 2 IPadressen ;)


idd en deze poorten

experia
Port 139 (TCP)
Port 53 (TCP)
Port 443 (TCP)
Port 515 (TCP)
Reputatie 1

bovenste is LG de TV (wifi)
de 2de is me satelite reciever (kabel)
de 3de de telefoon van me vrouw (wifi)
de 4de deze PC (kabel)
de 5de zonnepanelen kastje (wifi)
de 6de lijkt me de modem
7de dont know
de 2 onderste zijn van de modem; de ExperiaBox8 heeft namelijk 2 IPadressen ;)


ooO, een 8 :P
een 8 zijn die dan niet goed lol???

heb hem al een aantal jaar maar zie bij anderen mensen al de nieuwe experia box
Reputatie 3

bovenste is LG de TV (wifi)
de 2de is me satelite reciever (kabel)
de 3de de telefoon van me vrouw (wifi)
de 4de deze PC (kabel)
de 5de zonnepanelen kastje (wifi)
de 6de lijkt me de modem
7de dont know
de 2 onderste zijn van de modem; de ExperiaBox8 heeft namelijk 2 IPadressen ;)


ooO, een 8 :P
een 8 zijn die dan niet goed lol???

heb hem al een aantal jaar maar zie bij anderen mensen al de nieuwe experia box


Niks mis mee!
Reputatie 8
Badge +17
idd en deze poorten

experia
Port 139 (TCP)
Port 53 (TCP)
Port 443 (TCP)
Port 515 (TCP)
Die zijn van de modem;
port 135 is voor je USB aansluiting;
port 53 is DNS;
port 443 is HTTPS (je configuratiescherm) op de modem;
port 515 is voor de printeraansluiting om een netwerkprinter via USB aansluiting te maken zodat het hele netwerk van de printer gebruik kan maken.

Niets bijzonders dus.
Reputatie 3
Niet vergeten de firmware van je sat.box bij te werken naar de laatste versie. Die had je nog niet geflashed zei je!
Reputatie 1
Niet vergeten de firmware van je sat.box bij te werken naar de laatste versie. Die had je nog niet geflashed zei je!

hij is vandaag geupdate als ik het probleem nogmaals krijg bv dan laat ik hem opnieuw flashen. als het aan de box zou moeten liggen maar dan wel vreemd omdat ik anderhalf jaar nergens last van heb sinds ik deze heb. en het is telkens 1 x dat abuse op een bepaald tijdstip van de dag als alles uit is en uitgetrokken. is 3 dagen voor gekomen

Timestamp: 2018-07-03 03:44:27 (UTC)
IP-address: --
Infection: mirai
Infection: tcp

Welke betekend dat het betreffende misbruik was op :

Timestamp: 2018-07-03 05:44:27 < dan slaap ik nog en alles is uitgetrokken behalve de modem bv

Wij verzoeken u dan ook verder onderzoek te doen.

Eerdere meldingen welke wij hebben ontvangen :

Timestamp: 2018-07-02 19:58:54 (UTC ) + 2 uur : : 21:58:54 (rond deze tijd was ik tv het kijken - tv stond aan en de sat box)
IP-address: --
Infection: mirai
Infection: tcp

Timestamp: 2018-07-01 17:29:32 (UTC) :2 uur : :19:29:32 (zaten we met bezoek in de tuin en ook alles uitgetrokken behalve modem)
IP-address: --
Infection: mirai
Infection: tcp
Reputatie 3
Badge +4
Hi Robert,

Ik zie dat er al heel veel besproken is in dit topic om te achterhalen waar de bron van dit gemelde misbruik ligt. Bedankt allen, voor jullie adviezen en input!

Ik begrijp dat je ook het e-mailadres van Abuse hebt naar aanleiding van hun initiatief? Zodra je denkt dat je alles bent nagelopen kun je met hen mailen over wat er nog moeten gebeuren om dit op te lossen, ook zodat zij kunnen onderzoeken of de instellingen in je netwerk nu weer in orde zijn. Ik houd dit topic in de gaten, wanneer je wilt dat ik contact leg met mijn collega's van de Abuse afdeling hoor ik het graag. Ik kan dan bij hen navragen wat ze nog meer van je nodig hebben.
Reputatie 1
Hi Robert,

Ik zie dat er al heel veel besproken is in dit topic om te achterhalen waar de bron van dit gemelde misbruik ligt. Bedankt allen, voor jullie adviezen en input!

Ik begrijp dat je ook het e-mailadres van Abuse hebt naar aanleiding van hun initiatief? Zodra je denkt dat je alles bent nagelopen kun je met hen mailen over wat er nog moeten gebeuren om dit op te lossen, ook zodat zij kunnen onderzoeken of de instellingen in je netwerk nu weer in orde zijn. Ik houd dit topic in de gaten, wanneer je wilt dat ik contact leg met mijn collega's van de Abuse afdeling hoor ik het graag. Ik kan dan bij hen navragen wat ze nog meer van je nodig hebben.


ik zal vanaf vandaag 22uur. de computer de mobiele telefoon, de satelite reciever e afkoppelen van de modem.
het eenigste dat online zal zijn.
is de huis telefoon.
en de modem
en het Mywatt Kastjuh voor de zonnepanelen.

ik zal mij maandag weer via de email melden. om na te vragen of er melding is geweest zo niet dan kunnen we het mywatt kastje bv uitsluiten. ik zal dan maandag de computer natuurlijk weer aansluiten en kijken of dag erna ook een melding is geweest dinsdags de TV en woensdags de mobiel van me vrouw. en erna de reciever van me satelite. zodat we stap voor stap de dingen kunnen uitsluiten.

dit is voor mij de 1ste x na 10 jaar dat zo iets mij overkomt.. want als jullie zelf alle gegevens van mij zien, heb ik in 10 jaar nooit iets fout gedaan en het internet voor gaming en bellen en surfen heb gebruikt (facebook email ad.nl enz)

ik hoop dat we kunnen vinden waar het vandaan komt op de manier wat ik voorsla. want in huis heb ik alle al gehard reset wat er te resetten viel wachtwoorden veranderd en zelfs de computer en me dochters laptop een herinstall gegeven.

maar zo als ik voorheen ook aangaf aan uw collega dat ik bij mij thuis altijd alles van de stroom heb tot dat ik het ga gebruiken. het eenigste wat in mij huis altijd aan is is de modem en de huis telefoon en natuurlijk de zonnepanelen kaste want dat moet van tauttus. en de woningbouw. wegens de meterstanden.

van een kant omdat mij dit nooit is gebeurd had ik ook hulp verwacht van jullie kant uit. jullie kunnen dingen van jullie kant inzien en meschien ontdekken waar het aanligt. jullie zijn hier expert op dat gebied lijkt mij.
en nu op dit moment zijn 2 dingen online. deze computer en dat kasje van de panelen ik zal nu de computer van internet gooien en nogmaals in 2 dagen tijd herinstalleren. maandag zal ik de computer online moeten doen.wegens email om te kijken of er melding is geweest ja of nee. en zal ook de tv voor de kinderen weer op de modem aansluiten. wegens netflix en youtube. we zullen dan op deze manier nog de reciever en de mobiel testen.

ik hoop voor u begrip en ik zie u bericht tegenmoet. en ik hoop dat we dit samen kunnen uitzoeken en dat we over 1 week precies weten waar het aanligt hoop ik dan.

en anders denk ik zelf toch wel de modem want ik kreeg namelijk ook meldingen in de modem report hiervan wil ik dan bij deze ook een melding maken.

07/05/2018 15:27:19 **SYN Flood Stop**
07/05/2018 15:26:41 sending ACK to 192.168.2.3 (Dit is de mobiele telefoon van me vrouw toen kwam ze thuis )
07/05/2018 15:26:25 **SYN Flood** 84.87.200.162, 48641->> 145.133.239.95, 59705 (from ATM1 Inbound)
07/05/2018 12:23:35 **UDP Loop** 185.94.111.1, 46822->> 145.133.239.95, 19 (from ATM1 Inbound)
07/05/2018 07:53:23 **UDP Loop** 184.105.139.125, 62560->> 145.133.239.95, 19 (from ATM1 Inbound)
07/05/2018 05:10:22 **UDP Loop** 185.8.51.234, 48215->> 145.133.239.95, 19 (from ATM1 Inbound)
07/04/2018 22:26:24 **UDP Loop** 164.52.24.180, 41656->> 145.133.239.95, 7 (from ATM1 Inbound)


heb ik abuse gestuurd

let enit op de schrijf fouten dat is niet me sterkste kant 😳
Reputatie 1
Hi Robert,

Ik zie dat er al heel veel besproken is in dit topic om te achterhalen waar de bron van dit gemelde misbruik ligt. Bedankt allen, voor jullie adviezen en input!

Ik begrijp dat je ook het e-mailadres van Abuse hebt naar aanleiding van hun initiatief? Zodra je denkt dat je alles bent nagelopen kun je met hen mailen over wat er nog moeten gebeuren om dit op te lossen, ook zodat zij kunnen onderzoeken of de instellingen in je netwerk nu weer in orde zijn. Ik houd dit topic in de gaten, wanneer je wilt dat ik contact leg met mijn collega's van de Abuse afdeling hoor ik het graag. Ik kan dan bij hen navragen wat ze nog meer van je nodig hebben.



als u wilt vragen of ze kunnen kijken naar de email en kunnen antwoordene rop. zou ik u dankbaar zijn

en of ze alles kunnen controleren op dit moment van hun kant uit zou ook vriendelijk zijn en dank u mvr Rozemarijn.

ik ga nu even de computer weer herinstaleren en erna de modem hardreseten again. dus ze kunnen nu even alles na kijken de pc zal ofline zijn behalve het kastje van de zonnepanelen.
Reputatie 8
Zie nu pas deze draad. Er is al veel geschreven.
Aanvullend mogelijk nog wat extra informatie.

Doe eens een scan van buiten af en kies "All Service Ports"
https://www.grc.com/x/ne.dll?bh0bkyd2

Die website scant slechts een beperkt aantal poorten, betreft slechts de eerste 1056 poorten.
En dat is dan alleen van buiten naar binnen. Het zegt niets over de connectie van een eenmaal ingesloten stukje malware op een van de apparaten, wat van binnenuit naar buiten een connectie legt.

Verder verbaast het me dat met een "inwendige" port-scan (vanuit het LAN) zowel de satelliet ontvanger alsook de zonnepanelen omvormer poort 22 open hebben staan, verder ook poort 23 voor de zonnepanelen omvormer. Zijn eigenlijk de meest kwetsbare poorten, waar op "root" niveau in die systemen gezocht kan worden. Die zouden eigenlijk alleen "manueel" geopend moeten kunnen worden (bijv. vanuit een web gebruikers interface) als men zelf daar (met kennis van zaken) iets aan het systeem wil veranderen.

Die eerdere "abuse" melding m.b.t. Infection: mirai
zou best een achterliggend probleem daarin kunnen zijn?

Ten aanzien van zonnepanelen omvormers en hun software.
In zijn algemeenheid zijn die absoluut niet goed beveiligd.
Kwam vorige week het volgende bericht tegen dat "via een veiligheidslek van het zonnepanelen systeem" de telefoon van de eigenaar was gehackt en een rekening werd gepresenteerd van € 7000,- (Zie bericht < HIER >).
Naar aanleiding daarvan verder gezocht. De volgende interessante reportage < filmpje kijken >.

Ten aanzien van die zonnepanelen hoef je geen poorten open te zetten om die met portals te laten verbinden. Die doet dat vanzelf vanuit de inverter.

M.b.t. die **SYN Flood** en **UDP Loop** meldingen.
Internetaansluitingen worden dagelijks gescand door mensen die kijken of ze binnen kunnen komen.
Je kunt de gebruikers van dit soort "poort deurklopper" inlogpogingen wel op een "dwaalspoor" zetten en de opmerkzaamheid van je verbindingen verkleinen, zodat meldingen minder worden.

Opmerkzaamheid verkleinen door ICMP uit te schakelen.
(Wordt er vanuit externe ping aanroepen geen respons terug gegeven):



"Dwaalspoor" door DMZ te laten verwijzen naar een niet gebruikt LAN IP-adres. Alle niet specifiek ingestelde poorten vanuit port forwarding regels worden naar dit DMZ IP-adres omgeleid.

Mocht je specifiek ingestelde port forwarding regels hebben ingesteld voor bepaalde services die jezelf van buitenaf zou willen benaderen (naar wel geldige LAN IP-adressen), hebben die port forwarding regels voorrang boven die DMZ instelling. Dus komen daarmee niet in conflict.
(Zo heb ik dat al jaren ingesteld).


Mocht je meer zekerheid willen hebben over dat niet gebruikte IP-adres (zodat het door de modem/router niet gekozen kan worden met DHCP als in te stellen IP voor apparaten in je eigen netwerk), stel je eventueel een "fake" vast IP-adres in als IP reservering onder:
START ----> LAN ----> "Static DHCP" (gebruik een niet gebruikt/bestaand MAC-adres).
Reputatie 1
Zie nu pas deze draad. Er is al veel geschreven.
Aanvullend mogelijk nog wat extra informatie.

Doe eens een scan van buiten af en kies "All Service Ports"
https://www.grc.com/x/ne.dll?bh0bkyd2

Die website scant slechts een beperkt aantal poorten, betreft slechts de eerste 1056 poorten.
En dat is dan alleen van buiten naar binnen. Het zegt niets over de connectie van een eenmaal ingesloten stukje malware op een van de apparaten, wat van binnenuit naar buiten een connectie legt.

Verder verbaast het me dat met een "inwendige" port-scan (vanuit het LAN) zowel de satelliet ontvanger alsook de zonnepanelen omvormer poort 22 open hebben staan, verder ook poort 23 voor de zonnepanelen omvormer. Zijn eigenlijk de meest kwetsbare poorten, waar op "root" niveau in die systemen gezocht kan worden. Die zouden eigenlijk alleen "manueel" geopend moeten kunnen worden (bijv. vanuit een web gebruikers interface) als men zelf daar (met kennis van zaken) iets aan het systeem wil veranderen.

Die eerdere "abuse" melding m.b.t. Infection: mirai
zou best een achterliggend probleem daarin kunnen zijn?

Ten aanzien van zonnepanelen omvormers en hun software.
In zijn algemeenheid zijn die absoluut niet goed beveiligd.
Kwam vorige week het volgende bericht tegen dat "via een veiligheidslek van het zonnepanelen systeem" de telefoon van de eigenaar was gehackt en een rekening werd gepresenteerd van € 7000,- (Zie bericht < HIER >).
Naar aanleiding daarvan verder gezocht. De volgende interessante reportage < filmpje kijken >.

Ten aanzien van die zonnepanelen hoef je geen poorten open te zetten om die met portals te laten verbinden. Die doet dat vanzelf vanuit de inverter.

M.b.t. die **SYN Flood** en **UDP Loop** meldingen.
Internetaansluitingen worden dagelijks gescand door mensen die kijken of ze binnen kunnen komen.
Je kunt de gebruikers van dit soort "poort deurklopper" inlogpogingen wel op een "dwaalspoor" zetten en de opmerkzaamheid van je verbindingen verkleinen, zodat meldingen minder worden.

Opmerkzaamheid verkleinen door ICMP uit te schakelen.
(Wordt er vanuit externe ping aanroepen geen respons terug gegeven):



"Dwaalspoor" door DMZ te laten verwijzen naar een niet gebruikt LAN IP-adres. Alle niet specifiek ingestelde poorten vanuit port forwarding regels worden naar dit DMZ IP-adres omgeleid.

Mocht je specifiek ingestelde port forwarding regels hebben ingesteld voor bepaalde services die jezelf van buitenaf zou willen benaderen (naar wel geldige LAN IP-adressen), hebben die port forwarding regels voorrang boven die DMZ instelling. Dus komen daarmee niet in conflict.
(Zo heb ik dat al jaren ingesteld).


Mocht je meer zekerheid willen hebben over dat niet gebruikte IP-adres (zodat het door de modem/router niet gekozen kan worden met DHCP als in te stellen IP voor apparaten in je eigen netwerk), stel je eventueel een "fake" vast IP-adres in als IP reservering onder:
START ----> LAN ----> "Static DHCP" (gebruik een niet gebruikt/bestaand MAC-adres).


hartelijk dank voor de info en de tips

ik zal dit na het hardreseten van de modem gaan doen.
op dit moment ben ik bezig met de herinstall van de computer.

zonenpanelen kastje zit dacht ik niet op poort 23 wel het sat receiver kastje
Reputatie 1
en heb vandaag nog geen melding gehad van abuse.

had de computer sinds vanmorgen van de modem verwijderd net als de tv receiver en mobiele telefoon alleen de zonenpanelen kastje die verbonde is met het internet was wel nog aangesloten en online via de modem.

dus deze kan ik denk ik uitsluiten.

dus nog de tv de receiver de computer en de mobile testen maandag doe ik de tv weer aansluiten op de modem dag erna de receiver of enkelen dagen erna.
Reputatie 8
Opmerking er tussendoor.
Het zou heel fijn zijn als al die overbodige complete aanhalingen van voorgaande berichten tot "tig" versies toe NIET worden uitgevoerd.

Het maakt het lezen onnodig erg vervelend (en maar scrollen en scrollen van wat we al hadden gelezen), en het biedt NIETS extra. Bovendien onnodige opslag van data, bandbreedte, en daarmee onnodig gebruik van energie en (natuurlijke) bronnen.

Hooguit passages uit een reactie wat handig kan zijn voor een antwoord.
Zoals deze:

alleen de zonenpanelen kastje die verbonde is met het internet was wel nog aangesloten en online via de modem.
Daar geef ik in mijn vorige reactie juist informatie over dat die systemen juist erg kwetsbaar zijn.
Reden te meer om dat heel goed in de gaten te houden.
Reputatie 3
Badge +4
Hi @Robert Koll, fijn dat je al zo ver op weg bent geholpen door de anderen! Dank jullie wel, allemaal!
Ik zou je in dit geval adviseren om de reactie van het Telfort Abuse team af te wachten, ik heb ook even contact met hen gelegd. Zij zijn maandag weer aanwezig, dus het beste is om direct met hen kort te sluiten welke stappen je nog kunt ondernemen. Ik hoor graag wat de uitkomsten hiervan zijn, laat het me weten wanneer ik nog iets voor je kan betekenen!
Reputatie 1
weet iemand wat dit betekend???

07/08/2018 07:32:19 **UDP Loop** 184.105.139.105, 48866->> 145.133.239.95, 19 (from ATM1 Inbound)

07/08/2018 06:55:13 **TCP-SYN with data** 178.19.58.201, 49882->> 145.133.239.95, 33434 (from ATM1 Inbound)
07/08/2018 06:55:13 **TCP-SYN with data** 178.19.58.197, 30490->> 145.133.239.95, 33434 (from ATM1 Inbound)
07/08/2018 06:55:13 **TCP-SYN with data** 149.126.87.127, 49799->> 145.133.239.95, 33434 (from ATM1 Inbound)

07/08/2018 02:47:11 **TCP-SYN with data** 178.19.58.201, 53402->> 145.133.239.95, 33434 (from ATM1 Inbound)
07/08/2018 02:47:11 **TCP-SYN with data** 178.19.58.197, 62119->> 145.133.239.95, 33434 (from ATM1 Inbound)
07/08/2018 02:47:10 **TCP-SYN with data** 149.126.87.127, 45614->> 145.133.239.95, 33434 (from ATM1 Inbound)

07/07/2018 22:39:07 **TCP-SYN with data** 178.19.58.201, 9621->> 145.133.239.95, 33434 (from ATM1 Inbound)
07/07/2018 22:39:07 **TCP-SYN with data** 178.19.58.197, 17537->> 145.133.239.95, 33434 (from ATM1 Inbound)
07/07/2018 22:39:07 **TCP-SYN with data** 149.126.87.127, 19856->> 145.133.239.95, 33434 (from ATM1 Inbound)

07/07/2018 22:31:54 **UDP Loop** 66.240.236.119, 31743->> 145.133.239.95, 19 (from ATM1 Inbound)

07/07/2018 18:31:12 **TCP-SYN with data** 178.19.58.201, 52459->> 145.133.239.95, 33434 (from ATM1 Inbound)
07/07/2018 18:31:12 **TCP-SYN with data** 178.19.58.197, 34155->> 145.133.239.95, 33434 (from ATM1 Inbound)
07/07/2018 18:31:11 **TCP-SYN with data** 149.126.87.127, 29292->> 145.133.239.95, 33434 (from ATM1 Inbound

07/07/2018 14:22:24 **TCP-SYN with data** 178.19.58.201, 53069->> 145.133.239.95, 33434 (from ATM1 Inbound)
07/07/2018 14:22:24 **TCP-SYN with data** 178.19.58.197, 51149->> 145.133.239.95, 33434 (from ATM1 Inbound)
07/07/2018 14:22:24 **TCP-SYN with data** 149.126.87.127, 62993->> 145.133.239.95, 33434 (from ATM1 Inbound)

07/07/2018 11:32:49 **TCP-SYN with data** 178.19.58.201, 29540->> 192.168.2.200, 33434 (from ATM1 Inbound)
07/07/2018 11:32:49 **TCP-SYN with data** 178.19.58.197, 46242->> 192.168.2.200, 33434 (from ATM1 Inbound)
07/07/2018 11:32:49 **TCP-SYN with data** 149.126.87.127, 33096->> 192.168.2.200, 33434 (from ATM1 Inbound)

07/07/2018 07:24:04 **TCP-SYN with data** 178.19.58.201, 43225->> 192.168.2.200, 33434 (from ATM1 Inbound)
07/07/2018 07:24:03 **TCP-SYN with data** 178.19.58.197, 21336->> 192.168.2.200, 33434 (from ATM1 Inbound)
07/07/2018 07:24:03 **TCP-SYN with data** 149.126.87.127, 18956->> 192.168.2.200, 33434 (from ATM1 Inbound)
07/07/2018 03:16:31 **TCP-SYN with data** 178.19.58.201, 59682->> 192.168.2.200, 33434 (from ATM1 Inbound)
07/07/2018 03:16:30 **TCP-SYN with data** 178.19.58.197, 48047->> 192.168.2.200, 33434 (from ATM1 Inbound)
07/07/2018 03:16:30 **TCP-SYN with data** 149.126.87.127, 29298->> 192.168.2.200, 33434 (from ATM1 Inbound)
07/07/2018 02:14:05 **UDP Loop** 194.36.173.10, 48609->> 192.168.2.200, 19 (from ATM1 Inbound)
07/06/2018 23:53:56 **TCP-SYN with data** 178.19.58.201, 14939->> 192.168.2.200, 33434 (from ATM1 Inbound)
07/06/2018 23:53:56 **TCP-SYN with data** 178.19.58.197, 45073->> 192.168.2.200, 33434 (from ATM1 Inbound)
07/06/2018 23:53:56 **TCP-SYN with data** 149.126.87.127, 21394->> 192.168.2.200, 33434 (from ATM1 Inbound)
Reputatie 8
Badge +10

weet iemand wat dit betekend???

Er schijnen zoekmachines op internet te bestaan waar je zoiets kan opvragen.
Ik heb er eens een geprobeerd voor je... ;)

http://bfy.tw/IwRo
Reputatie 8
weet iemand wat dit betekend???
Vanuit het lijstje, het eerste IP wellicht als melding m.b.t. "abuse":
(Huricane Electric heeft o.a. veel gebruikte en bekende DNS-servers).
http://whois.domaintools.com/184.105.139.105

Dan krijg je telkens groepjes van 3 regels bij elkaar met IP's die poort 33434 gebruiken - vanuit IJsland
178.19.58.201 -----------> http://whois.domaintools.com/178.19.58.201
178.19.58.197 -----------> http://whois.domaintools.com/178.19.58.197
149.126.87.127 ---------> http://whois.domaintools.com/149.126.87.127

Algemeen < vanuit Google > enz. voor de andere IP's.

Aanvullend:
https://anti-hacker-alliance.com/index.php?ip=178.19.58.201
https://anti-hacker-alliance.com/index.php?ip=178.19.58.197
https://anti-hacker-alliance.com/index.php?ip=149.126.87.127

Die leggen contact met jou eigen internet IP-adres:
http://whois.domaintools.com/145.133.239.95

En de latere regels expliciet met jou LAN IP adres 192.168.2.200
Welke apparaat zit er precies achter dat IP-adres? Of heb je zoals eerder voorgesteld juist dat DMZ naar een "leeg" niet aangesloten apparaat op IP-adres 192.168.2.200 gezet?
(Kijken we later wel hoe we die meldingen alsnog kunnen tegenhouden).

Het lijkt me in ieder geval dat die eerdere "abuse" meldingen gegrond waren.
Dit soort verkeer lijkt me niet gezond.
Maar indien in het geval verwijzing naar "een leeg IP" kan er niets mee worden gedaan.

Vanuit die eerdere abuse meldingen zit je wellicht nog "teveel in de aandacht" van de hackers scene.

(Ter referentie: Zelf heb ik zonnepanelen waarbij data wordt verzonden naar een portal met gebruiksgegevens, maar heb dit soort meldingen niet in mijn modem/router logbestand).
Reputatie 1
weet iemand wat dit betekend???
Vanuit het lijstje, het eerste IP wellicht als melding m.b.t. "abuse":
(Huricane Electric heeft o.a. veel gebruikte en bekende DNS-servers).
http://whois.domaintools.com/184.105.139.105

Dan krijg je telkens groepjes van 3 regels bij elkaar met IP's die poort 33434 gebruiken - vanuit IJsland
178.19.58.201 -----------> http://whois.domaintools.com/178.19.58.201
178.19.58.197 -----------> http://whois.domaintools.com/178.19.58.197
149.126.87.127 ---------> http://whois.domaintools.com/149.126.87.127

Algemeen < vanuit Google > enz. voor de andere IP's.

Aanvullend:
https://anti-hacker-alliance.com/index.php?ip=178.19.58.201
https://anti-hacker-alliance.com/index.php?ip=178.19.58.197
https://anti-hacker-alliance.com/index.php?ip=149.126.87.127

Die leggen contact met jou eigen internet IP-adres:
http://whois.domaintools.com/145.133.239.95

En de latere regels expliciet met jou LAN IP adres 192.168.2.200
Welke apparaat zit er precies achter dat IP-adres? Of heb je zoals eerder voorgesteld juist dat DMZ naar een "leeg" niet aangesloten apparaat op IP-adres 192.168.2.200 gezet?
(Kijken we later wel hoe we die meldingen alsnog kunnen tegenhouden).

Het lijkt me in ieder geval dat die eerdere "abuse" meldingen gegrond waren.
Dit soort verkeer lijkt me niet gezond.
Maar indien in het geval verwijzing naar "een leeg IP" kan er niets mee worden gedaan.

Vanuit die eerdere abuse meldingen zit je wellicht nog "teveel in de aandacht" van de hackers scene.

(Ter referentie: Zelf heb ik zonnepanelen waarbij data wordt verzonden naar een portal met gebruiksgegevens, maar heb dit soort meldingen niet in mijn modem/router logbestand).


u zegt gebruik maken. dus iemand zit via mijn modem?? gebruik te maken van mijn IP?

en dat met 192.168.2.200 is verander in de modem. zo als u zij. dat kan geen kwaad?

en wat bedoelt u met? Het lijkt me in ieder geval dat die eerdere "abuse" meldingen gegrond waren.

daar kan ik toch niks aan doen?

en mij is opgevallen dat die zonnepanelen avonds niet meer in de modem te zien is pas smorgens weer..
Reputatie 8
Ik beantwoord geen vragen meer als mensen zich niets aantrekken van de normaal gangbare gebruiksregels die bij forums worden gehanteerd.
Zie eerdere opmerking: https://forum.telfort.nl/internet-267/telfort-abuseteam-misbruik-van-uw-internetverbinding-76749/index3.html#post632449

Reageer