1. zmip Member

    Port scans

    Topic geplaatst op: 24-05-2013 om 12:27

    CSF/LFD rapporteert aan mij de afgelopen twee dagen de volgende port scans:

    IP: 159.253.7.156 (NL/Netherlands/monster.vgst.nl)
    IP: 159.253.5.220 (NL/Netherlands/-)

    Er kwamen ook al een paar Chinezen langs, maar dat was te verwachten, had ik begrepen, bij het (min of meer) zelf hosten.

    Maar wat ik verrassend vind, is dat die twee 159.253.* adressen van het AXC netwerk komen. Iemand enig idee waarom er port scans gedaan zouden kunnen worden, anders dan met 'malicious intents'? vgst.nl staat overigens, verrassend genoeg voor "Vereniging van Gereformeerde Studenten in Twente". Dus misschien kwamen ze op de deur kloppen, zoals hun collega's van de Jehova's Getuigen plegen te doen, maar dan in een moderner jasje...

  2. Iwan Timmer Member
    Reactie geplaatst op: 27-05-2013 om 22:17

    Ik ben de beheerder van vgst.nl, maar voor zover ik weet zijn wij volledig uptodate. Zou u het exacte tijdstip kunnen aangeven waarop 159.253.7.156 een aanval zou hebben gedaan. Dan kunnen wij hier onze log files op controleren.

    Vond u dit antwoord nuttig?

  3. zmip Member
    Reactie geplaatst op: 29-05-2013 om 14:48

    Hé Iwan, da's wel erg toevallig, ook een Cloudbox klant dus?

    Time: Fri May 24 09:14:54 2013 +0000
    IP: 159.253.7.156 (NL/Netherlands/monster.vgst.nl)
    Hits: 11
    Blocked: Temporary Block

    Time: Fri May 24 10:20:25 2013 +0000
    IP: 159.253.7.156 (NL/Netherlands/monster.vgst.nl)
    Hits: 11
    Blocked: Temporary Block

    Time: Fri May 24 11:25:41 2013 +0000
    IP: 159.253.7.156 (NL/Netherlands/monster.vgst.nl)
    Hits: 11
    Blocked: Temporary Block

    Inmiddels waren jullie definitief geblocked (maar ik bouw m'n VPS opnieuw op, dus nieuwe ronde nieuwe kansen). Ben wel benieuwd waar de port scans vandaan komen.

    Vond u dit antwoord nuttig?

  4. Iwan Timmer Member
    Reactie geplaatst op: 29-05-2013 om 20:10

    Ok de server volledig gescand op virussen, rootkits en malware, maar heb niets kunnen vinden. Dit was te verwachten aangezien onze server volledig up-to-date is en goed onderhouden wordt. Daarentegen kwam ik wel een interessant bericht tegen over Dropbox.

    http://www.subdimension.co.uk/2012/04/28/Dropbox_LANSync.html

    Wij gebruiken Dropbox voor backups van belangrijke data. LANSync is echter nooit uitgezet en dat is dan ook vermoedelijk de oorzaak dat onze server wordt aangezien als poortscanner.

    Vond u dit antwoord nuttig?

  5. zmip Member
    Reactie geplaatst op: 30-05-2013 om 09:42

    Iwan, dat artikel beschrijft inderdaad precies wat hier gebeurt (gebeurde?). Bij de buren aankloppen. Ik vond het ook al iets te toevallig dat de IP adressen van AXC waren. Thanks voor je reactie. Ik zal je wel blokkeren, indien nodig, maar ik weet in ieder geval wat de oorzaak is.

    Vond u dit antwoord nuttig?