DDoS aanval

Iemand heeft een hekel aan OBA.


Time: 09/30/2012, 16:00:53
 Message: UDP flood
 Source: 70.64.130.32, 12537
 Destination:192.168.2.201, 7120 (from ATM1 Inbound)
Time: 09/30/2012, 16:00:53
 Message: UDP flood
 Source: 121.116.92.112, 22418
 Destination:192.168.2.209, 6881 (from ATM1 Inbound)
Time: 09/30/2012, 16:00:53
 Message: UDP flood
 Source: 84.120.166.167, 62763
 Destination:192.168.2.201, 7122 (from ATM1 Inbound)

We weten niet precies wie het is, maar we worden regelmatig aangevallen.
Tot nu toe meestal door te proberen in te breken op een wordpress account door een password te raden.
( een beetje knullig, want user knutselsmurf heeft helemaal geen admin-rechten, en dan nog, wordpress is maar een pakketje, ik veeg het zo schoon ).
Vandaag probeerde men via een DDoS aanval de server plat te leggen.
Ik moet e.e.a nog analyseren, maar een of meer (zombie) PC’s probeerden zoveel mogelijk loze berichten naar mijn router te sturen, waarschijnlijk om daarmee OBA plat te krijgen. Nu is dat niet meer zo gemakkelijk, sinds we een voor- en achterkant hebben. De aanval was gericht tegen de achterkant, maar daardoor gaat de zichtbare pagina niet uit de lucht. De website kan alleen tijdelijk niet bijgewerkt worden. En daardoor ontbreekt er nu een plaatje. Dat plaatje bestaat wel, maar doordat de voorkant de foutmelding gecached heeft, blijft het ontbrekende plaatje staan als een zichtbaar litteken. De aanval vond even voor 16:00 plaats. Ik ben een programmeur en zeker geen netwerkbeheerder, maar de aanval stelde ook niet zoveel voor. Het had misschien wat meer impact gehad als er niemand thuis was geweest, of als de aanvaller de beschikking had gehad over wat meer computers.

Read Offline:
This entry was posted in Wordpress and tagged , , . Bookmark the permalink.

24 Responses to DDoS aanval

  1. Stefania says:

    Vreemde mensen bestaan er. Jammer van al die verspilde negatieve energie.
    Als ze dat nou inzetten om kinderporno sites plat te gooien heb je er nog wat aan. Afijn, hulde voor al het werk wat jullie doen.

  2. FRED VAN DER WAL says:

    Waarom doet zo iemand dat?

  3. beheerder says:

    @Fred :
    Ik ben geen psychiater, en dan nog…
    Ik schrijf weleens dingen waar mensen niet blij mee zijn, dat heeft er misschien iets mee te maken. Er zijn ook mensen die denken dat ze zelf alles mogen en iemand anders niet, en dan gecorrigeerd worden. 9 Van de 10 mensen zien dan in dat ze iets stoms gedaan hebben, er zijn er ook die zich niet laten corrigeren en al hun energie in wraak steken. Dan heb je nog de stiekeme saboteurs. Zulke mensen hoor je nooit, je vindt alleen krassen op je auto, ‘s-morgens.

  4. beheerder says:

    Ook weer een reactie van Robert Kruzdlo onder een schuilnaam. Ik heb geen zin om gebruikt te worden als platform voor het uitvechten van kunstenaarsruzies.

  5. Appelvrouw says:

    Je moet wel heel erg gemotiveerd zijn om door te gaan met WordPress.

    Op allerlei terreinen heb je mensen die maar iets doen vanuit hun onderbuik, spanning zoekend vanuit verveling misschien, het valt niet altijd mee om je eigen leven inhoud te geven. Wat er dan niet spannender dan te proberen met een spijker een deur in te slaan.

  6. beheerder says:

    Het lijkt mij een (ex)medewerker van KPN, of iemand die om een of andere reden veel weet van ADSL-modems en routers. Hij waant zich misschien almachtig, achter zijn laptop, want ik word door KPN’s helpdesk toch wel afgepoeierd, als ik een storing meld.
    Ik denk.

  7. Timmerark says:

    Op het VKBlog had je de laatste tijd de MMT kontkussers en de rest. Mijn gok is dat de aanvaller uit één van deze twee groepen komt.

  8. beheerder says:

    Mihai schijnt een knappe man te zijn, maar het lijkt me niet zo’n Casanova dat meer dan 5 mensen bereid zouden zijn zijn kont te kussen. Dat maakt de restgroep ( +/- 4 miljard ) nog steeds onhandelbaar groot.

  9. ik wens je succes, alleen al vanwege die bivakmuts, hoe laf

  10. Grutte Pier says:

    Als ik het zo zie, lijkt me een pc in je netwerk besmet met malware. Dit is geen gerichte aanval.

  11. Grutte Pier says:

    … maar dan heb ik wel meer info nodig. Ieg sterkte met uitzoeken, je bent ‘smurfs’ genoeg. 😉

  12. beheerder says:

    Dat zou dan Linux-malware moeten zijn. En het is ook wel apart dat de firewall ( die meldingen komen uit mijn internet-toegangskastje ) zegt dat ze “inbound” zijn. Bij een virus zou ik alleen outbound verwachten. Misschien is het ook wel gewoon zo dat KPN een paar kabels vervangen heeft en even de lijn aan het testen was. Vanacht was er namelijk even helemaal geen verbinding.

  13. Grutte Pier says:

    Hmm idd met Linux wordt het erg onwaarschijnlijk. Een virus kan inbound en outbound genereren. KPN is idd bezig, vorige week firmware upgrade op mijn box.

  14. beheerder says:

    Windows, wat was dat ook alweer ? Een soort tekenpakket met irritante wizzards of zo. En een geheimzinnige database waar je niet aan mocht komen, en waar alle instellingen in zaten. En iets vaags met bewegende pictogrammen en programma’s die dingen doen waar ze geen toestemming voor hebben. En toverwoorden en dure medicijnen die na een jaar over de datum zijn. Ik heb het er af geflikkerd, het is mijn computer.

    Ik heb natuurlijk ook even gegoogled, vrij lang zelfs en de conclusie is dat er meerdere oorzaken voor het probleem kunnen zijn, en dat niemand echt zeker weet hoe het werkt. Het is wel zeker dat er nog steeds bugs in de Experia box zitten. Als ik instel dat ik 1 keer per 12 uur een mailtje wil ontvangen, moet ik er geen 76 achter elkaar krijgen. En als ik zeg dat ik niet vanaf de WAN-poort gepingd wil worden, moet hij dat ook niet doen. Het zou leuk zijn als dat ding ook een echte gebruiksaanwijzing had, in plaats van een “bel-onze-deskundige-helpdesk”. Die helpdesk stuurt een commerciële partij op je af die niet veel meer doet dan 20 Euro in rekening brengen voor een “ja, dat zou kunnen” antwoord.

  15. Grutte Pier says:

    Je kan IDS meen ik wel aanpassen binnen de Experia. Zal straks even kijken. Ieg ben je verder. Sowieso wordt elke site wel aangevallen, maar om nu UDP te gaan gebruiken om iets ‘snel’ plat te leggen…. :-~

  16. beheerder says:

    Het probleem is dat het een apparaat voor de consumentenmarkt is. Wat is nou high/medium/low ? Ik wil gewoon kunnen instellen wat hij wel en vooral niet doorlaat, maar dat kan niet. Die e-mail functie is leuk, maar die heb ik nu uitgeschakeld, want ik gebruik mijn eigen NAS als logserver.

  17. Grutte Pier says:

    En weer thuis. Zo te zien is eea behoorlijk veranderd qua firmware (heb ZTE) en kan je idd nog maar weinig doen aan instellingen wbt de firewall. Ik kan helemaal nix meer, nu staan de instellingen wel goed overigens (nakkes e-mail).

    Wel zie ik een squala aan port-forward dingen, die in te stellen zijn. Was eerder niet zo (meen ik), mn de voorgebakken opties (spellen, torrents, type servers, etc.), die dus allemaal aan te passen zijn tot in detail. Dat is wel netjes.

    Idd een consumentenmarkt ding, maar er is wel het nodige te tweaken verder. Ook voor jou.

  18. beheerder says:

    Port forwarding kon hij altijd al. Het enige punt is, dat hij niet altijd doet wat je instelt, al zegt de status dat het wel zo is. Soms moet je hem herstarten om het voor elkaar te krijgen, soms vergeet hij juist dingen als je hem herstart. Udp pakketjes mag hij houden, ik wil alleen tcp. Volgens Wireshark (protocol analyzer, heel leerzaam) doet hij dat ook.

  19. Grutte Pier says:

    Tsja, blijft consumentending dus (geen slechte, echt niet), en na een upgrade door KPN kun je weer van alles kwijt zijn. Waarom zet je er geen eigen router achter, doorlussen via DMZ)?

    Kun je me een .htaccess doorsturen die goed werkt voor WP. Ben een site aan het inrichten…

  20. beheerder says:

    Het toeval wil dat ik net een extra routertje gekocht had. Ik kwam een poortje tekort om de video in het netwerk te kunnen hangen. Wat ze allemaal niet kunnen tegenwoordig 🙂

  21. Dauw says:

    Dag Knutselsmurf,

    Mag dit een pleistertje op de wond betekenen …

    Ik wou je graag laten weten dat ik jou samen met 15 andere bloggers genomineerd heb voor een “Beautiful Blogger Award”.
    Hopelijk vind je dit nieuws fijn om te vernemen. Voel je vooral niet verplicht deze te accepteren, de onderscheiding is bedoeld als een teken van mijn erkentelijkheid ten aanzien van een voor mij “waardevolle” blogger.
    Maar mocht je toch overwegen om deze in ontvangst te nemen, dan kan je hierover meer informatie vinden in mijn blogbericht van vandaag. Dit is de link : http://dauws.blogspot.be/2012/10/in-de-prijzen-gevallen.html
    Maak er een fijn weekend van en hopelijk kan je ergens een gaatje in jouw drukke bezigheden vinden om een bezoekje te brengen aan de andere kandidaten , zoals zij allicht ook jou een bezoekje zullen brengen.

    – Dauw –

  22. Dauw says:

    Nog een vraagje… Zie jij een mogelijkheid om Ina Dijstelberge op de hoogte brengen dat ik ook haar genomineerd heb?
    Ik kan momenteel hoegenaamd niet op de reactieruimte van haar blog komen.
    Alvast dank daarvoor.

  23. beheerder says:

    Dat is mijn schuld. Ik beheer de techniek voor haar blog, en net nu ik een paar dagen weg ben is er thuis iets mis gegaan, waarschijnlijk door een stroomstoring.
    Over een paar dagen zet ik het recht.

  24. supernova says:

    Hoi Knutselsmurf, dit is een off-topic reactie mar misschien weet jij het antwoord op mijn vraag.
    Woensdagavond kreeg ik een telefoontje en sindsdien wordt mijn PC voortdurend aangevallen. Rondkijkend zag ik dat het misschien om Dorifel gaat.
    Las dat alleen dat PC’s die tot een Citadel botnet behoren worden geïnfecteerd. De aanvallen worden wel steeds afgeslagen maar vraag me nu af of mijn PC tot het Citadel botnet behoort. Weet jij misschien hoe dit zit?

Leave a Reply

Your email address will not be published.