Kblog

DDoS aanval

Iemand heeft een hekel aan OBA.


Time: 09/30/2012, 16:00:53
 Message: UDP flood
 Source: 70.64.130.32, 12537
 Destination:192.168.2.201, 7120 (from ATM1 Inbound)
Time: 09/30/2012, 16:00:53
 Message: UDP flood
 Source: 121.116.92.112, 22418
 Destination:192.168.2.209, 6881 (from ATM1 Inbound)
Time: 09/30/2012, 16:00:53
 Message: UDP flood
 Source: 84.120.166.167, 62763
 Destination:192.168.2.201, 7122 (from ATM1 Inbound)

We weten niet precies wie het is, maar we worden regelmatig aangevallen.
Tot nu toe meestal door te proberen in te breken op een wordpress account door een password te raden.
( een beetje knullig, want user knutselsmurf heeft helemaal geen admin-rechten, en dan nog, wordpress is maar een pakketje, ik veeg het zo schoon ).
Vandaag probeerde men via een DDoS aanval de server plat te leggen.
Ik moet e.e.a nog analyseren, maar een of meer (zombie) PC’s probeerden zoveel mogelijk loze berichten naar mijn router te sturen, waarschijnlijk om daarmee OBA plat te krijgen. Nu is dat niet meer zo gemakkelijk, sinds we een voor- en achterkant hebben. De aanval was gericht tegen de achterkant, maar daardoor gaat de zichtbare pagina niet uit de lucht. De website kan alleen tijdelijk niet bijgewerkt worden. En daardoor ontbreekt er nu een plaatje. Dat plaatje bestaat wel, maar doordat de voorkant de foutmelding gecached heeft, blijft het ontbrekende plaatje staan als een zichtbaar litteken. De aanval vond even voor 16:00 plaats. Ik ben een programmeur en zeker geen netwerkbeheerder, maar de aanval stelde ook niet zoveel voor. Het had misschien wat meer impact gehad als er niemand thuis was geweest, of als de aanvaller de beschikking had gehad over wat meer computers.

Posted

in

by

beheerder

Tags:

, ,

Comments

24 responses to “DDoS aanval”

  1. Stefania Avatar
    Stefania

    Vreemde mensen bestaan er. Jammer van al die verspilde negatieve energie.
    Als ze dat nou inzetten om kinderporno sites plat te gooien heb je er nog wat aan. Afijn, hulde voor al het werk wat jullie doen.

  2. FRED VAN DER WAL Avatar
    FRED VAN DER WAL

    Waarom doet zo iemand dat?

  3. beheerder Avatar
    beheerder

    @Fred :
    Ik ben geen psychiater, en dan nog…
    Ik schrijf weleens dingen waar mensen niet blij mee zijn, dat heeft er misschien iets mee te maken. Er zijn ook mensen die denken dat ze zelf alles mogen en iemand anders niet, en dan gecorrigeerd worden. 9 Van de 10 mensen zien dan in dat ze iets stoms gedaan hebben, er zijn er ook die zich niet laten corrigeren en al hun energie in wraak steken. Dan heb je nog de stiekeme saboteurs. Zulke mensen hoor je nooit, je vindt alleen krassen op je auto, ‘s-morgens.

  4. beheerder Avatar
    beheerder

    Ook weer een reactie van Robert Kruzdlo onder een schuilnaam. Ik heb geen zin om gebruikt te worden als platform voor het uitvechten van kunstenaarsruzies.

  5. Appelvrouw Avatar
    Appelvrouw

    Je moet wel heel erg gemotiveerd zijn om door te gaan met WordPress.

    Op allerlei terreinen heb je mensen die maar iets doen vanuit hun onderbuik, spanning zoekend vanuit verveling misschien, het valt niet altijd mee om je eigen leven inhoud te geven. Wat er dan niet spannender dan te proberen met een spijker een deur in te slaan.

  6. beheerder Avatar
    beheerder

    Het lijkt mij een (ex)medewerker van KPN, of iemand die om een of andere reden veel weet van ADSL-modems en routers. Hij waant zich misschien almachtig, achter zijn laptop, want ik word door KPN’s helpdesk toch wel afgepoeierd, als ik een storing meld.
    Ik denk.

  7. Timmerark Avatar
    Timmerark

    Op het VKBlog had je de laatste tijd de MMT kontkussers en de rest. Mijn gok is dat de aanvaller uit één van deze twee groepen komt.

  8. beheerder Avatar
    beheerder

    Mihai schijnt een knappe man te zijn, maar het lijkt me niet zo’n Casanova dat meer dan 5 mensen bereid zouden zijn zijn kont te kussen. Dat maakt de restgroep ( +/- 4 miljard ) nog steeds onhandelbaar groot.

  9. jan krosenbrink Avatar
    jan krosenbrink

    ik wens je succes, alleen al vanwege die bivakmuts, hoe laf

  10. Grutte Pier Avatar
    Grutte Pier

    Als ik het zo zie, lijkt me een pc in je netwerk besmet met malware. Dit is geen gerichte aanval.

  11. Grutte Pier Avatar
    Grutte Pier

    … maar dan heb ik wel meer info nodig. Ieg sterkte met uitzoeken, je bent ‘smurfs’ genoeg. 😉

  12. beheerder Avatar
    beheerder

    Dat zou dan Linux-malware moeten zijn. En het is ook wel apart dat de firewall ( die meldingen komen uit mijn internet-toegangskastje ) zegt dat ze “inbound” zijn. Bij een virus zou ik alleen outbound verwachten. Misschien is het ook wel gewoon zo dat KPN een paar kabels vervangen heeft en even de lijn aan het testen was. Vanacht was er namelijk even helemaal geen verbinding.

  13. Grutte Pier Avatar
    Grutte Pier

    Hmm idd met Linux wordt het erg onwaarschijnlijk. Een virus kan inbound en outbound genereren. KPN is idd bezig, vorige week firmware upgrade op mijn box.

  14. beheerder Avatar
    beheerder

    Windows, wat was dat ook alweer ? Een soort tekenpakket met irritante wizzards of zo. En een geheimzinnige database waar je niet aan mocht komen, en waar alle instellingen in zaten. En iets vaags met bewegende pictogrammen en programma’s die dingen doen waar ze geen toestemming voor hebben. En toverwoorden en dure medicijnen die na een jaar over de datum zijn. Ik heb het er af geflikkerd, het is mijn computer.

    Ik heb natuurlijk ook even gegoogled, vrij lang zelfs en de conclusie is dat er meerdere oorzaken voor het probleem kunnen zijn, en dat niemand echt zeker weet hoe het werkt. Het is wel zeker dat er nog steeds bugs in de Experia box zitten. Als ik instel dat ik 1 keer per 12 uur een mailtje wil ontvangen, moet ik er geen 76 achter elkaar krijgen. En als ik zeg dat ik niet vanaf de WAN-poort gepingd wil worden, moet hij dat ook niet doen. Het zou leuk zijn als dat ding ook een echte gebruiksaanwijzing had, in plaats van een “bel-onze-deskundige-helpdesk”. Die helpdesk stuurt een commerciële partij op je af die niet veel meer doet dan 20 Euro in rekening brengen voor een “ja, dat zou kunnen” antwoord.

  15. Grutte Pier Avatar
    Grutte Pier

    Je kan IDS meen ik wel aanpassen binnen de Experia. Zal straks even kijken. Ieg ben je verder. Sowieso wordt elke site wel aangevallen, maar om nu UDP te gaan gebruiken om iets ‘snel’ plat te leggen…. :-~

  16. beheerder Avatar
    beheerder

    Het probleem is dat het een apparaat voor de consumentenmarkt is. Wat is nou high/medium/low ? Ik wil gewoon kunnen instellen wat hij wel en vooral niet doorlaat, maar dat kan niet. Die e-mail functie is leuk, maar die heb ik nu uitgeschakeld, want ik gebruik mijn eigen NAS als logserver.

  17. Grutte Pier Avatar
    Grutte Pier

    En weer thuis. Zo te zien is eea behoorlijk veranderd qua firmware (heb ZTE) en kan je idd nog maar weinig doen aan instellingen wbt de firewall. Ik kan helemaal nix meer, nu staan de instellingen wel goed overigens (nakkes e-mail).

    Wel zie ik een squala aan port-forward dingen, die in te stellen zijn. Was eerder niet zo (meen ik), mn de voorgebakken opties (spellen, torrents, type servers, etc.), die dus allemaal aan te passen zijn tot in detail. Dat is wel netjes.

    Idd een consumentenmarkt ding, maar er is wel het nodige te tweaken verder. Ook voor jou.

  18. beheerder Avatar
    beheerder

    Port forwarding kon hij altijd al. Het enige punt is, dat hij niet altijd doet wat je instelt, al zegt de status dat het wel zo is. Soms moet je hem herstarten om het voor elkaar te krijgen, soms vergeet hij juist dingen als je hem herstart. Udp pakketjes mag hij houden, ik wil alleen tcp. Volgens Wireshark (protocol analyzer, heel leerzaam) doet hij dat ook.

  19. Grutte Pier Avatar
    Grutte Pier

    Tsja, blijft consumentending dus (geen slechte, echt niet), en na een upgrade door KPN kun je weer van alles kwijt zijn. Waarom zet je er geen eigen router achter, doorlussen via DMZ)?

    Kun je me een .htaccess doorsturen die goed werkt voor WP. Ben een site aan het inrichten…

  20. beheerder Avatar
    beheerder

    Het toeval wil dat ik net een extra routertje gekocht had. Ik kwam een poortje tekort om de video in het netwerk te kunnen hangen. Wat ze allemaal niet kunnen tegenwoordig 🙂

  21. Dauw Avatar
    Dauw

    Dag Knutselsmurf,

    Mag dit een pleistertje op de wond betekenen …

    Ik wou je graag laten weten dat ik jou samen met 15 andere bloggers genomineerd heb voor een “Beautiful Blogger Award”.
    Hopelijk vind je dit nieuws fijn om te vernemen. Voel je vooral niet verplicht deze te accepteren, de onderscheiding is bedoeld als een teken van mijn erkentelijkheid ten aanzien van een voor mij “waardevolle” blogger.
    Maar mocht je toch overwegen om deze in ontvangst te nemen, dan kan je hierover meer informatie vinden in mijn blogbericht van vandaag. Dit is de link : http://dauws.blogspot.be/2012/10/in-de-prijzen-gevallen.html
    Maak er een fijn weekend van en hopelijk kan je ergens een gaatje in jouw drukke bezigheden vinden om een bezoekje te brengen aan de andere kandidaten , zoals zij allicht ook jou een bezoekje zullen brengen.

    – Dauw –

  22. Dauw Avatar
    Dauw

    Nog een vraagje… Zie jij een mogelijkheid om Ina Dijstelberge op de hoogte brengen dat ik ook haar genomineerd heb?
    Ik kan momenteel hoegenaamd niet op de reactieruimte van haar blog komen.
    Alvast dank daarvoor.

  23. beheerder Avatar
    beheerder

    Dat is mijn schuld. Ik beheer de techniek voor haar blog, en net nu ik een paar dagen weg ben is er thuis iets mis gegaan, waarschijnlijk door een stroomstoring.
    Over een paar dagen zet ik het recht.

  24. supernova Avatar
    supernova

    Hoi Knutselsmurf, dit is een off-topic reactie mar misschien weet jij het antwoord op mijn vraag.
    Woensdagavond kreeg ik een telefoontje en sindsdien wordt mijn PC voortdurend aangevallen. Rondkijkend zag ik dat het misschien om Dorifel gaat.
    Las dat alleen dat PC’s die tot een Citadel botnet behoren worden geïnfecteerd. De aanvallen worden wel steeds afgeslagen maar vraag me nu af of mijn PC tot het Citadel botnet behoort. Weet jij misschien hoe dit zit?

Leave a Reply

Your email address will not be published. Required fields are marked *