Discussion:
Fritzbox gehacked, of denkfout?
(te oud om op te antwoorden)
Paul van der Vlis
2010-03-23 11:52:57 UTC
Permalink
Hallo,

Ik zie in /var/log/syslog steeds van dit soort scans voorbij komen:

Mar 23 12:46:14 jet2 kernel: [19830.860311] FW:IN=eth0 OUT=
MAC=00:12:17:57:73:48:00:1f:3f:b0:62:ea:08:00 SRC=192.168.178.1
DST=192.168.178.2 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=23518 DF PROTO=TCP
SPT=3003 DPT=14013 WINDOW=5840 RES=0x00 SYN URGP=0

Nu is die 192.168.178.1 een fritzbox (router van o.a. Xs4all) en
192.168.178.2 is een Linux machine waarop een firewall draait.

Volgens mij komt het verkeer van die Fritzbox, als ik vanaf internet
iets doe wat verboden is, dan zie ik een extern IP in de log, en geen
lokaal IP. Of maak ik een denkfout?

Volgens XS4all zijn er geen hacks bekend van die Fritzbox.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Richard Rasker
2010-03-23 13:43:47 UTC
Permalink
Post by Paul van der Vlis
Hallo,
Mar 23 12:46:14 jet2 kernel: [19830.860311] FW:IN=eth0 OUT=
MAC=00:12:17:57:73:48:00:1f:3f:b0:62:ea:08:00 SRC=192.168.178.1
DST=192.168.178.2 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=23518 DF PROTO=TCP
SPT=3003 DPT=14013 WINDOW=5840 RES=0x00 SYN URGP=0
Nu is die 192.168.178.1 een fritzbox (router van o.a. Xs4all) en
192.168.178.2 is een Linux machine waarop een firewall draait.
Volgens mij komt het verkeer van die Fritzbox, als ik vanaf internet
iets doe wat verboden is, dan zie ik een extern IP in de log, en geen
lokaal IP. Of maak ik een denkfout?
Volgens XS4all zijn er geen hacks bekend van die Fritzbox.
Met vriendelijke groet,
Paul van der Vlis.
Ik weet niet of je hier veel aan hebt. maar als je zoekt op de destination
port (DPT=14013) kom je onder meer uit op een ingebouwde service die
contact zoekt met een kinderslot op aangesloten pc's. Zie bijvoorbeeld
http://www.ip-phone-forum.de/showthread.php?t=138295 of zoek even op
avmident.exe.

Je bent in ieder geval niet de enige die deze meldingen krijgt van een
Fritzbox, en in de meeste gevallen lijkt er geen sprake van hack.

Richard Rasker
--
http://www.linetec.nl
Paul van der Vlis
2010-03-23 15:30:43 UTC
Permalink
Post by Richard Rasker
Post by Paul van der Vlis
Hallo,
Mar 23 12:46:14 jet2 kernel: [19830.860311] FW:IN=eth0 OUT=
MAC=00:12:17:57:73:48:00:1f:3f:b0:62:ea:08:00 SRC=192.168.178.1
DST=192.168.178.2 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=23518 DF PROTO=TCP
SPT=3003 DPT=14013 WINDOW=5840 RES=0x00 SYN URGP=0
Nu is die 192.168.178.1 een fritzbox (router van o.a. Xs4all) en
192.168.178.2 is een Linux machine waarop een firewall draait.
Volgens mij komt het verkeer van die Fritzbox, als ik vanaf internet
iets doe wat verboden is, dan zie ik een extern IP in de log, en geen
lokaal IP. Of maak ik een denkfout?
Volgens XS4all zijn er geen hacks bekend van die Fritzbox.
Met vriendelijke groet,
Paul van der Vlis.
Ik weet niet of je hier veel aan hebt. maar als je zoekt op de destination
port (DPT=14013) kom je onder meer uit op een ingebouwde service die
contact zoekt met een kinderslot op aangesloten pc's. Zie bijvoorbeeld
http://www.ip-phone-forum.de/showthread.php?t=138295 of zoek even op
avmident.exe.
Je bent in ieder geval niet de enige die deze meldingen krijgt van een
Fritzbox, en in de meeste gevallen lijkt er geen sprake van hack.
Bedankt voor je info. Ik dacht dat dit een toevallige poort was en dat
hij aan het scannen was, maar daar heb ik verkeerd gekeken.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Loading...