Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Stacheldraht DDOS attack na install Azureus  (gelezen 784 keer)

Elmo

  • Gast
Stacheldraht DDOS attack na install Azureus
« Gepost op: 2006/10/28, 18:51:06 »
Mijn pc wordt aangevallen door Stacheldraht. Tenminste dat vermoed ik.

Via Adept heb ik de nieuwste Azureus (torrent software) geinstalleerd. Toen ik het programma opende gaf het een NAT error. Tijdens het zoeken naar een oplossing kwam ik bij deze thread op linuxquestions. Nav de thread heb ik de poorten 6881 tot en met 6889 open gezet met:

iptables -A INPUT -p TCP --dport 6881:6889 -i eth0 -j ACCEPT

Even later kreeg ik veel meldingen op firestarter. Een klein stukje uit de lijst die je met firestarter kan opslaan:

Time:Oct 28 18:40:34 Direction: Onbekend In:eth0 Out: Port:65000 Source:24.78.177.23 Destination:xxx.xxx.xxx.xxx Length:70 TOS:0x00 Protocol:UDP Service:Stacheldraht
Time:Oct 28 18:40:34 Direction: Onbekend In:eth0 Out: Port:65000 Source:86.131.156.226 Destination:xxx.xxx.xxx.xxx Length:91 TOS:0x00 Protocol:UDP Service:Stacheldraht
Time:Oct 28 18:40:37 Direction: Onbekend In:eth0 Out: Port:65000 Source:70.130.205.199 Destination:xxx.xxx.xxx.xxx Length:93 TOS:0x00 Protocol:UDP Service:Stacheldraht

(Destination:mijn ipadres vervangen door xxx.xxx.xxx.xxx)

Elke keer weer probeert service Stacheldraht poort 65000 via UDP. Dat is (toevallig ?) de poort die ik in Azureus aangegeven heb om te gebruiken (ingegeven na het lezen van een thread ergens).

Azureus heb ik inmiddels weer via Adept verwijderd, maar de meldingen blijven komen.

Mijn pc draait op Kubuntu 6.06 LTS Dapper Drake. De laatste updates zijn gedaan.

Op google en fora heb ik gezocht, maar ik vind nergens bruikbare info (voor een newbie, like myself) :(

Heeft iemand een idee hoe ik dit kan laten stoppen / moet oplossen?

Offline bartek

  • Lid
    • http://bartek.blogsome.com
  • Steunpunt: Nee
Stacheldraht DDOS attack na install Azureus
« Reactie #1 Gepost op: 2006/10/28, 20:17:30 »
Als je systeem aangevallen wordt kunt ge daar zelf weinig aan doen. Je krijgt die meldingen via Firestarter. Zet 'm anders uit. De aanvaller denkt dat hij op uw ip adres binnen kan en stuurt continue signalen. Hij denkt nu dat ge off-line zijt en wacht tot ge terug online komt.
Ubuntu zet standaard alle poorten toe dus echt veel zorgen hoef je je niet te maken denk ik.
| Deliberando saepe perit occasio |

"Car la vie est un bien perdu quand on n'a pas vécu comme on l'aurait voulu"

Elmo

  • Gast
Stacheldraht DDOS attack na install Azureus
« Reactie #2 Gepost op: 2006/10/29, 15:08:53 »
Alles lijkt nu goed. Gisteravond de pc uitgezet en vanmiddag opnieuw aan.

Maar nog een vraagje: die poorten heb ik handmatig open gezet. Zet ubuntu/firestarter die standaard weer dicht of moet ik dat handmatig nog even doen?

Offline Soul-Sing

  • Lid
  • Steunpunt: Nee
Stacheldraht DDOS attack na install Azureus
« Reactie #3 Gepost op: 2006/10/29, 15:17:37 »
je kunt de betreffende poorten heel specifiek testen bij --shield up---. kies niet de algemene testen/maar kies specifieke poorten.
https://www.grc.com/x/ne.dll?bh0bkyd2

Elmo

  • Gast
Stacheldraht DDOS attack na install Azureus
« Reactie #4 Gepost op: 2006/10/29, 16:43:08 »
Thanks voor de replies

Ik heb de specifieke poorten gescand, daarna de andere scans gedaan. Alles staat in stealth mode, maar de pc kon wel gepinged worden.

Offline Soul-Sing

  • Lid
  • Steunpunt: Nee
Stacheldraht DDOS attack na install Azureus
« Reactie #5 Gepost op: 2006/10/29, 16:52:16 »
toevallig de laatste tijd me verdiept in system hardening. had ook een "gek" computer moment een tijdje terug.
ik zou firestarter zo instellen dat pingen onmogelijk wordt. loop even de firestarter configuratie door. verder lijkt het me dat je compu voorlopig safe is.
verdere systemhardening zou KUNNEN zijn: bastille en snort
sudo apt-get install bastille ( vergeet perl tk niet te installeren)
sudo apt-get install snort