- Anzeige -

"Hacker-Angriff" - werde totgepingt

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

"Hacker-Angriff" - werde totgepingt

Beitragvon Goldengate » 25.04.2011, 16:51

Guten Abend liebes Forum,
seit einigen Tagen habe ich ein Problem mit meinter Internet Leitung. Die Verbindung bricht oft ab, ich habe ungewöhnlich viele Laggs.
Ich bekam E-Mails mit Drohungen "your brain will be fucked up, it will start with your connection". Warum und woher? Ich weiß es nicht. Außer Leute von meinen CSS Servern zu kicken tue ich nichts was Leute verärgern könnte. :kratz:

Mein Wlan Router -> DIR-600

Nun, jedenfalls besteht das Problem seit diesen E-Mails. Heute habe ich in meinen LOG im Router geschaut, in der Hoffnung was nützliches zu entdecken, und siehe da, was finde ich? Einen Typen der mich dauerhaft angepingt.
Das sieht so aus:

Jan 1 05:04:46 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 05:02:31 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 05:01:06 DHCP: Client receive ACK from 80.69.97.244, IP=109.90.113.125, Lease time=3600.
Jan 1 04:58:55 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:54:25 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:53:31 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:53:04 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:52:37 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:43:37 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:43:10 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.


Jedesmal Nachts um 0:00 kommt übrigens folgendes:

Jan 1 00:00:13 Domain blocking disabled.
Jan 1 00:00:13 URL blocking disabled.
Jan 1 00:00:13 MAC filter disabled.
Jan 1 00:00:04 System started.
Jan 1 00:00:29 MAC filter disabled.
Jan 1 00:00:28 DHCP: Client receive ACK from 192.168.100.1, IP=192.168.100.10, Lease time=30.
Jan 1 00:00:25 DHCP: Client send REQUEST to server 192.168.100.1, request IP=192.168.100.10.
Jan 1 00:00:25 DHCP: Client receive OFFER from 192.168.100.1.
Jan 1 00:00:25 DHCP: Client send DISCOVER.
Jan 1 00:00:21 DHCP: Client send DISCOVER.
Jan 1 00:00:19 DHCP: Client send DISCOVER.
Jan 1 00:00:13 VPN (L2TP) Pass-Through enabled.
Jan 1 00:00:13 VPN (IPSec) Pass-Through enabled.
Jan 1 00:00:13 VPN (PPTP) Pass-Through enabled.
Jan 1 00:00:46 DHCP: Client release IP 192.168.100.10 to server 192.168.100.1.
Jan 1 00:00:42 DHCP: Client receive ACK from 192.168.100.1, IP=192.168.100.10, Lease time=30.
Jan 1 00:00:29 Remote management is disabled.
Jan 1 00:00:29 Block WAN PING is enabled.
Jan 1 00:00:29 DMZ disabled.
Jan 1 00:00:29 VPN (L2TP) Pass-Through enabled.
Jan 1 00:00:29 VPN (IPSec) Pass-Through enabled.
Jan 1 00:00:29 VPN (PPTP) Pass-Through enabled.
Jan 1 00:00:29 Domain blocking disabled.
Jan 1 00:00:29 URL blocking disabled.


Meine Frage: Wie kann ich das Ping-Flooding verändern? Ist an den Logs sonst noch etwas auffälliges? Das nervt ziemlich, wirklich. Ich bin schon total verzweifelt auf einer Lösung, finde aber nichts!
Den PC neuaufzusetzen würde auch nichts bringen - ist ja wohl kein Virus, oder? Und wenn hätte er ja auch auf das Netzwerk zugriff..?

Ich bitte um Hilfe!

Grüße,
Goldi
Goldengate
Kabelneuling
 
Beiträge: 11
Registriert: 25.04.2011, 16:43

Re: "Hacker-Angriff" - werde totgepingt

Beitragvon Matrix110 » 25.04.2011, 18:37

Goldengate hat geschrieben:Guten Abend liebes Forum,
seit einigen Tagen habe ich ein Problem mit meinter Internet Leitung. Die Verbindung bricht oft ab, ich habe ungewöhnlich viele Laggs.
Ich bekam E-Mails mit Drohungen "your brain will be fucked up, it will start with your connection". Warum und woher? Ich weiß es nicht. Außer Leute von meinen CSS Servern zu kicken tue ich nichts was Leute verärgern könnte. :kratz:


Du kickst Script Kiddies von Servern und fragst dich was der Grund ist :brüll:

Dagegen tun kann man je nachdem wieviel Plan derjenige hat eventuell gar nichts(wobei die schnell die Lust verlieren, wenn man sie etwas nervt mit härteren Fronten) eventuell aber auch viel.


Was erstmal schnell helfen könnte:
Neue Router Firmware bei D-Link runterladen, am besten über eine andere Person und die Checksum prüfen(falls vorhanden), sodass das sichergestellt wird das diese "Sauber" ist
Internetverbindung trennen
Router resetten
Firmware updaten
Router Login ändern
Internetverbindung wieder herstellen

Wenn das ganze allerdings über Trojaner auf deinem PC läuft wird es etwas komplizierter, wenn diese nicht von standard Antiviren Programmen erkannt werden.
Benutzeravatar
Matrix110
Glasfaserstrecke
 
Beiträge: 2345
Registriert: 20.12.2008, 16:18

Re: "Hacker-Angriff" - werde totgepingt

Beitragvon reset » 25.04.2011, 20:09

Da es sich bei der IP um eine des Privaten Adressbereichs handelt (10.84.64.1) [1]
ist da eher mit einem Fehlalarm zu rechnen.
Ich kenne nun die Server von UM nicht aber es ist durchaus im Rahmen, das es im Zusammenhang mit dem DHCP-Lease [2] auftritt.

Die zweite Liste sieht nach einem Status-Bericht nach dem System-Start / Reset aus.

[1] http://de.wikipedia.org/wiki/Private_IP-Adresse
[2] http://de.wikipedia.org/wiki/DHCP#Dynamische_Zuordnung
Benutzeravatar
reset
Glasfaserstrecke
 
Beiträge: 1367
Registriert: 10.09.2009, 11:48
Wohnort: Frankfurt am Main (Höchst)

Re: "Hacker-Angriff" - werde totgepingt

Beitragvon oxygen » 25.04.2011, 20:25

Hier liegt kein Angriff vor, zumindest kann man anhand des Logs keinen sehen.

Telekom Entertain IP VDSL50 mit IPv6/IPv4-Dual-Stack Router: Netgear DGNB3800B
Früher: Unitymedia
oxygen
Glasfaserstrecke
 
Beiträge: 1321
Registriert: 30.09.2009, 16:53

Re: "Hacker-Angriff" - werde totgepingt

Beitragvon addicted » 26.04.2011, 01:50

- Um welchen Router handelt es sich?
- Zeigt der auch mal irgendwann Logs mit korrekter Uhrzeit an?
- Bootet das wirklich täglich um Mitternacht neu? Unmotiviert von Deiner Seite aus? Auch, wenn Du um 23:58 die Verbindung zum Modem kappst?

Du kannst Pakete von/nach 10.* auf Deinem Router auch einfach blockieren, wenn Dich die Flood-Alarme stören und Du das Gerät nicht sauber konfiguriert bekommst...
addicted
Glasfaserstrecke
 
Beiträge: 1983
Registriert: 15.03.2010, 03:35
Wohnort: Paderborn

Re: "Hacker-Angriff" - werde totgepingt

Beitragvon Norbert » 26.04.2011, 12:23

Bei einer Attacke kommt nicht jede Minute ein Ping sondern jede Sekunde hunderte ........ oder irgendwie so ;)
BildBild
Benutzeravatar
Norbert
Übergeordneter Verstärkerpunkt
 
Beiträge: 529
Registriert: 25.06.2008, 19:47

Re: "Hacker-Angriff" - werde totgepingt

Beitragvon Goldengate » 26.04.2011, 14:46

Nun, als Attacke würde ich es schon werten - immerhin stürzt mein Internet ab oder wird unendlich langsam.
Neueste Erkentnisse: Das ganze wurde wohl nicht per CSS sondern per Modern Warfare 2 eingefangen - da gibt es ein Lobby System, wodurch ich den "Server" praktisch von meiner heimischen Internetleitung hoste und die anderen auf mein Netzwerk - oder soetwas in der Art - zugreifen müssen..

Der Router ist, wie eingangs schon erwähnt, ein DIR-600!

Frage: Hab noch ne Möglichkeit gefunden per Firewall was zu blocken, ich verstehe das ganze jedoch nicht wirklich:

http://www.abload.de/image.php?img=mh6iei.jpg

Nur: Was muss ich wo eintragen? Oben "seine" IP, und in den beiden Kästchen darunter? Und bei Port? Bin total überfordert.. meint ihr das würde etwas bringen?

Die Uhrzeit wird immer resettet wenn ich den Router neu einstecke, daher die komischen Zeiten - jetzt sind sie richtig.

neueste Logs sehen so aus ->
Apr 26 14:44:17 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Apr 26 14:38:53 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Apr 26 14:37:05 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Apr 26 14:36:39 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Apr 26 14:36:13 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Apr 26 14:33:56 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Apr 26 14:31:33 PING-FLOODING flooding attack from WAN (ip:208.111.133.84) detected.
Apr 26 14:31:09 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Apr 26 14:29:28 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.


Grüße, und hoffe auf Hilfe..
Goldengate
Kabelneuling
 
Beiträge: 11
Registriert: 25.04.2011, 16:43

Re: "Hacker-Angriff" - werde totgepingt

Beitragvon piotr » 26.04.2011, 18:17

Dein Dlink Router ist mit dem Logging dieser -bei heutigen Anschluessen und Betriebssystemen- harmlosen icmp-Pakete mehr beschaeftigt als fuer seine eigentliche Aufgabe.

Schalte doch einfach mal das Firewall-Logging oder notfalls das SPI-Feature des Dlink Routers aus und beobachte es ueber einen laengeren Zeitraum.
piotr
Glasfaserstrecke
 
Beiträge: 2209
Registriert: 13.08.2008, 18:26

Re: "Hacker-Angriff" - werde totgepingt

Beitragvon mark67 » 26.04.2011, 20:16

Goldengate hat geschrieben:Guten Abend liebes Forum,
seit einigen Tagen habe ich ein Problem mit meinter Internet Leitung. Die Verbindung bricht oft ab, ich habe ungewöhnlich viele Laggs.
Ich bekam E-Mails mit Drohungen "your brain will be fucked up, it will start with your connection". Warum und woher? Ich weiß es nicht. Außer Leute von meinen CSS Servern zu kicken tue ich nichts was Leute verärgern könnte. :kratz:

Mein Wlan Router -> DIR-600

Nun, jedenfalls besteht das Problem seit diesen E-Mails. Heute habe ich in meinen LOG im Router geschaut, in der Hoffnung was nützliches zu entdecken, und siehe da, was finde ich? Einen Typen der mich dauerhaft angepingt.
Das sieht so aus:

Jan 1 05:04:46 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 05:02:31 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 05:01:06 DHCP: Client receive ACK from 80.69.97.244, IP=109.90.113.125, Lease time=3600.
Jan 1 04:58:55 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:54:25 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:53:31 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:53:04 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:52:37 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:43:37 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:43:10 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.


Jedesmal Nachts um 0:00 kommt übrigens folgendes:

Jan 1 00:00:13 Domain blocking disabled.
Jan 1 00:00:13 URL blocking disabled.
Jan 1 00:00:13 MAC filter disabled.
Jan 1 00:00:04 System started.
Jan 1 00:00:29 MAC filter disabled.
Jan 1 00:00:28 DHCP: Client receive ACK from 192.168.100.1, IP=192.168.100.10, Lease time=30.
Jan 1 00:00:25 DHCP: Client send REQUEST to server 192.168.100.1, request IP=192.168.100.10.
Jan 1 00:00:25 DHCP: Client receive OFFER from 192.168.100.1.
Jan 1 00:00:25 DHCP: Client send DISCOVER.
Jan 1 00:00:21 DHCP: Client send DISCOVER.
Jan 1 00:00:19 DHCP: Client send DISCOVER.
Jan 1 00:00:13 VPN (L2TP) Pass-Through enabled.
Jan 1 00:00:13 VPN (IPSec) Pass-Through enabled.
Jan 1 00:00:13 VPN (PPTP) Pass-Through enabled.
Jan 1 00:00:46 DHCP: Client release IP 192.168.100.10 to server 192.168.100.1.
Jan 1 00:00:42 DHCP: Client receive ACK from 192.168.100.1, IP=192.168.100.10, Lease time=30.
Jan 1 00:00:29 Remote management is disabled.
Jan 1 00:00:29 Block WAN PING is enabled.
Jan 1 00:00:29 DMZ disabled.
Jan 1 00:00:29 VPN (L2TP) Pass-Through enabled.
Jan 1 00:00:29 VPN (IPSec) Pass-Through enabled.
Jan 1 00:00:29 VPN (PPTP) Pass-Through enabled.
Jan 1 00:00:29 Domain blocking disabled.
Jan 1 00:00:29 URL blocking disabled.


Meine Frage: Wie kann ich das Ping-Flooding verändern? Ist an den Logs sonst noch etwas auffälliges? Das nervt ziemlich, wirklich. Ich bin schon total verzweifelt auf einer Lösung, finde aber nichts!
Den PC neuaufzusetzen würde auch nichts bringen - ist ja wohl kein Virus, oder? Und wenn hätte er ja auch auf das Netzwerk zugriff..?

Ich bitte um Hilfe!

Grüße,
Goldi


hallo
Also nach deinen logs zu urteilen hast du ein dir 600.?
ist er immer an.?
Was für ein modem hast du an denn router angeschlossen
was für eine version hat dein router .?
Laut Hersteller d-link gibt es update auf 2.05b01
Was für eine Leutung hast du bei unitymedia.?
Ich hatte gleichen voher gehabt bei 32.000
aktivere mal die firewall deines Routers
unter Firewall und DMZ
und installiere noch eine SW firewall
Da ich die gleichen Problemme jetzt
bei mein Anschluss habe habe ich alles
an unitymedia geschickt und warte auf antwort
und ich habe ma nachgeschaut wegen deiner IP aus
der log

die Ip is eine IPv4-adress
und sie ist in denn Niederlande zuständig
mehr sage ich nicht
mark67
Kabelneuling
 
Beiträge: 33
Registriert: 24.07.2010, 16:05

Re: "Hacker-Angriff" - werde totgepingt

Beitragvon Grothesk » 26.04.2011, 20:28

10.84.64.1 ist in den Niederlanden? Wie kommst du denn auf das schmale Brett?
10.84.64.1 ist aus dem Privaten IP-Bereich. Dürfte in dem Fall der erste Hop hinter dem eigenen Router sein. So ist es jedenfalls bei mir:
Code: Alles auswählen
traceroute heise.de
traceroute to heise.de (193.99.144.80), 30 hops max, 40 byte packets
 1  ******************* (192.168.10.1)  0.913 ms  0.637 ms  0.632 ms
 2  10.74.192.1 (10.74.192.1)  7.427 ms  7.004 ms  5.968 ms

http://de.wikipedia.org/wiki/Private_IP-Adresse
Grothesk
Kabelkopfstation
 
Beiträge: 4830
Registriert: 13.01.2008, 17:00
Wohnort: Köln-Bayenthal

Nächste

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: Bing [Bot], Yahoo [Bot] und 20 Gäste