Beantwoord

IP Hammer op thuis adres

  • 7 mei 2021
  • 8 reacties
  • 114 Bekeken

Hallo, ik heb al maandenlang dat mij 2 adressen om de 2 seconden benaderen. Dit is behoorlijk irritant en vervuilt mijn log extreem. Ik heb hier al het abuse adres aangeschreven en zij geven ook aan dat de klant een configuratie fout heeft gemaakt. Echter wordt dit niet aangepast. Bestaat er een mogelijkheid om dit address op mijn IP te blockeren vanuit T-Mobile?

Het gaat om deze twee adressen:

185.216.35.46 → UDP →  NOC Prague

185.210.219.194 → UDP →  NOC Wien

Log’s zijn uiteraard beschikbaar. IP is op mijn inkoende firewall geblockt maar blijft al maanden doorgaan. Waarom dit adres probeert met mij te communiceren is niet bekend.

Alvast bedankt

Chris

icon

Beste antwoord door Boris 10 mei 2021, 11:30

Hi @cforker ,

Goed dat je dit bij ons aankaart! Het probleem is bij ons bekend en we zijn druk bezig om ervoor te zorgen dat dit wordt opgelost. Om dit zo goed mogelijk aan te kaarten en op te pakken zijn we opzoek naar traceroutes van deze paden. Op deze manier kunnen we samen met de technische dienst en IT zorgen dat deze weer helemaal vlekkeloos verlopen. Mocht je in de gelegenheid zijn deze aan te leveren, dan zorgen wij ervoor dat deze worden doorgezet. Alvast superbedankt! 

Bekijk origineel

8 reacties

Reputatie 4
Badge +2

Hi @cforker ,

Goed dat je dit bij ons aankaart! Het probleem is bij ons bekend en we zijn druk bezig om ervoor te zorgen dat dit wordt opgelost. Om dit zo goed mogelijk aan te kaarten en op te pakken zijn we opzoek naar traceroutes van deze paden. Op deze manier kunnen we samen met de technische dienst en IT zorgen dat deze weer helemaal vlekkeloos verlopen. Mocht je in de gelegenheid zijn deze aan te leveren, dan zorgen wij ervoor dat deze worden doorgezet. Alvast superbedankt! 

Hallo Boris,

bedankt voor je bericht. Het is i.d.d. erg vervelend. Bij deze de traceroutes

traceroute to 185.216.35.46 (185.216.35.46), 64 hops max, 52 byte packets
 1  proxy (192.168.10.1)  0.611 ms  0.283 ms  0.383 ms
 2  1-68-201-31.ftth.glasoperator.nl (31.201.68.1)  2.364 ms  2.495 ms  2.331 ms
 3  10.10.10.205 (10.10.10.205)  2.449 ms  2.365 ms  2.397 ms
 4  m247.interxionfra4.nl-ix.net (193.239.118.115)  17.325 ms  15.732 ms  15.002 ms
 5  m247.interxionfra4.nl-ix.net (193.239.118.115)  14.907 ms  14.653 ms  14.845 ms
 6  37.120.128.252 (37.120.128.252)  15.820 ms  17.400 ms  17.050 ms
 7  te-1-5-9-0.bb1.prg.cz.m247.com (193.9.115.238)  41.161 ms  34.058 ms  33.358 ms
 8  no-mans-land.m247.com (82.102.29.227)  50.686 ms  52.875 ms  43.925 ms
 9  217.138.223.247 (217.138.223.247)  31.446 ms  32.643 ms  32.779 ms
10  185.216.35.46 (185.216.35.46)  33.218 ms  33.579 ms  33.286 ms

 

en

traceroute to 185.210.219.194 (185.210.219.194), 64 hops max, 52 byte packets
 1  proxy (192.168.10.1)  0.421 ms  0.246 ms  0.273 ms
 2  1-68-201-31.ftth.glasoperator.nl (31.201.68.1)  2.466 ms  3.236 ms  2.377 ms
 3  10.10.10.205 (10.10.10.205)  2.362 ms  2.328 ms  2.321 ms
 4  195.89.101.53 (195.89.101.53)  3.270 ms  3.281 ms  3.543 ms
 5  195.89.101.53 (195.89.101.53)  2.935 ms  2.991 ms  2.813 ms
 6  be1273.rcr22.ams05.atlas.cogentco.com (130.117.14.173)  3.321 ms  3.228 ms  3.145 ms
 7  be3500.ccr42.ams03.atlas.cogentco.com (154.54.60.25)  3.701 ms
    be3499.ccr41.ams03.atlas.cogentco.com (154.54.60.21)  3.689 ms
    be3500.ccr42.ams03.atlas.cogentco.com (154.54.60.25)  3.666 ms
 8  be2814.ccr42.fra03.atlas.cogentco.com (130.117.0.142)  10.516 ms
    be2813.ccr41.fra03.atlas.cogentco.com (130.117.0.122)  10.604 ms
    be2814.ccr42.fra03.atlas.cogentco.com (130.117.0.142)  10.348 ms
 9  be2959.ccr21.muc03.atlas.cogentco.com (154.54.36.54)  15.986 ms  15.831 ms
    be2960.ccr22.muc03.atlas.cogentco.com (154.54.36.254)  16.043 ms
10  be3462.ccr52.vie01.atlas.cogentco.com (154.54.59.181)  21.796 ms
    be2974.ccr51.vie01.atlas.cogentco.com (154.54.58.6)  22.007 ms  21.656 ms
11  m247.demarc.cogentco.com (149.6.174.90)  25.942 ms  25.827 ms  25.760 ms
12  * * *
13  37.120.220.143 (37.120.220.143)  26.582 ms  26.392 ms  26.447 ms
14  185.210.219.194 (185.210.219.194)  25.923 ms  25.897 ms  25.881 ms

Mocht je nog iets nodig hebben dan laat het mij weten. Super bedankt nogmaals voor je reactie.

Groet,

Chris

 

Reputatie 7
Badge +6

Hoi @cforker

 

Er is iets aangepast en nu ben ik erg benieuwd of er nog steeds contact wordt gezocht met jouw IP adres. Kun je controleren of dit nog in je log staat of dat het nu is verdwenen? Kun je ook aangeven per welke datum het is gestopt?

Hallo Sander,

net gekeken en het lijkt niet opgelost te zijn, zie hieronder:

 

  Jun 4 11:31:51 WAN Blocked IP's from Alias (1552382266) 185.216.35.46:51820 85.144.128.241:31701 UDP
  Jun 4 11:31:46 WAN Blocked IP's from Alias (1552382266) 185.216.35.46:51820 85.144.128.241:31701 UDP
  Jun 4 11:31:41 WAN Blocked IP's from Alias (1552382266) 185.216.35.46:51820 85.144.128.241:31701 UDP
  Jun 4 11:31:35 WAN Blocked IP's from Alias (1552382266) 185.216.35.46:51820 85.144.128.241:31701 UDP
  Jun 4 11:31:30 WAN Blocked IP's from Alias (1552382266) 185.216.35.46:51820 85.144.128.241:31701 UDP
  Jun 4 11:31:25 WAN Blocked IP's from Alias (1552382266) 185.216.35.46:51820 85.144.128.241:31701 UDP
  Jun 4 11:31:19 WAN Blocked IP's from Alias (1552382266) 185.216.35.46:51820 85.144.128.241:31701 UDP
  Jun 4 11:31:14 WAN Blocked IP's from Alias (1552382266) 185.216.35.46:51820 85.144.128.241:31701 UDP
  Jun 4 11:31:08 WAN Blocked IP's from Alias (1552382266) 185.216.35.46:51820 85.144.128.241:31701 UDP
  Jun 4 11:31:03 WAN Blocked IP's from Alias (1552382266) 185.216.35.46:51820 85.144.128.241:31701 UDP
  Jun 4 11:30:58 WAN Blocked IP's from Alias (1552382266) 185.216.35.46:51820 85.144.128.241:31701 UDP
  Jun 4 11:30:53 WAN Blocked IP's from Alias (1552382266) 185.216.35.46:51820 85.144.128.241:31701 UDP
  Jun 4 11:30:47 WAN Blocked IP's from Alias (1552382266) 185.216.35.46:51820 85.144.128.241:31701 UDP
  Jun 4 11:30:42 WAN Blocked IP's from Alias (1552382266) 185.216.35.46:51820 85.144.128.241:31701 UDP
  Jun 4 11:30:37 WAN Blocked IP's from Alias (1552382266) 185.216.35.46:51820 85.144.128.241:31701 UDP
  Jun 4 11:30:32 WAN Blocked IP's from Alias (1552382266) 185.216.35.46:51820 85.144.128.241:31701 UDP

Het IP 185.210.219.194 zie ik niet meer voorkomen.

Reputatie 7
Badge +2

@Sander  en @cforker 

Hier een NMAP scan van beide benoemde IP adressen

Scanning 185.216.35.46 [1000 ports]

Discovered open port 53/tcp on 185.216.35.46
Discovered open port 443/tcp on 185.216.35.46
Discovered open port 3690/tcp on 185.216.35.46
Completed SYN Stealth Scan at 12:41, 2.82s elapsed (1000 total ports)

PORT     STATE    SERVICE     VERSION
53/tcp   open     domain
139/tcp  filtered netbios-ssn
443/tcp  open     ssl/http    nginx 1.10.3
| http-methods: 
|_  Supported Methods: GET HEAD OPTIONS
|_http-server-header: nginx/1.10.3
|_http-title: Welcome to nginx!
| ssl-cert: Subject: commonName=*.vpnunlimitedapp.com
| Subject Alternative Name: DNS:*.vpnunlimitedapp.com, DNS:vpnunlimitedapp.com
| Issuer: commonName=Sectigo RSA Domain Validation Secure Server CA/organizationName=Sectigo Limited/stateOrProvinceName=Greater Manchester/countryName=GB
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2019-07-02T00:00:00
| Not valid after:  2021-07-17T23:59:59
| MD5:   6e99 0e63 7fdc 0ac4 b841 3ea0 d105 be5e
|_SHA-1: e311 c22a 8f71 7091 1da1 a78f 0060 9c84 0f08 d59c
3128/tcp filtered squid-http
3690/tcp open     svn?

TRACEROUTE (using port 8080/tcp)
HOP RTT      ADDRESS
1   
2   
3   5.47 ms  10.10.80.102
4   5.81 ms  10.10.80.149
5   11.54 ms m247.interxionfra4.nl-ix.net (193.239.118.115)
6   12.23 ms 37.120.128.252
7   28.25 ms te-1-5-9-0.bb1.prg.cz.m247.com (193.9.115.238)
8   29.86 ms no-mans-land.m247.com (82.102.29.227)
9   28.24 ms 217.138.223.247
10  28.83 ms 185.216.35.46


Scanning 185.210.219.194 [1000 ports]

Discovered open port 443/tcp on 185.210.219.194
Discovered open port 53/tcp on 185.210.219.194
Discovered open port 3690/tcp on 185.210.219.194

PORT     STATE    SERVICE     VERSION
53/tcp   open     domain
139/tcp  filtered netbios-ssn
443/tcp  open     ssl/http    nginx 1.10.3
| http-methods: 
|_  Supported Methods: GET HEAD
|_http-server-header: nginx/1.10.3
|_http-title: Welcome to nginx!
| ssl-cert: Subject: commonName=*.vpnunlimitedapp.com
| Subject Alternative Name: DNS:*.vpnunlimitedapp.com, DNS:vpnunlimitedapp.com
| Issuer: commonName=Sectigo RSA Domain Validation Secure Server CA/organizationName=Sectigo Limited/stateOrProvinceName=Greater Manchester/countryName=GB
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2019-07-02T00:00:00
| Not valid after:  2021-07-17T23:59:59
| MD5:   6e99 0e63 7fdc 0ac4 b841 3ea0 d105 be5e
|_SHA-1: e311 c22a 8f71 7091 1da1 a78f 0060 9c84 0f08 d59c
3128/tcp filtered squid-http
3690/tcp open     svn?

TRACEROUTE (using port 135/tcp)
HOP RTT      ADDRESS
1   0.20 ms  
2   2.90 ms  
3   5.39 ms  10.10.80.102
4   5.39 ms  10.10.80.149
5   6.35 ms  217.161.69.141
6   6.64 ms  80.231.85.130
7   23.98 ms if-ae-41-2.tcore1.av2-amsterdam.as6453.net (195.219.194.26)
8   24.76 ms if-ae-6-6.tcore1.fnm-frankfurt.as6453.net (195.219.194.115)
9   23.97 ms if-ae-29-2.tcore2.fnm-frankfurt.as6453.net (195.219.156.151)
10  43.00 ms 37.120.220.143
11  39.10 ms te-2-1-0.bb2.vie1.at.m247.com (185.183.107.13)
12  ...
13  29.14 ms 37.120.220.143
14  28.29 ms 185.210.219.194

 

Er is een referentie aanwezig naar een VPN server https://www.vpnunlimited.com/ .

Heb je iets van een VPN client draaien?

Heb je al eens je PC gescanned op een virus of backdoor?

Heb je eventueel applicaties op je PC gezet rond die tijd?

Kijk eens naar services die op de achtergrond draaien (zo Windows) of daar iets opvallends tussen zit?

Hallo Pieter, dank voor je bericht. het IP wat je hebt gescanned is het remote IP. Dit IP is geblokkeerd op  de WAN kant bij mij. Ik draai als clients Mac’s enkele keer een Windows rest Linux. Alle servers en PC’s worden om de 12 uur gescanned op virussen en malware. DNS (53) zou bij mij ook niet open mogen staan. 443 is regulier HTTPS verkeer en 3690 komt mij niet bekend voor, staat ook niet open. Wat wel vreemd is, is dat ik af en toe wel een VPN van vpnunlimited gebruik, maar ik weet zeker dat deze uitstaat. Deze staat ook op mijn telefoon. Verder heb ik de afgelopen tijd geen applicaties geinstalleerd. Applicaties komen worden ook alleen van betrouwbare bronnen geinstalleerd (spreek gekochte applicaties via de leveranciers). Er zit dus ook niets tussen dat meegeinstalleerd wordt.

Groet,

Chris

Pieter, Sander, nog een aanvulling i.v.m. je opmerking van de VPN. Ik heb de VPN opgestart en met een andere server verbinding gezocht. Vanaf dat moment was het adres 185.216.35.46 weg uit de logging. Grappig is wel dat het zelfde issue nu speelt met het nieuwe adres waarop ik heb aangemeld. Is dus volgens mij echt een issue van KeepSolid. Ik denk dat je hier verder geen onderzoek hoeft te doen. Het ligt hier ergens. Alleen vreemd dat de laatste server vastgehouden wordt terwijl er geen verbinding meer is. Ook de processen van de app zijn gekilled.

Super bedankt voor de medewerking en de hulp!

Fijn weekend,

 

Chris

Reageer