Auteur Topic: Beschuldigd van hacking (gelezen 4844 keer)

Sylvester · « **Gepost op:** 08 juni 2017, 18:18:37 »

Ja, of het hier goed staat weet ik niet. Ik hoop het. Het is niet specifiek gerelateerd aan één van de onderwerpen.

Ik krijg van mijn ISP Telenet de zeer onvriendelijke mail :

Beste (naam), klantnummer:xxxxxx,

Wij kregen de melding dat er vanaf uw Telenet-internetverbinding(xxxxxxxx) en kabelmodem getracht werd ongeautoriseerde toegang te krijgen tot een ander systeem.

Mogen wij u vragen de algemene voorwaarden te respecteren.

Dit kan te maken hebben met een virus dat aanwezig is op uw PC. Gelieve uw pc dan ook te scannen met een up to date virusscanner.

De logs van dit voorval:

We have detected abuse from the IP address xx.xx.xx.xx, which according to a whois lookup is on your network. We would appreciate if you would investigate and take action as appropriate.

Log lines are given below, but please ask if you require any further information.

(If you are not the correct person to contact about this please accept our apologies - your e-mail address was extracted from the whois record by an automated process. This mail was generated by Fail2Ban.)

Note: Local timezone is +0200 (CEST)
Jun 1 16:00:35 gitlab sshd[xxxxxx]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xx.xx.xx.xx user=root Jun 2 16:33:38 gitlab sshd[xxxxxxxx]: Failed password for root from xx.xx.xx.xx port 44091 ssh2 Jun 1 16:00:39 gitlab sshd[xxxxxx]: Received disconnect from xx.xx.xx.xx port 44091:11: [preauth] Jun 1 16:00:39 gitlab sshd[xxxxxx]: Disconnected from xx.xx.xx.xx port 44091 [preauth] Jun 1 16:00:48 gitlab sshd[177861]: Invalid user ubnt from xx.xx.xx.xx port 44117 Jun 1 16:00:49 gitlab sshd[xxxxxx]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xx.xx.xx.xx Jun 1 16:00:52 gitlab sshd[xxxxxxx]: Failed password for invalid user ubnt from xx.xx.xx.xx port 44117 ssh2

Wij rekenen erop dat dit probleem snel opgelost zal worden.

Als wij meerdere klachten ontvangen, zullen wij ons genoodzaakt zien uw internetverbinding te schorsen voor een periode van 48 uur.

Met vriendelijke groeten,

Harald
Telenet Abuse Administrator

Hebt u nog vragen? Gelieve op deze mail te antwoorden of gebruik te maken van het contact formulier op http://abuse.telenet.be

Dit is wel een verregaande beschuldiging.
Er zijn geen virussen of malware op onze enige PC of Mac.
Omdat er wat dingen van Unix en SSH in staan, dacht ik onmiddellijk aan mijn NAS. SSH stond nog op.
Kan iemand met foute bedoelingen iets gedaan hebben via onze NAS?

Ik zou in de verste verte niet weten wat of waar ik moet zoeken.

Heeft iemand enig idee?

lunatic · « **Reactie #1 Gepost op:** 08 juni 2017, 18:39:19 »

Ik vind het geen onvriendelijke mail.

Verzonden vanaf mijn iPhone met Tapatalk

Pippin · « **Reactie #2 Gepost op:** 08 juni 2017, 18:40:24 »

Doe eerst je poorten in je router maar dicht voor zover nog niet gedaan.

Kijk je logs, blocklijst e.d. na, op alle apparaten waar je logs kunt vinden.
Kan alles zijn wat aan internet hangt, niet alleen PC, MAC, NAS.

Even duidelijk op een rijtje:

Citaat

Note: Local timezone is +0200 (CEST)
Jun 1 16:00:35 gitlab sshd[xxxxxx]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xx.xx.xx.xx user=root
Jun 2 16:33:38 gitlab sshd[xxxxxxxx]: Failed password for root from xx.xx.xx.xx port 44091 ssh2
Jun 1 16:00:39 gitlab sshd[xxxxxx]: Received disconnect from xx.xx.xx.xx port 44091:11: [preauth]
Jun 1 16:00:39 gitlab sshd[xxxxxx]: Disconnected from xx.xx.xx.xx port 44091 [preauth]
Jun 1 16:00:48 gitlab sshd[177861]: Invalid user ubnt from xx.xx.xx.xx port 44117
Jun 1 16:00:49 gitlab sshd[xxxxxx]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xx.xx.xx.xx
Jun 1 16:00:52 gitlab sshd[xxxxxxx]: Failed password for invalid user ubnt from xx.xx.xx.xx port 44117 ssh2

Klopt het IP?
Kijk eens naar de datum tijd, dat klopt niet. Misschien verkeerd gekopieerd/plakt?

Sylvester · « **Reactie #3 Gepost op:** 08 juni 2017, 18:59:47 »

Citaat van: lunatic op 08 juni 2017, 18:39:19

Ik vind het geen onvriendelijke mail.

Verzonden vanaf mijn iPhone met Tapatalk

Ieder zijn mening. Maar goed, ik heb een paar onbelangrijke zinnen en de titel weggelaten, waarin duidelijk staat dat ze mij beschuldigen van hacking. Ben ik totaal niet mee opgezet!

@MMD

IP adres klopt.
Datums kloppen ook, maar inderdaad verkeerd geplakt in dit topic
Als ik al mijn poorten dicht doe, heb ik toch geen functionaliteit meer.
Uiteraard zijn bijna alle poorten dicht, behalve die nodig zijn voor het toegang krijgen tot mijn foto's , Plex en bureaublad.
Dat moet toch kunnen?

Verder zie ik niets van die aard in de log files

Pippin · « **Reactie #4 Gepost op:** 08 juni 2017, 19:01:40 »

Navigeer met WinSCP eens naar de NAS en open door dubbelklik

Code: [Selecteer]

/var/log/ash_history.logMisschien vindt je daar wat? Correleer datum tijd.
Als die leeg is is het op z`n minst verdacht.

Pippin · « **Reactie #5 Gepost op:** 08 juni 2017, 19:04:04 »

Citaat

Dat moet toch kunnen?

Nu je dit mailtje hebt gehad van je provider zou ik ze toch maar even dicht zetten... tot het duidelijk is.

Wachtwoorden al gewijzigd?

Sylvester · « **Reactie #6 Gepost op:** 08 juni 2017, 19:12:40 »

WinSCP?
Volgens mij gaat dat niet op een Mac.
Met terminal krijg ik toegang. Ik weet niet of ik in de root kan.

Pippin · « **Reactie #7 Gepost op:** 08 juni 2017, 19:14:55 »

Doe dan:

Code: [Selecteer]

cat /var/log/ash_history.log > /volume1/SHARE/ash_history.logVul voor SHARE een gedeelde map in.

Sylvester · « **Reactie #8 Gepost op:** 08 juni 2017, 19:19:43 »

Ik ben er in de /var/log/ op een andere manier geraakt. In die directory staat geen ash_history.log file

Briolet · « **Reactie #9 Gepost op:** 08 juni 2017, 19:21:00 »

Citaat van: Sylvester op 08 juni 2017, 18:59:47

Als ik al mijn poorten dicht doe, heb ik toch geen functionaliteit meer.

Volgens mij is poort 22 voldoende gezien de SSHD logging. (SSH Deamon) Maar dan wel dicht in de router en niet in de nas. (Als je router die optie heeft, want de Apple airport kan dat niet, maar mijn Ziggo Ubee wel)

Gezien het log is er in elk geval geprobeerd bij Gitlab in te breken vanaf je IP (wel via gekke poorten). Zij hebben waarschijnlijk een abuse melding naar je provider gedaan. Het hoeft helemaal niet je nas te zijn. Je PC is waarschijnlijker.

Pippin · « **Reactie #10 Gepost op:** 08 juni 2017, 19:26:23 »

DSM 6 waarschijnlijk? Heb ik niet.
Dan op zoek naar ash_history.log of iets dat er op lijkt...
Dat bestand bevat commando`s die men in SSH gegeven heeft.

Hofstede · « **Reactie #11 Gepost op:** 08 juni 2017, 19:27:52 »

Heb je apparatuur van Ubiquiti? De user 'ubnt' is de default user voor apparatuur van Ubiquiti.

Tevens: de poorten die je open hebt staan doen er volgens mij niet toe, want je bent niet de ontvanger van de login poging, maar degene die de login poging doet. En normaalgesproken kan vanaf jouw network alles (elke poort) naar buiten.

Pippin · « **Reactie #12 Gepost op:** 08 juni 2017, 19:30:39 »

Citaat

Het hoeft helemaal niet je nas te zijn

Nee hoeft niet maar hij zal toch willen weten waar het vandaan komt, daar hoort de NAS ook bij en dat kijken we nu na, voor zover dat mogelijk is.

Sylvester · « **Reactie #13 Gepost op:** 08 juni 2017, 19:31:57 »

ik zie wel een bash_history.log, maar die krijg ik niet open . Not authorized.
Ik ben echt niet goed in unix en co...

Voor zover ik weet hebben we niets van Ubiquiti. Routers zijn van Asus. (tweede router als access point)

Pippin · « **Reactie #14 Gepost op:** 08 juni 2017, 19:35:47 »

Er wordt een lijst afgewerkt met standaard usernames, ubnt is er daar één van, root staat er ook. Bovendien gaat het om een login vanaf Sylvester`s adres naar het adres waar het log van afkomstig is.

Citaat

Not authorized.

Dan even hier lezen:
https://www.synology-forum.nl/algemeen/nas-benaderen-met-ssh-winscp-putty/msg134190/#msg134190

Auteur Topic: Beschuldigd van hacking (gelezen 4844 keer)

Sylvester

Beschuldigd van hacking

lunatic

Re: Beschuldigd van hacking

Pippin

Re: Beschuldigd van hacking

Sylvester

Re: Beschuldigd van hacking

Pippin

Re: Beschuldigd van hacking

Pippin

Re: Beschuldigd van hacking

Sylvester

Re: Beschuldigd van hacking

Pippin

Re: Beschuldigd van hacking

Sylvester

Re: Beschuldigd van hacking

Briolet

Re: Beschuldigd van hacking

Pippin

Re: Beschuldigd van hacking

Hofstede

Beschuldigd van hacking

Pippin

Re: Beschuldigd van hacking

Sylvester

Re: Beschuldigd van hacking

Pippin

Re: Beschuldigd van hacking