Waarom lijkt een KOREAANS ip adres mee te kijken bij mij?

[VlisChris]

Ik heb een widget aangezet op mijn Macbook Pro. Daar staat een flinke lijst ip adressen bij waarvan de herkomst niet meteen bekend is voor die widget. Dus ik ging er een aantal nakijken.
Een aantal komt direct bij Apple terecht. Maar 1 ervan lijkt tot mijn stomme verbazing uit Korea te komen.

Wat moet ik hiervan denken? En belangrijker, wat kan ik hier tegen doen . . .

[VlisChris]

Freaky. Blijken er nog veel meer van vreemde herkomst te zijn.
Ook Saudi Arabie lijkt interesse in me te hebben

Ergens een lek, en dat ik misbruikt wordt om internetverkeer te herrouteren via mijn ip adres ofzo?
Ergens ooit eens toestemming gegeven via een install dat ze met me mee mogen kijken?

[VlisChris]

Heb het lijstje ook eens doorgestuurd naar mijn provider. Eens kijken wat ze daar zeggen.

[Nahpets]

Maar welke ip adressen geeft de widget weer?

Als dat adressen zijn die geprobeerd hebben contact te krijgen, boeien. Als dat ip adressen zijn die door je firewall toegelaten worden, stress!!!!

[Raphie]

SMB protocol LOL, je shared je complete PC als lokale schijf over the internetz....... bankafschriften nog gechecked laatste tijd? succes!

of heb je een bittorrent client aanstaan en ben je aan het uploaden? anders ben je phooked ...

[VlisChris]

Maar welke ip adressen geeft de widget weer?

Als dat adressen zijn die geprobeerd hebben contact te krijgen, boeien. Als dat ip adressen zijn die door je firewall toegelaten worden, stress!!!!

Progje is Whoisconnected.

@ Raphie: ik heb nul . nul ingesteld aan mijn internet. Wie wat waar hoe? Wat wel of wat niet te doen?

[Raphie]

ga eens naar een portscan website
en voer eens een portscan uit? zie je zo welke poorten er open staan. maar mensen buiten je LAN die via SMB verbinden is scary

[VlisChris]

Ik ben onderhand niet meer thuis (heb zo een afspraak) maar dat ga ik zeker doen.
vooralsnog internet uitgezet. Eerst eens ontdekken wat hier aan de hand is.

[morca]

Klinkt niet goed.....Raphie even na laten kijken zo te horen

[Raphie]

Waarschijnlijk is port 455 open....
http://www.yougetsignal.com/tools/open-ports/

[MaxxMark]

Ik weet niet welke provider je hebt, maar als dat Ziggo is lijk het mij vrij sterk dat je SMB porten open zult hebben staan. Providers weigeren (logisch) dat je kunt browsen naar files op het netwerk van je buren.

De enige situaties die ik nu kan bedenken waarin SMB voor anderen open staan zijn:
1. je hebt een VPN verbinding waarover het SMB protocol getunneld wordt
2. je hebt een tooltje als Hamachi draaien waarover het SMB protocol getunneld wordt.

_{Hamachi wordt oa vaak gebruikt om LAN games te kunnen spelen over het internet}

Het eerste wat ik doe is je widget in twijfel trekken. Kan je eens op je mac je terminal starten en (cmd-spatie, "terminal" <enter>)

Vervolgens tik je:
lsof -i <enter>

Je krijgt nu een lijst van OSX zelf die alle incoming connecties met je laptop weergeeft.

Hierin zie je doorgaans (heel veel) als onderstaande:

sshd 8357 Mark 4u IPv4 0xb140d9f3c25329b5 0t0 TCP 192.168.1.18:ssh->192.168.1.1:34974 (ESTABLISHED)
sshd 8357 Mark 5u IPv4 0xb140d9f3c25329b5 0t0 TCP 192.168.1.18:ssh->192.168.1.1:34974 (ESTABLISHED)
ssh 8363 Mark 3u IPv4 0xb140d9f3c25139b5 0t0 TCP 192.168.1.18:50172->192.168.1.1:ssh (ESTABLISHED)


Mijn laptop is 192.168.1.18
Mijn server is 192.168.1.1

De belangrijkste zaken die je hier in ziet:

regel 1:
Een verbinding gemaakt via de service of applicatie (in dit geval service) SSHD (lokaal accepterend programma dat verbindingen via SSH accepteert). Omdat hier aangegeven wordt dat voor het ip 192.168.1.1 de ssh port wordt gebruikt (en de andere kant is een hoog willekeurige port) betekent het dat de verbinding vanaf de andere kant (192.168.1.1) naar de lokale sshd service wordt gemaakt

Regel 3:
Eenverbinding gemaakt via de service of applicatie (in dit geval applicatie) SSH (manier om te verbinden met een machine die SSH accepteert). Hier is het omgekeerde van toepassing. Er wordt verbonden naar een IP die ssh accepteert. En dus gaat het hier om een uitgaande verbinding.



Met een dergelijke output is veel beter te achterhalen wat er precies gebeurt. Hoewel het misschien wat lastig voor jou is om hier een oordeel over te vellen zou ik best even naar de output willen kijken die hij bij jou genereert..


aanvullend:

Als je een regel gevonden hebt dat raar doet, is het interessant te achterhalen welk programma dat precies is. Als de service/applicatienaam jou niets zegt (of er iets onleesbaars staat) dan is het getal wat dara achter staat het PID ofwel Process IDentifier.

In de eerste regel is dat 8357. In de derde rregel is het 8363.

Voer je vervolgens deze commando's uit:

ps auxww | grep 8357
en
ps auxww | grep 8363

dan krijg je respectievelijke:

Code Select Expand


Marks-MacBook-Pro:~ Mark$ ps auxww | grep 8357
Mark 8357 0.0 0.0 2450736 960 ?? S 6:48PM 0:00.00 sshd: Mark@ttys001
Mark 8409 0.0 0.0 2432780 460 s002 R+ 7:01PM 0:00.00 grep 8357

Waar de 1e regel aangeeft dat de SSHD een proces gestart heeft
De 2e regel mag genegeerd worden (is het process om het process op te zoeken)

Code Select Expand


Marks-MacBook-Pro:~ Mark$ ps auxww | grep 8363
Mark 8363 0.0 0.0 2442580 2076 s000 S+ 6:49PM 0:00.03 ssh [email protected]
Mark 8407 0.0 0.0 2442584 276 s002 R+ 6:59PM 0:00.00 grep 8363

Waar de 1e regel aangeeft dat het commando "ssh [email protected]" is uitgevoerd (en nog draait)
De 2e regel mag genegeerd worden (is het process om het process op te zoeken)


Een ander voorbeeld is bijvoorbeeld Skype wat er als volgt uit ziet:

Code Select Expand


Marks-MacBook-Pro:~ Mark$ ps auxww| grep 6678
Mark 6678 0.0 2.5 845480 103532 ?? S Thu09PM 29:54.30 /Applications/Skype.app/Contents/MacOS/Skype
Mark 8411 0.0 0.0 2432784 592 s002 S+ 7:02PM 0:00.00 grep 6678


Waar je duidelijk ziet dat de Skype applicatie gestart is.

[VlisChris]

Uitgebreide antwoorden zeg. Hartelijk dank!

Ik heb in de tussentijd nog even zitten zoeken in mijn instellingen. En blijkbaar stond bestandsdeling aan, en nog naar mijn thuismap 

Uiteraard onmiddelijk uitgezet. Ook geen idee wie dat voor elkaar heeft gekregen. Ik heb zelf geen enkele aanleiding om mijn bestandsdeling aan te zetten; er staat hier maar 1 computer in huis namelijk.
Nu is de lijst alvast teruggebracht tot Apple, Google (via 12!! adressen), en Tilaa, NL.
Dat is nog steeds zorgwekkend, maar het is in ieder geval geen schurkenstaten die mee zitten te neuzen. Maar ik vind het opvallend dat het nog mogelijk is terwijl de enige SMB-instelling die ik kon vinden nu echt 100% uit staat.

@ Raphie: de poort heb ik gecontroleerd, die staat dicht.

[VlisChris]

Net als controle eens gekeken wat er gebeurd als ik die bestandsdeling bewust aanzet, en dan controleer met port 445. Die blijft dan op gesloten staan.
Edit. En dit is het scherm dat Terminal me geeft. Dat ziet er al een stuk rustiger uit.

[eduard]

Christiaan,
Vraagje , ik ga er vanuit dat je internet via nat dus een private ip op je mac.
Zoja dan is het vreemd dat men van buiten met smb kan connecten met je mac. Dit kan eigenlijk alleen als je op je modem port forwarding ingesteld hebt staan.
Wanneer je dus via een Nat adres het internet op gaat en geen port forwarding op je modem richting je mac hebt staan. Dan heb je misschien nog wel meer foute software draaien want het zou dan bijna onmogelijk moeten zijn om met 445 naar je pc te gaan. Dit verkeer zou door je modem afgevangen moeten worden en vervolgens moeten worden gedropt.

Eduard

[VlisChris]

Eduard, ontzettend bedankt voor je reactie!
Ik geloof dat ik die even een aantal keer moet gaan lezen, en wat dingen moet gaan opzoeken voor ik ook maar iets snap van wat je schrijft. Mijn laptop aanzetten en uitzetten, dat is wat ik kan bij wijze van spreken. Ik ben niet zo in IT en netwerken. Wat hier ook meteen mijn grote manco is

Wel weet ik dat ik zelf mijn modem niet in kom. Geen enkel wachtwoord dat ik probeer lijkt te werken. Ook een harde resett heeft daar niet bij geholpen. Mijn router heb ik geprobeerd om port forwarding aan te zetten, maar de poort waarbij ik dat wilde kreeg ik niet werkend. Dus die heb ik er weer helemaal uitgehaald. Dus in mijn router staat er hoe dan ook geen forwarding aan.

Je opmerking over port 445 snap ik overigens niet helemaal: want volgens de site die Raphie aangaf is mijn laptop niet bereikbaar via die poort. Die moet dus gewoon gesloten zijn.

[eduard]

Ik noemde port 445 omdat je zelf via de ap zag dat men met smb geconnect zou zijn'.
http://en.wikipedia.org/wiki/Server_Message_Block

Je schrijft dat je niet in je modem kan maar dat je achter je modem een router hebt geplaatst en dat je daarin met port forwarding gespeelt hebt. Ik zou daar nogmaals eens goed door de config heen lopen. Misschien heb je wel een dmz host/server aangegeven in je router op die manier kan al het verkeer naar je mac geforward worden. Maar het is alvast een goed teken dat de link van raphie de porten niet open staan.

Heb je even nagezocht ofdat het gebruikelijk is dat bij jouw provider je niet in de modem kan komen? Maar als je een router achter je modem hebt staan dan hoef je waarschijnlijk ook niet in de modem te zijn en zit het op de router.

kleine aanvulling ralphie schreef 455 maar ik vermoed dat hij 445 bedoelde

Eduard

[VlisChris]

Ik krijg vooralsnog nog geen antwoord van mijn provider (Zeelandnet). Maar dat zal vermoedelijk morgen wel komen. En anders zal ik die even bellen.
Mijn router zal ik ook nog eens kijken. Maar die is voor zover ik weet in exact dezelfde staat teruggezet als die was voor ik wat ging uitproberen.

[VlisChris]

Nu zie ik tot mijn verrassing ook dat WIFI via een "zelftoegekend IP adres" werkt. Ik heb voor mijn gevoel ingesteld dat dat allemaal automatisch gaat. Hoe heet dat, DHCP? Dat alle adressen vast zijn?
(kwam ik achter omdat ik weer even moest zoeken naar het IP adres van mijn router)

En zonder dat ik zelf iets aanpas staat die weer gewoon op "verbonden"?


Heeeeeeeeelp. Ik snap het niet meer.

En weer zelf toegekend. Zal zo wel weer opnieuw anders zijn.

[apogeefreak]

Zeg je hebt een mac dus maak je geen zorgen. Je zou de eerste zijn. Ik heb ook eens gekeken of er een rootkit op mijn mac was geinstalleerd. Dat kun je nog checken moet je even zoeken naar een progje ik dacht 'little snitch' maar ik had ook die Chinezen en Koreanen en dat bleek allemaal google te zijn. Denk dat er dus niets met je Mac aan de hand is maar anders even op Mac forum checken.

[LittleNinja]

Scary topic.. Angstig idee dat men overal bij zou kunnen. Zeker als je er eigenlijk noppes verstand van hebt zoals ik.

[Hans47]

Troost je iedere Router heeft een achterdeur ingang, en dat is geen broodje aap verhaal
Maar of iedereen interessant is om te besnuffelen, aan de andere kant opslag is goedkoop en de organisaties die hier interesse in hebben, hebben unlimited resources
Als je wel eens de term "Big data" tegenkomt dan bedoelen ze eigenlijk: we slaan echt alles op en laten er hele slimme software op los die verbanden kunnen leggen en daardoor voorspellingen kunnen maken, en dan bedoelen ze niet alleen van koopgedrag....... :-)

[MaxxMark]

Hee, ik zat eens naar die plaatjes van jou nog te kijken.

De connectie die over port 445 praat is hier een 192.168.x.x adres. In dit geval 192.168.2.5. Ik weet niet voldoende over jouw interne netwerk. Maar deze range (192.168.x.x) mag alleen gebruikt worden voor lokale netwerken. Wel zie ik in latere screenshtos van jou dat er vanaf 192.168.11.11 en 192.168.2.3 verbonden wordt. Mijn gok zou zijn dat 192.168.2.x de range is van je bekabelde netwerk (indien van toepassing) en jouw 192.168.11.x range voor het draadloze netwerk. Of mogelijk andersom.
Ik zou me over port 445 dus geen zorgen maken. Mogelijk dat je zelf probeerde te browsen naar je nas, een windows pc of misschien een printer probeerde te benaderen.

Wat betreft die andere verbindingen schoot me opeens iets door het hoofd. Heb (of had) je toevallig een torrent client aan staan? uTorrent of iets dergelijks? Torrent clients staan er om bekend om *veel* verbindingen te maken en ook een hoop verbindingen met rare IP adressen. Danwel trackers danwel computers waar je vanaf download (of welke van jou vandaan downloaden).
Torrents staan er om bekend om heel veel verschillende porten te gebruiken die vooral erg hoog zijn (tot in de 65000). Ook staan ze er om bekend dat ze nogal eens met port 80 (webservers) verbinden.

Anderzijds is het ook goed mogelijk dat de verbindingen met port 80 die je hier ziet gewoonweg websites zijn die jij hebt bezocht.


Ik heb eens even gekeken naar de IP's van port 80. Deze zijn achtereenvolgens:
1. 37.252.123.96: coolbue.dynamicadvertising.nl; grote kans dat je htforum.nl bezoekt en de banner onderaan de pagina wordt geladen met coolbue reclame
2.173.194.65.156; whoist naar een range van google.com (waarschijnlijk heb je gegoogled)
3. 62.50.27.5; cbcdn.net; waarschijnlijk een CDN (Content Delivery Network) waar plaatjes vandaan geserveerd worden voor een website
4. 62.210.125.41 ; tracker.secureboxes.net. Dit is waar het interessant wordt. De titel doet vermoeden dat het mogelijk een domein is voor (torrent?)-trackers. Een googletje doet dit weergeven: http://www.torrentlookup.com/trackertorrents/28756/
5. 17.254.32.16: resolved naar wu.apple.com; ofwel je bezocht ook nog eens apple


Kortom; ik kan met 95% zekerheid zeggen dat:
a. je een torrentclient aan had staan
b. je verkeer ziet van andere torrent gebruikers die van af jouw downloaden of naar jou toe sturen
c. je je eigen (internet) verkeer ziet naar: apple.com, google.com en htforum
d. het 445 (samba) verkeer over het interne netwerk gaat.

Concluderend; storm in een glas water   Niks aan het handje. En vooral veel bangmakerij van mede forum gebruikers.

[VlisChris]

Whaha, dat is een prachtig onderbouwde reactie.
A. Klopt.
B. Daarin zal ik je geloven
C. Apple en Google zat ik zelf niet op, maar het zou me NIETS verbazen als ze continue verkeer van/naar regelen. (of het is een reclame via google ofzo op het forum?)
D. Ook daarin geloof ik je meteen

Mijn 192.168.2.5 is het IP van mijn NAS.
De 192.168.2.x range is inderdaad mijn interne bekabelde netwerk. En die 11.x zou inderdaad erg goed mijn draadloze netwerk kunnen zijn.


Dan nog de vraag:
a. Wat bedoel je met punt 4, dat is waar het interessant wordt? Hoe bedoel je? (al is je laatste opmerking wel een rustige zo voor het slapen gaan )
b. Enig idee hoe het kan komen dat mijn wifi de ene keer gewoon aangeeft "verbonden" en de andere keer opeens aangeeft dat je een handmatig IP adres toekent, wat ik zelf niet doe? (ik zou zelfs goed moeten gaan zoeken hoe ik dat moet doen).

Hoeveel informatie kun je halen uit een paar screenshots Respect

[Raphie]

of heb je een bittorrent client aanstaan

dus toch?

[MaxxMark]

Dan nog de vraag:
a. Wat bedoel je met punt 4, dat is waar het interessant wordt? Hoe bedoel je? (al is je laatste opmerking wel een rustige zo voor het slapen gaan )
b. Enig idee hoe het kan komen dat mijn wifi de ene keer gewoon aangeeft "verbonden" en de andere keer opeens aangeeft dat je een handmatig IP adres toekent, wat ik zelf niet doe? (ik zou zelfs goed moeten gaan zoeken hoe ik dat moet doen).

Hoeveel informatie kun je halen uit een paar screenshots Respect

a. het wordt interessant omdat de naam "tracker" doet vermoeden dat het om een verbinding met een torrent-tracker gaat. Een snelle google search leverde als resultaat dat het inderdaad om een torrent tracker gaat (het had ook een "ad-tracker" of totaal iets anders kunnen zijn). En dat het een torrent tracker is maakt het heel erg aannemelijk dat de rare verbindingen gewoon opgezette torrent verbindingen zijn.
b. pfoe geen idee wat daar gebeurt. Als het werkt en je vrij zeker weet dat je normaal gewoon een IP uitgedeeld krijgt en er niets is dat wat anders zou moeten doen dan denk ik dat het gewoon een 'raar' routertje is. Misschien dat je een keer bedraad je laptop aansluit? Dit kan vaak een ander resultaat hebben afhankelijk van het accespoint/router. Of misschien dat zowel je router als je modem een DHCP server hebben en je de ene keer van de een en de andere keer van de ander een IP adres krijgt. Als het werkt zou ik me er niet zo druk over maken.