Unitymedia "Hacker-Angriff" - werde totgepingt

[Goldengate]

Guten Abend liebes Forum,
seit einigen Tagen habe ich ein Problem mit meinter Internet Leitung. Die Verbindung bricht oft ab, ich habe ungewöhnlich viele Laggs.
Ich bekam E-Mails mit Drohungen "your brain will be fucked up, it will start with your connection". Warum und woher? Ich weiß es nicht. Außer Leute von meinen CSS Servern zu kicken tue ich nichts was Leute verärgern könnte. :kratz:

Mein Wlan Router -> DIR-600

Nun, jedenfalls besteht das Problem seit diesen E-Mails. Heute habe ich in meinen LOG im Router geschaut, in der Hoffnung was nützliches zu entdecken, und siehe da, was finde ich? Einen Typen der mich dauerhaft angepingt.
Das sieht so aus:

Jan 1 05:04:46 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 05:02:31 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 05:01:06 DHCP: Client receive ACK from 80.69.97.244, IP=109.90.113.125, Lease time=3600.
Jan 1 04:58:55 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:54:25 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:53:31 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:53:04 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:52:37 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:43:37 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:43:10 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.

Jedesmal Nachts um 0:00 kommt übrigens folgendes:

Jan 1 00:00:13 Domain blocking disabled.
Jan 1 00:00:13 URL blocking disabled.
Jan 1 00:00:13 MAC filter disabled.
Jan 1 00:00:04 System started.
Jan 1 00:00:29 MAC filter disabled.
Jan 1 00:00:28 DHCP: Client receive ACK from 192.168.100.1, IP=192.168.100.10, Lease time=30.
Jan 1 00:00:25 DHCP: Client send REQUEST to server 192.168.100.1, request IP=192.168.100.10.
Jan 1 00:00:25 DHCP: Client receive OFFER from 192.168.100.1.
Jan 1 00:00:25 DHCP: Client send DISCOVER.
Jan 1 00:00:21 DHCP: Client send DISCOVER.
Jan 1 00:00:19 DHCP: Client send DISCOVER.
Jan 1 00:00:13 VPN (L2TP) Pass-Through enabled.
Jan 1 00:00:13 VPN (IPSec) Pass-Through enabled.
Jan 1 00:00:13 VPN (PPTP) Pass-Through enabled.
Jan 1 00:00:46 DHCP: Client release IP 192.168.100.10 to server 192.168.100.1.
Jan 1 00:00:42 DHCP: Client receive ACK from 192.168.100.1, IP=192.168.100.10, Lease time=30.
Jan 1 00:00:29 Remote management is disabled.
Jan 1 00:00:29 Block WAN PING is enabled.
Jan 1 00:00:29 DMZ disabled.
Jan 1 00:00:29 VPN (L2TP) Pass-Through enabled.
Jan 1 00:00:29 VPN (IPSec) Pass-Through enabled.
Jan 1 00:00:29 VPN (PPTP) Pass-Through enabled.
Jan 1 00:00:29 Domain blocking disabled.
Jan 1 00:00:29 URL blocking disabled.

Meine Frage: Wie kann ich das Ping-Flooding verändern? Ist an den Logs sonst noch etwas auffälliges? Das nervt ziemlich, wirklich. Ich bin schon total verzweifelt auf einer Lösung, finde aber nichts!
Den PC neuaufzusetzen würde auch nichts bringen - ist ja wohl kein Virus, oder? Und wenn hätte er ja auch auf das Netzwerk zugriff..?

Ich bitte um Hilfe!

Grüße,
Goldi

 

[Matrix110]

Guten Abend liebes Forum,
seit einigen Tagen habe ich ein Problem mit meinter Internet Leitung. Die Verbindung bricht oft ab, ich habe ungewöhnlich viele Laggs.
Ich bekam E-Mails mit Drohungen "your brain will be fucked up, it will start with your connection". Warum und woher? Ich weiß es nicht. Außer Leute von meinen CSS Servern zu kicken tue ich nichts was Leute verärgern könnte. :kratz:

Du kickst Script Kiddies von Servern und fragst dich was der Grund ist :brüll:

Dagegen tun kann man je nachdem wieviel Plan derjenige hat eventuell gar nichts(wobei die schnell die Lust verlieren, wenn man sie etwas nervt mit härteren Fronten) eventuell aber auch viel.


Was erstmal schnell helfen könnte:
Neue Router Firmware bei D-Link runterladen, am besten über eine andere Person und die Checksum prüfen(falls vorhanden), sodass das sichergestellt wird das diese "Sauber" ist
Internetverbindung trennen
Router resetten
Firmware updaten
Router Login ändern
Internetverbindung wieder herstellen

Wenn das ganze allerdings über Trojaner auf deinem PC läuft wird es etwas komplizierter, wenn diese nicht von standard Antiviren Programmen erkannt werden.

 

[reset]

Da es sich bei der IP um eine des Privaten Adressbereichs handelt (10.84.64.1) [1]
ist da eher mit einem Fehlalarm zu rechnen.
Ich kenne nun die Server von UM nicht aber es ist durchaus im Rahmen, das es im Zusammenhang mit dem DHCP-Lease [2] auftritt.

Die zweite Liste sieht nach einem Status-Bericht nach dem System-Start / Reset aus.

[1] http://de.wikipedia.org/wiki/Private_IP-Adresse
[2] http://de.wikipedia.org/wiki/DHCP#Dynamische_Zuordnung

 

[oxygen]

Hier liegt kein Angriff vor, zumindest kann man anhand des Logs keinen sehen.

 

[addicted]

- Um welchen Router handelt es sich?
- Zeigt der auch mal irgendwann Logs mit korrekter Uhrzeit an?
- Bootet das wirklich täglich um Mitternacht neu? Unmotiviert von Deiner Seite aus? Auch, wenn Du um 23:58 die Verbindung zum Modem kappst?

Du kannst Pakete von/nach 10.* auf Deinem Router auch einfach blockieren, wenn Dich die Flood-Alarme stören und Du das Gerät nicht sauber konfiguriert bekommst...

 

[Norbert]

Bei einer Attacke kommt nicht jede Minute ein Ping sondern jede Sekunde hunderte ........ oder irgendwie so

 

[Goldengate]

Nun, als Attacke würde ich es schon werten - immerhin stürzt mein Internet ab oder wird unendlich langsam.
Neueste Erkentnisse: Das ganze wurde wohl nicht per CSS sondern per Modern Warfare 2 eingefangen - da gibt es ein Lobby System, wodurch ich den "Server" praktisch von meiner heimischen Internetleitung hoste und die anderen auf mein Netzwerk - oder soetwas in der Art - zugreifen müssen..

Der Router ist, wie eingangs schon erwähnt, ein DIR-600!

Frage: Hab noch ne Möglichkeit gefunden per Firewall was zu blocken, ich verstehe das ganze jedoch nicht wirklich:

http://www.abload.de/image.php?img=mh6iei.jpg

Nur: Was muss ich wo eintragen? Oben "seine" IP, und in den beiden Kästchen darunter? Und bei Port? Bin total überfordert.. meint ihr das würde etwas bringen?

Die Uhrzeit wird immer resettet wenn ich den Router neu einstecke, daher die komischen Zeiten - jetzt sind sie richtig.

neueste Logs sehen so aus ->

Apr 26 14:44:17 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Apr 26 14:38:53 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Apr 26 14:37:05 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Apr 26 14:36:39 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Apr 26 14:36:13 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Apr 26 14:33:56 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Apr 26 14:31:33 PING-FLOODING flooding attack from WAN (ip:208.111.133.84) detected.
Apr 26 14:31:09 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Apr 26 14:29:28 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.

Grüße, und hoffe auf Hilfe..

 

[piotr]

Dein Dlink Router ist mit dem Logging dieser -bei heutigen Anschluessen und Betriebssystemen- harmlosen icmp-Pakete mehr beschaeftigt als fuer seine eigentliche Aufgabe.

Schalte doch einfach mal das Firewall-Logging oder notfalls das SPI-Feature des Dlink Routers aus und beobachte es ueber einen laengeren Zeitraum.

 

[mark67]

Guten Abend liebes Forum,
seit einigen Tagen habe ich ein Problem mit meinter Internet Leitung. Die Verbindung bricht oft ab, ich habe ungewöhnlich viele Laggs.
Ich bekam E-Mails mit Drohungen "your brain will be fucked up, it will start with your connection". Warum und woher? Ich weiß es nicht. Außer Leute von meinen CSS Servern zu kicken tue ich nichts was Leute verärgern könnte. :kratz:

Mein Wlan Router -> DIR-600

Nun, jedenfalls besteht das Problem seit diesen E-Mails. Heute habe ich in meinen LOG im Router geschaut, in der Hoffnung was nützliches zu entdecken, und siehe da, was finde ich? Einen Typen der mich dauerhaft angepingt.
Das sieht so aus:

Jan 1 05:04:46 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 05:02:31 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 05:01:06 DHCP: Client receive ACK from 80.69.97.244, IP=109.90.113.125, Lease time=3600.
Jan 1 04:58:55 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:54:25 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:53:31 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:53:04 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:52:37 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:43:37 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:43:10 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.

Jedesmal Nachts um 0:00 kommt übrigens folgendes:

Jan 1 00:00:13 Domain blocking disabled.
Jan 1 00:00:13 URL blocking disabled.
Jan 1 00:00:13 MAC filter disabled.
Jan 1 00:00:04 System started.
Jan 1 00:00:29 MAC filter disabled.
Jan 1 00:00:28 DHCP: Client receive ACK from 192.168.100.1, IP=192.168.100.10, Lease time=30.
Jan 1 00:00:25 DHCP: Client send REQUEST to server 192.168.100.1, request IP=192.168.100.10.
Jan 1 00:00:25 DHCP: Client receive OFFER from 192.168.100.1.
Jan 1 00:00:25 DHCP: Client send DISCOVER.
Jan 1 00:00:21 DHCP: Client send DISCOVER.
Jan 1 00:00:19 DHCP: Client send DISCOVER.
Jan 1 00:00:13 VPN (L2TP) Pass-Through enabled.
Jan 1 00:00:13 VPN (IPSec) Pass-Through enabled.
Jan 1 00:00:13 VPN (PPTP) Pass-Through enabled.
Jan 1 00:00:46 DHCP: Client release IP 192.168.100.10 to server 192.168.100.1.
Jan 1 00:00:42 DHCP: Client receive ACK from 192.168.100.1, IP=192.168.100.10, Lease time=30.
Jan 1 00:00:29 Remote management is disabled.
Jan 1 00:00:29 Block WAN PING is enabled.
Jan 1 00:00:29 DMZ disabled.
Jan 1 00:00:29 VPN (L2TP) Pass-Through enabled.
Jan 1 00:00:29 VPN (IPSec) Pass-Through enabled.
Jan 1 00:00:29 VPN (PPTP) Pass-Through enabled.
Jan 1 00:00:29 Domain blocking disabled.
Jan 1 00:00:29 URL blocking disabled.

Meine Frage: Wie kann ich das Ping-Flooding verändern? Ist an den Logs sonst noch etwas auffälliges? Das nervt ziemlich, wirklich. Ich bin schon total verzweifelt auf einer Lösung, finde aber nichts!
Den PC neuaufzusetzen würde auch nichts bringen - ist ja wohl kein Virus, oder? Und wenn hätte er ja auch auf das Netzwerk zugriff..?

Ich bitte um Hilfe!

Grüße,
Goldi

hallo
Also nach deinen logs zu urteilen hast du ein dir 600.?
ist er immer an.?
Was für ein modem hast du an denn router angeschlossen
was für eine version hat dein router .?
Laut Hersteller d-link gibt es update auf 2.05b01
Was für eine Leutung hast du bei unitymedia.?
Ich hatte gleichen voher gehabt bei 32.000
aktivere mal die firewall deines Routers
unter Firewall und DMZ
und installiere noch eine SW firewall
Da ich die gleichen Problemme jetzt
bei mein Anschluss habe habe ich alles
an unitymedia geschickt und warte auf antwort
und ich habe ma nachgeschaut wegen deiner IP aus
der log

die Ip is eine IPv4-adress
und sie ist in denn Niederlande zuständig
mehr sage ich nicht

 

[Grothesk]

10.84.64.1 ist in den Niederlanden? Wie kommst du denn auf das schmale Brett?
10.84.64.1 ist aus dem Privaten IP-Bereich. Dürfte in dem Fall der erste Hop hinter dem eigenen Router sein. So ist es jedenfalls bei mir:

<i>
</i>traceroute heise.de
traceroute to heise.de (193.99.144.80), 30 hops max, 40 byte packets 1 ******************* (192.168.10.1) 0.913 ms 0.637 ms 0.632 ms 2 10.74.192.1 (10.74.192.1) 7.427 ms 7.004 ms 5.968 ms

http://de.wikipedia.org/wiki/Private_IP-Adresse

 

[Goldengate]

Hallo,
ja, der Router ist immer an, außer die Verbindung bricht ab, dann wird er neu gestartet
Das Upgrade hatte ich noch nicht entdeckt, dankeschön. Werds morgen mal versuchen per LAN anzuschließen und upzugraden!

Habe es heute übrigens mal per LAN angeschlossen: Die "Angriffe" gingen weiter - aber einen spürbaren unterschied habe ich nicht feststellen können. Per Wlan merkt man es deutlich mehr und es stürzt ab.. per LAN nicht.
Habe eine 32000er Leitung.
Wie oben bereits erwähnt habe ich die Firewall versucht zu aktivieren, weiß aber leider nicht wie das geht.. ich bin ein bisschen blöde auf dem Gebiet, ich weiß..

Achja: Die Unitymedia Hotline sagt, dass die 10er IP mein eigenes Modem ist was versucht Kontakt zum Router herzustellen.. kann das sein?

Grüße und hoffe auf weitere Hilfe

 

[Grothesk]

Natürlich ist das dein Modem.

Irgendwo im Router kannst du auch einstellen, ob und wie es auf Pings am WAN-Port reagieren soll. Ich würde das mal umstellen.
Siehe hier:
http://www.unitymediaforum.de/viewtopic.php?f=53&t=11118
"WAN-Ping" ist das Stichwort.

 

[Goldengate]

Bisher steht es auf ignorieren der Anfrage.. wenn er drauf antworten würde würde es doch noch mehr überlastet werden?.

 

[Grothesk]

Probier es doch aus.

 

[Goldengate]

Ausprobiert, leider für schlecht befunden, Ping ging trotzdem noch auf 2500 hoch.. :/ Hm. Was könnte ich denn noch versuchen? Evlt MAC-Filter?

 

[Grothesk]

Welcher Ping auf welchen Server ging 'hoch'?
Und was willst du mit einem MAC-Filter erreichen?

 

[Goldengate]

Auf Teamspeak, Modern Warfare 2 usw - schoss in die Höhen. Aber erst als ich in ein Spiel reingejoin bin - soll heißen als ich meine Internetleitung "gefordert" habe...

Okay, dann vergessen wir das mit dem Mac-Filter.. lach

 

[Grothesk]

Dann mach doch mal ein traceroute auf den Server.

 

[Norbert]

Hör doch auf diese Spiele zu zocken

Da scheint Dich ja nur eine Person nicht zu mögen, also geh dem doch aus dem Weg.

 

[Grothesk]

Die genannten Pings in den Logs kommen aber nicht von einer Person sondern vom UM-Netz. Das ist kein 'Hacker-Angriff' von außerhalb.

 

[addicted]

Urgh, also Deines Logfiles haben mit Deinen Verbindungsproblemen nicht wirklich etwas zu tun, denn die Pings aus dem 10er Netz bilden nicht genug Traffic um Deine Leitung irgendwie in die Knie zu zwingen (sofern es überhaupt welche sind - ich hab hier seit 10 Minuten keine einzige ICMP Anfrage, lediglich ARP und DHCP).

Sofern Du tatsächlich einen Gameserver auf Deinem Rechner betreibst, kommen gleich mehrere Faktoren ins Spiel: Wieviele parallele Verbindungen kann Dein Router durchs NAT verwalten, und reicht Deine Uploaddatenrate für alle verbundenen Spieler aus?

Generell eignen sich drahtgebundene Verbindungen besser zum Spielen - das WLAN hat sowieso schon nicht den vollen Durchsatz, und wenn Du in einem der beliebten Kanäle funkst kann das durchaus zu Verbindungsabbrüchen in Anwendungen führen.
Um sicher zu gehen kannst Du natürlich einfach mal nen anderen Router verwenden...

 

[mark67]

Hallo
Meine logs von einer gewissen zeit
Apr 29 20:59:01 Drop PING request from WAN (ip:189.75.244.246)
jetzt habe ich alles seprate gespeichtert

PING-FLOODING flooding attack from WAN (ip:69.31.111.149 )
.18:20:02 PING-FLOODING flooding attack from WAN (ip:50.23.212.96 ) detected
PING-FLOODING flooding attack from WAN (ip:91.194.90.1)
Habe es auch weitergereicht
was soll ich nun machen.??

 

[mark67]

Heute
von folgenden
Apr 30 15:48:33 Drop PING request from WAN (ip:178.165.22.178).
Apr 30 19:24:50 Drop PING request from WAN (ip:109.254.49.16).

 

[mark67]

Moin
habe ein dringliche frage
Mein router hat folgende ping abgewährt
von folgender ip

May 9 19:30:33 PING-FLOODING flooding attack from WAN (ip:94.249.129.102) detected
laut
http://daniel.rehbein.net/
gehört die ip ein gostnet an
wikipedia schreibt darüber

GhostNet ist ein elektronisches Spionagevirus, vermutlich aus China eingeschleust, das zum Zeitpunkt der Aufdeckung mindestens 1295 Computer in 103 Ländern infiltriert hatte. Computer von Banken, Botschaften, Außenministerien und anderen Regierungsstellen und mindestens einer der NATO, sowie Computer der tibetanischen Exilzentren des Dalai Lama in Indien, Brüssel, London und New York City wurden infiziert.


Muss ich jetzt angst habe besitzer eines botnetze zu werden
meine firewall und av sind auf denn neusten stand

 

[oxygen]

Muss ich jetzt angst habe besitzer eines botnetze zu werden
meine firewall und av sind auf denn neusten stand

Wenn du nicht weißt was die Meldungen bedeuten, ignorier sie.