Beantwoord

Inbraak op privé netwerk via Experiabox V8??

  • 1 oktober 2014
  • 6 reacties
  • 3005 keer bekeken

Reputatie 1
Beste allemaal,

ATTENTIE: Als de termen DHCP, Lease, SSL enzo je niets zeggen... sla dan dit bericht over!

Sinds intussen ruim een week wordt iedere nacht om 2:59:05 uur door de Experiabox V8 in mijn glasvezel aansluiting een DHCP-lease uitgegeven aan een niet in mijn netwerk voorkomend apparaat. Nou ben ik op dat moment normaal niet wakker, dus zie ik dat pas de volgende morgen.

De lease wordt uitgegeven aan een apparaat met MAC-adres 70-25-59-2C-4D-0A

Uit de NAT mapping table herleid ik, dat dit IP-adres dan een SSL tunnel (port 443) opent naar 157.55.176.209

Het MAC-adres is alleen maar te herleiden naar een fabrikant van het betreffende apparaat. Dat is een fabriek, die veel switches en modems in zijn productlijn heeft.

Het gelinkte IP-adres is te herleiden naar (vreemd genoeg) Microsoft in Redmond USA.

Ik probeer nu via een "try and test" reeks uit te vinden of er niet ergens in mijn netwerkje een machine staat, waar een verscholen procesje deze actie uitlokt met een gespoofd (=niet origineel) mac-adres. Ik heb intussen al zoveel kunnen uitsluiten, dat het er steeds meer op gaat lijken, dat de actie door de Experiabox zelf wordt uitgelokt.

Een hiermee samenhangend probleem is, dat wanneer ik de betreffende lease verwijder, de Experiabox zijn config onjuist updatet en met deze lease ook direct de aanwezige statische leases van mijn printers verwijderd uit het config bestand en ik dus elke keer die lange MAC-adressen opnieuw moet toevoegen aan de config. Het is allemaal dus erg vervelend.

Is er iemand die mij op gang kan helpen bij het oplossen van dit probleem. Ik ben een beetje bang dat deze onbekende verbinding wordt gebruikt voor door mij niet gewenste zaken (verzenden van spam en zo).

Ik wacht af

icon

Beste antwoord door jrxs4all 4 oktober 2014, 16:30

Ik gok op een Kobo e-book reader....

Bekijk origineel

6 reacties

Reputatie 1
Intussen ben ik een heel eind met mijn "try and test". In elk geval kan ik nu uitsluiten dat het van buiten komt en ook dat de Experiabox op een of andere wijze zelfstandig iets zou hebben besloten. De onderwerpregel kan dus beter gelezen worden als "uitbraak uit privé-netwerk" ;)

Als ik definitief heb vestgesteld waar het zit, zal ik dat melden.

Ook zal ik het probleem van het onjuist updaten van de config in de experiabox in een apart lijntje zetten.

Reputatie 3
Badge +2
Ik gok op een Kobo e-book reader....

Reputatie 1
Ik mag bij deze zeggen: hebbes!

Inderdaad zwerft er ook nog een Kobo Glo rond door het huis, en die was er de afgelopen maanden een tijd niet. En inderdaad: toen ik de mac-blokkade van m'n wifi eraf haalde en de Kobo aanzette kwam die keurig op. Hiervoor dus credits naar jrxs4all!! Ik snap alleen niet dat dat ding dan, terwijl hij volgens mij formeel uitstaat elke nacht rond 3 uur een lease ophaalde. Maar dat vind ik minder spannend, nu ik weet dat het een van mijn onze eigen interne apparaten is.

Alleen, beste jsxs4all, kan je mij ook uitleggen hoé je hier achter bent gekomen? Dat wil ik ook graag leren.

In elk geval is deze casus nu gesloten. Resteert de updatefout, maar die staat al in een ander lijntje.

Dank, dank, buig, buig.

Reputatie 3
Badge +2
Ik durf het haast niet te zeggen, want het is te simpel voor woorden:

maak met je browser een https verbinding met het genoemde IP adres, dan kom je er na een melding/waarschuwing achter dat het een site van Kobo is. Daar komt na een Google zoekje bij dat Cybertan, de eigenaar van dat MAC adres, die readers bouwt.

Een apparaat staat pas uit als je de accu eruit trekt of, als het niet op een accu werkt, het netsnoer.

Reputatie 1
Zie je maar weer eens, dat een oplossing vaak dichterbij ligt, dan je denkt. Cybertan had ik gevonden, maar niet i.c.m. Kobo, op basis van het Mac, en het IP-adres had ik via IP-trace en Whois gecheckt. Ik heb er nooit aan gedacht om het 's rechtstreeks via de browser op te roepen. Da's absoluut een leerpuntje...

Toch dan vreemd, dat het IP-adres zelf naar Redmond USA verwijst en dat zowel eigenaar van de IP-serie, als registrant van het adres Microsoft is. Er liggen in IT land toch maar allerlei vreemde lijntjes.

Nogmaals dank.

Reputatie 3
Badge +2
Microsoft doet de webhosting voor Kobo. Die e-book site genereert vast en zeker gigantisch veel verkeer, dus die wil je niet op je eigen netwerk hebben. En ook niet op het netwerk van een modale webhoster.

Reageer