SNMP-hackare?

Någon bultar på port 161 och har gjort så i flera dagar. Att döma av ip-adressen bor hackaren in spe i mitt omedelbara grannskap. Om det är en smittad dator eller en livs levande person som bultar vet jag inte. Finns det maskar som går på snmp-porten? Någon kanske vet. Vad jag förstår försöket angriparen ta över routern och genom att bruteforca en fil, få fram lösenordet till routern. Bör jag vara orolig?

Till saken hör att routern inte ens har en snmp-server i gång.

Nej strunta i det. Se bara till att stänga av fjärrstyrning utifrån, det kan man på dom flesta produkter, då kan man inte ta sig in i routern om det inte finns någon bugg.

Annars är det bara strunta i det. Däremot vore det skoj om du kunde få reda på vem det var, sedan går du dit och knacka på och frågar, varför kommer det massa paket från ditt IP nummer till min router ? Försöker du hacka min router.

Då lär han ju skita på sig hehe. Om han förnekar, är det ju bara säga "jag vet vart du bor om det händer något"

Okay, det lät bra. Jag har ställt in routern så att den ska droppa anrop från den angripande (smittade) datorn men loggningen är på.

Jag har dessvärre inga möjligheter att ta reda på vem det är. Internetleverantörerna har ju sina sekretessregler. Lika bra kanske.

Fiskar du runt lite på nätet kanske det finns någon sida som är slarvig med IP-adresser som personen har besökt, eller så kanske du kan traca ip:t, vilka vägar den tar? Borde inte nåt liknande funka? Hur pass lagligt är det för övrigt?

Enligt flera Internetleverantörers användarantal får man inte portskanna andra, vare sig det gäller en granne eller Nasa. Om du skickar ett mejl med tillhörande loggfiler till er gemensamma operatörs abuseavdelning kan vederbörande få sig en mindre näsbränna i form av ett aja baja-brev på posten. Mycket mer än så kan man nog inte göra.

Ip-adressen finns inte på Google. Jag gjorde en tracert till angriparen men han finns så nära att det enda hoppet är ISP:ns gateway. Sedan står det bara
"begäran gjorde timeout". Jag lutar mot att det är en dator som är smittad av något virus. Bara en idiot skulle banka på porten i flera dagar. Eftersom routern inte har någon snmp-server är det meningslöst att köra någon snmpgrävande mjukvara. Man får ju inte fram någon information. Det är som att försöka ta sig in via port 21 på en dator som inte har någon ftp-server uppsatt.

Att kontakta abuse-avdelningen är inte aktuellt för mig än så länge. Jag betraktar inte intrångsförsöket som ett allvarligt hot Det hela är bara irriterande.

Dns-adressen, då?

Du kan ju prova sätta upp en honeypot på port 161 för att sniffa och analysera trafiken.

PS: Jag menade förstås "användaravtal" i mitt förra inlägg. Pinsamt.

Hur kollar jag vilken DNS jag har? När jag kör ipconfig så står det att routern är min DNS-server, dvs 192,168.0.1, vilket inte är till någon hjälp. Jag gjorde en nslookup på min internetleverantörs gateway men inga namnservrar visades. Jag vet inte riktigt hur man använder nslookup.

Routern är en dedikerad dator med Linux som operativsystem. Jag vet inte mycket om Linux och vet definitivt inte hur man sätter upp och analyserar en honeypot. Du ska ändå ha tack för tipset. Någon annan kanske har nytta av en honeypot.[/quote]

. Jag hade inte ens lagt märke till stavfelet.

Provar du på ditt WAN-IP? Alltså det IP du får av din leverantör (inte 192.168... eller 127.0.0... eller 10....).

Min router får en ip-adress från internetleverantören.

När jag kör kommandot "nslookup [min_yttre_ip-adress]" får jag till svar: "192.168.0.1:53". Ändrar jag server till min yttre ip-adress får jag svar: "min_yttre_ip-adress".

Jag vet att mina namnservrar börjar på 195 men kommer inte i håg resten. Även om det skulle gå att få fram namnservrarna förstår jag inte hur jag skulle få reda på något om datorn som anropar mig på snmp-porten.

Hm tror faktiskt han menade "angriparens" adress, fast sen skrev du "Hur kollar jag vilken DNS-adress jag har?", och då nappade jag på det. Kanske är jag som är trött här, men har du provat nslookup på "angriparens" ip?