Trädvy Permalänk
Medlem
Registrerad
Okt 2014

Säkerhetsincidentmail från Telia

Hej!

För ca 2 veckor sedan fick jag ett mail från abuse@telia.se gällande säkkerhetsincident. Körde Malearebites på samtliga windowsklienter och rensade. Har en Asius AC68. Slog på brandväggen i den. Det var tyst tills idag då jag fick ett nytt mail.

Jag har dagliga rapporter om:

Det har kommit till vår kännedom att det görs omfattande portskanningar mot port 21/22/80/8080 från din IP-adress XXXXX

Exempelvis:

2017-03-21T08:47:51+02:00 Network scan, 944 hosts, ports: TCP:21, TCP:22, TCP:80, TCP:8080, SrcPort: 7602 [XXXX MAC:-cccc]
2017-03-21T09:29:59+02:00 Network scan, 468 hosts, ports: TCP:80, TCP:8080, TCP:22, TCP:21, SrcPort: 60052 [XXXXX MAC:-CCCCC]
2017-03-21T12:21:35+02:00 Network scan, 462 hosts, ports: TCP:8080, TCP:21, TCP:22, TCP:80, SrcPort: 6835 [XXXX MAC:-CCCC]
2017-03-21T13:33:32+02:00 Network scan, 469 hosts, ports: TCP:8080, TCP:22, TCP:21, TCP:80, SrcPort: 18219 [XXXX MAC:-CCCC]
2017-03-21T14:13:20+02:00 Network scan, 466 hosts, ports: TCP:21, TCP:80, TCP:8080, TCP:22, SrcPort: 6125 [XXXX MAC:-CCCC]

Finns rätt många klienter i mitt nätverk hemma. Bra förslag på var man ska börja leta?

MVH Daniel

Trädvy Permalänk
Medlem
Registrerad
Mar 2012

Om du sniffar på ditt LAN så kommer du att se source-ip

Trädvy Permalänk
Medlem
Registrerad
Okt 2014

Wireshark kanske?

Trädvy Permalänk
Medlem
Registrerad
Dec 2011

sist jag fick mail från telia så hade jag en klient för bitcoin mining som letade efter lokala agenter med discovery.
Problemet var att den gick över gateway och letade där också
Du vet inte att du har discovery påslaget på något?