Forum Ljud, bild och kommunikation Nätverk och uppkoppling Tråd Inlägg

Enheter vill ansluta till 193.11.114.43, Wannacry????

1
Skriv svar
Permalänk
Medlem

Enheter vill ansluta till 193.11.114.43, Wannacry????

Har sedan en månad fått ett återkommande problem, har ett antal enheter som vill ansluta till 193.11.114.43. Kommunikationen stoppas av min router (ASUS AC87U). De enheter som vill ansluta är "icke Windows", dvs Raspberry, Chromcast, Android TV-box.
Den första rapporten fick jag den 19 Maj, dvs strax efter Wannacry utbrottet, samband?
Det började med en Raspberry, tog och formaterade den, några dagar senare började näst, samma procedur med den, några dagar senare näst osv...
Har stängt alla portar som jag öppnat i routern, stängt av VPN-servern och kommer formatera samtliga Raspberry igen. Har gjort virus och malware scanning på samtliga Windows-datorer, ja de är uppdaterade, har några Macbooks-->hur kan jag kolla dem?

Något mer jag kan göra för att bli av med skiten????

Text from routern:

"Event number : 1
Alert type : Infected Device Prevention and Blocking
Source : (B8:27:EB:5B:XX:XX)
Destination : 193.11.114.43

RT-AC87U's AiProtection detected suspicious networking behavior and prevented your device making a connection to a malicious website (see above and the attached log for details).Suggested actions:
1. If you know that the cause of this attempted connection was a proprietary app or program and not a web browser, we recommand that you uninstall it from your device.
2. Ensure your device is up to time in all its operating system patches as well as updates to all apps or programs.
3. You should take this opportunity to check for, and install, any router firmware updates.
4. If you continue to receive such alerts for similar attempted connections, investigation into the cause will be necessary.
Meanwhile, rest assured that AiProtection continues to help keep you safe on the Internet."

Redigera
Citera flera Citera
Permalänk
Medlem

Gå in i raspberry och kolla vilken mjukvara som försöker ansluta till den IP:n?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Ture72:

Har sedan en månad fått ett återkommande problem, har ett antal enheter som vill ansluta till 193.11.114.43. Kommunikationen stoppas av min router (ASUS AC87U). De enheter som vill ansluta är "icke Windows", dvs Raspberry, Chromcast, Android TV-box.
Den första rapporten fick jag den 19 Maj, dvs strax efter Wannacry utbrottet, samband?
Det började med en Raspberry, tog och formaterade den, några dagar senare började näst, samma procedur med den, några dagar senare näst osv...
Har stängt alla portar som jag öppnat i routern, stängt av VPN-servern och kommer formatera samtliga Raspberry igen. Har gjort virus och malware scanning på samtliga Windows-datorer, ja de är uppdaterade, har några Macbooks-->hur kan jag kolla dem?

Något mer jag kan göra för att bli av med skiten????

Text from routern:

"Event number : 1
Alert type : Infected Device Prevention and Blocking
Source : (B8:27:EB:5B:XX:XX)
Destination : 193.11.114.43

RT-AC87U's AiProtection detected suspicious networking behavior and prevented your device making a connection to a malicious website (see above and the attached log for details).Suggested actions:
1. If you know that the cause of this attempted connection was a proprietary app or program and not a web browser, we recommand that you uninstall it from your device.
2. Ensure your device is up to time in all its operating system patches as well as updates to all apps or programs.
3. You should take this opportunity to check for, and install, any router firmware updates.
4. If you continue to receive such alerts for similar attempted connections, investigation into the cause will be necessary.
Meanwhile, rest assured that AiProtection continues to help keep you safe on the Internet."

Gå till inlägget

Trafiken går hit:

inetnum: 193.11.112.0 - 193.11.143.255
netname: MDFNET
descr: Student network in Vasteras/Eskilstuna
country: SE
admin-c: FE971-RIPE
tech-c: MK18438-RIPE
status: ASSIGNED PA
remarks: **********************************
remarks: * Abuse contact: email@mdfnet.se *
remarks: **********************************
mnt-by: SUNET-MNT
mnt-lower: SUNET-MNT
mnt-domains: SUNET-MNT
mnt-routes: SUNET-MNT
created: 2005-10-28T10:54:12Z
last-modified: 2015-08-31T11:22:16Z
source: RIPE

person: Fredrik Eriksson
address: Malardalens Datorforening
address: Vasagatan 65 3 tr.
address: S-722 18 Vasteras
address: Sweden
phone: +46733729828
phone: +4621107084
nic-hdl: FE971-RIPE
mnt-by: sunet-mnt
created: 2008-06-04T13:08:28Z
last-modified: 2008-06-04T13:12:48Z
source: RIPE # Filtered

person: Markus Klock
address: Malardalens Datorforening
address: Gustavsborgsgatan 6
address: S-722 18 Vasteras
address: Sweden
phone: +46735806441
nic-hdl: MK18438-RIPE
mnt-by: SUNET-MNT
created: 2015-08-31T10:54:22Z
last-modified: 2015-08-31T10:54:22Z
source: RIPE

% Information related to '193.11.0.0/16AS1653'

route: 193.11.0.0/16
descr: SUNET C Aggregate (PA)
origin: AS1653
mnt-by: SUNET-MNT
created: 1970-01-01T00:00:00Z
last-modified: 2007-01-17T22:06:28Z
source: RIPE

Visa signatur

Who dosen´t love gadgets?

Redigera
Citera flera Citera
Permalänk
Medlem

https://www.abuseipdb.com/check/193.11.114.43

Redigera
Citera flera Citera
Permalänk
Medlem

Står telenr till ansvariga. Bara att ta tag i det.

Visa signatur

Who dosen´t love gadgets?

Redigera
Citera flera Citera
Permalänk
Medlem

Där hände ju något i mitten av Maj...

"Hostname : tor1.mdfnet.se" , betyder det att det är en Tor-nod?
I så fall låter det lite oroande...

Redigera
Citera flera Citera
Permalänk
Medlem

https://www.facebook.com/malardalensdatorforening/

Ta dem på messenger. Det ligger i deras nät, de kan se på switchporten vem som sitter på servern

Visa signatur

Who dosen´t love gadgets?

Redigera
Citera flera Citera
Permalänk
Medlem

Är det bara icke-Windows maskiner så är det med 100% säkerhet inte wannacry iaf. Det skulle dock vara intressant om du kan posta output ifrån "ps aux" och "netstat -tulpan", så kanske man kan se om det är något skumt som kör.

Skickades från m.sweclockers.com

Redigera
Citera flera Citera
Permalänk
Medlem

phone: +46735806441

Ring och fråga, vet jag!

Visa signatur

AMD Thunderbird 1.33 GHz (133 MHz Bus), Epox 8K7A, 1 x 256MB Corsair PC2100 DDR SDRAM, 20.5GB 7200 RPM Western Digital EIDE, Visiontek GeForce 3

Redigera
Citera flera Citera
Permalänk
Medlem

Kan vara detta som händer:
http://www.guru3d.com/news-story/new-linux-trojans-installs-c...

Visa signatur

CPU: 9900K
GPU: RTX 4070
RAM: 32GB

Redigera
Citera flera Citera
Permalänk
Medlem

Kan det inte vara så att det är en spegel med uppdateringar på den adressen? Många högskolor har ju föreningar som ofta driver det, tex liu.

Skickades från m.sweclockers.com

Visa signatur

Hemmadator | Intel Core2Duo E8400 3GHz | 2048MB RAM 800MHz | ATI Radeon HD5750 512MB | ASUS P5QPL-AM | Corsair CX430 430W | Western Digital Caviar Blue 500GB | Seagate Barracuda 500GB | Intel 330 128GB |
Skoldator | Intel Core I7 950 3.06 GHz | Corsair XMS3 DDR3 1600MHz 4GB CL9 | ASUS GeForce GTX 465 1GB | ASUS P6T SE | OCZ MODXSTREAM PRO 700 WATT | CM Storm Scout |

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av SweMerlin:

phone: +46735806441

Ring och fråga, vet jag!

Gå till inlägget

lol, det är ju mitt telefonnummer!

Visa signatur

Cisco-certifierad nätverksspecialist
Bygger globalt spelservernätverk på dathost.net

Redigera
Citera flera Citera
Permalänk
Medlem

@ZerxXxes: då har du lite att förklara misstänker jag

Visa signatur

#1: Z370N ITX | i7 8700k | GTX 1080 | 32GiB
#2: P8Z77-M pro | i7 3770k | GTX 1050ti | 16GiB
Server: Z370-G | i5 8600T | 64GiB | UnRAID 6.9.2 | 130TB
Smartphone: Samsung Z Flip 5 | Android 13 | Shure SE535

Redigera
Citera flera Citera
Permalänk
Testpilot

Eftersom det är så många olika enheter och det verkar vara *NIX-baserade allihop kom jag tänka på NTP, de kanske vill synkronisera klockan.

Googlade på mdfnet ntp och stötte på den här bloggposten som handlade om att Telldus-gateway också anslöt till den IP-adressen: https://developer.telldus.com/blog/2017/06/13/asus-aiprotecti...
Det finns mycket riktigt finns en NTP-server där och Asus verkar varna för en gammal DNS-uppgift lagrad hos Trend Micro som inte finns längre.

http://www.pool.ntp.org/sv/scores/193.11.114.43

Med andra ord är det ingen fara

Kanske kan man kontakta Asus och meddela att de borde ta bort adressen från deras lista då den verkar generera massa faslka varningar.

Senast redigerat
Visa signatur

Kolla gärna in min RGB-LED-ljusstake i galleriet
[Gigabyte GA-Z97MX-Gaming 5][Intel Core i5 4690K][Corsair XMS3 16GB][Asus GeForce RTX 2060 Super Dual Evo OC]

Redigera
Citera flera Citera
Permalänk
Medlem

Det är inte bara ASUS som varnar och det är nog ingen falsk varning. Adressen går också till en "TOR Relay/Router (Not exit)" och det utlöser en varning. Mina kunskaper om TOR är begränsade så jag avstår från att reda ut om varningen är berättigad eller inte.

Det verkar inte helt lämpligt att ha samma IP-adress på en NTP-server som en TOR Router.

Redigera
Citera flera Citera
Permalänk
Testpilot

Googlar man lite till verkar det även vara (eller iallfall ha varit) en Tor-nod ja och flera Tor-noders IP-adresser verkar ha blivit taggade som en riskindikator för just Wannacry, viruset använder väl dessa noder för att kommunicera på något vis.

Tor-nätverket i sig är inte farligt, det är bara ett anonymt internet där man kan syssla med både lagliga och olagliga verksamheter, precis som att det i en mörk gränd kan säljas knark men man kan också låta bli
Rimligtvis försegår det väl dock ganska mycket skumma saker på Tor-nätverket eftersom det är just anonymt men det är ingen garanti.

Eftersom Wannacry bara drabbar Windows och alla enheter det handlar om i den här tråden rimligtvis använder sig av NTP så är väl ändå den mest troliga förklaringen att det är just NTP de är ute efter på den IP-adressen? Går det inte se i Asus-loggen vilken domän enheterna eftersökte eller vilken port? Annars kan man ju alltid sätta upp exempelvis wireshark emellan och se vad det är för trafik, om inte Asus kanske blockerar redan vid DNS-uppslaget.

Mdfnet kanske inte har så många IP-adresser att sätta upp publika servrar på utan måste låta olika tjänster ligga på samma IP. Är det någon som har kontaktat dem?

Visa signatur

Kolla gärna in min RGB-LED-ljusstake i galleriet
[Gigabyte GA-Z97MX-Gaming 5][Intel Core i5 4690K][Corsair XMS3 16GB][Asus GeForce RTX 2060 Super Dual Evo OC]

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av LudvigLindell:

@ZerxXxes: då har du lite att förklara misstänker jag

Gå till inlägget

Med nöje.
Det är precis som bloggen ovan redan listat ut, det är false positives från Trend Micro.
Och sen pga att ett sånt system rapporterar vår IP som farlig så börjar folk även rapportera den till andra system som abuseipdb.com och liknande så false posetiven dyker upp på allt fler system tyvärr

Jag har varit i kontakt med Trend Micro och försökt få dem att klassa om den men de verkar bara göra en ny automatisk check av den och direkt klassa den som farlig utan att förklara varför. Troligtvis för att den finns med i listor över kända TOR-relayer, trots att den inte är en TOR exit utan bara en relay. Dvs den tar enbart emot anslutningar från andra TOR-relayer och skickar vidare till andra TOR-relayer så ingen data från TOR-nätet kan komma in eller ut vida den här IPn.
Väldigt dåligt att de inte kan skilja på relayer och exits.

Visa signatur

Cisco-certifierad nätverksspecialist
Bygger globalt spelservernätverk på dathost.net

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara