Misbrug af fast IP?
Kære EksperterJeg blev her kort før jul blandet ind i en kedelig sag.
En tidligere kollega er blevet mailspammet fra diverse maillister og fra diverse hjemmeside, herunder en del danske.
Nogle få af disse har sendt en bekræftelse på at vedkommende nu er tilmeldt en mailliste og af denne fremgår bla. at min private faste IP.
Det fik naturligvis vedkommende til at rette henvendelse til mig og jeg var meget forundret og lidt chockeret.
Mit netværk ser således ud:
TDC Bredbaand med fast IP
Linksys BEFSX41 router med tilhørende løse Netgear switche.
På DMZ porten, der går uden om firewallen, sidder en eksperimentel server (Windows 2000 Advanced Server)
På LAN interfacet sidder der også en Windows 2000 Advanced Server (W2KA) som bruges primært som filserver til mine data. Der ud over er der koblet 3 faste arbejdsstationer med Windows XP Pro på. Der er også på LAN interfacet et trådløst accesspoint med indbygget Radius Server (kræver logon for at komme på netværket) og til dette bruger jeg en Toshiba PDA E740 samt min IBM ThinkPad der også har Windows XP Pro.
Alle maskiner har McAfee AntivirusScan 6.4 og opdateret altid når der er nye opdateringer, herunder dem fra Microsoft.
Ifølge den ramte så er "angrebet" sket om aften den 17.12.2002. Og af min log (Linklogger) der kan jeg se at der kun har været indadgående og udadgående trafik mellem 10-14 den pågældende dag. Og jeg kan se at det er mig selv der har skabt denne trafik via Remote Desktop Connection udefra da jeg ikke var hjemme før om aften.
Som jeg ser det så fejler min opstilling ikke noget. Bortset fra den mindre smarte W2KA på DMZ porten, idet den jo kan misbruges af en ekspert. Jeg har derfor pillet den ned omgående.
Men, er der nogen herinde der har et kvalificeret svar på hvad der kan være sket? Og forslag til hvordan man finder synderen. W2KA serveren har ingen logs i event vieweren, idet de havde en evne til at vokse til det ekstreme.
Hvordan kan man misbruge proxy-delen i W2KA ?
Jeg har kontaktet TDC Bredbaand der stillede mig videre til CSert. CSert oplyste at det ikke var smart at have en proxy. Og at det er vanskeligt at udgive sig med en anden IP end den man rent faktisk har. De mente derfor at der var nogen der har brugt min W2KA som springbræt. TDC logger ikke data, så der er ingen hjælp at hente.
Og min log angiver kun trafik den pågældende dag fra 10-14 initialiseret af undertegnede og med Remote Desktop Connection - som tidligere angivet.
Der er sikkert en masse spørgsmål som kræver info fra mig, post dem og jeg besvarer dem omgående. Alle er velkommen til at komme med forslag til hvordan man griber sådan en kedelig sag an.
Jeg har naturligvis foreslået ham det er gået ud over at IT chefen for hans arbejde, anmelder sagen til politiet, TDC og CSert. Jeg kan ikke da jeg ikke er den forurettede person og mine logs viser ikke noget.
Dog kan jeg tilføje at jeg 4 dage før det skete, havde en usædvanlig stigning i hostile attacks. Normalt ligger det jævnt på 50 om dagen i snit, men i de 4 dage var der over 200 om dagen. Og det er derefter fladet ud til de normale 50 om dagen i snit efterfølgende.
Mvh og godt nytår!
Christian
