Hi @cforker ,
Goed dat je dit bij ons aankaart! Het probleem is bij ons bekend en we zijn druk bezig om ervoor te zorgen dat dit wordt opgelost. Om dit zo goed mogelijk aan te kaarten en op te pakken zijn we opzoek naar traceroutes van deze paden. Op deze manier kunnen we samen met de technische dienst en IT zorgen dat deze weer helemaal vlekkeloos verlopen. Mocht je in de gelegenheid zijn deze aan te leveren, dan zorgen wij ervoor dat deze worden doorgezet. Alvast superbedankt!
Hallo Boris,
bedankt voor je bericht. Het is i.d.d. erg vervelend. Bij deze de traceroutes
traceroute to 185.216.35.46 (185.216.35.46), 64 hops max, 52 byte packets
1 proxy (192.168.10.1) 0.611 ms 0.283 ms 0.383 ms
2 1-68-201-31.ftth.glasoperator.nl (31.201.68.1) 2.364 ms 2.495 ms 2.331 ms
3 10.10.10.205 (10.10.10.205) 2.449 ms 2.365 ms 2.397 ms
4 m247.interxionfra4.nl-ix.net (193.239.118.115) 17.325 ms 15.732 ms 15.002 ms
5 m247.interxionfra4.nl-ix.net (193.239.118.115) 14.907 ms 14.653 ms 14.845 ms
6 37.120.128.252 (37.120.128.252) 15.820 ms 17.400 ms 17.050 ms
7 te-1-5-9-0.bb1.prg.cz.m247.com (193.9.115.238) 41.161 ms 34.058 ms 33.358 ms
8 no-mans-land.m247.com (82.102.29.227) 50.686 ms 52.875 ms 43.925 ms
9 217.138.223.247 (217.138.223.247) 31.446 ms 32.643 ms 32.779 ms
10 185.216.35.46 (185.216.35.46) 33.218 ms 33.579 ms 33.286 ms
en
traceroute to 185.210.219.194 (185.210.219.194), 64 hops max, 52 byte packets
1 proxy (192.168.10.1) 0.421 ms 0.246 ms 0.273 ms
2 1-68-201-31.ftth.glasoperator.nl (31.201.68.1) 2.466 ms 3.236 ms 2.377 ms
3 10.10.10.205 (10.10.10.205) 2.362 ms 2.328 ms 2.321 ms
4 195.89.101.53 (195.89.101.53) 3.270 ms 3.281 ms 3.543 ms
5 195.89.101.53 (195.89.101.53) 2.935 ms 2.991 ms 2.813 ms
6 be1273.rcr22.ams05.atlas.cogentco.com (130.117.14.173) 3.321 ms 3.228 ms 3.145 ms
7 be3500.ccr42.ams03.atlas.cogentco.com (154.54.60.25) 3.701 ms
be3499.ccr41.ams03.atlas.cogentco.com (154.54.60.21) 3.689 ms
be3500.ccr42.ams03.atlas.cogentco.com (154.54.60.25) 3.666 ms
8 be2814.ccr42.fra03.atlas.cogentco.com (130.117.0.142) 10.516 ms
be2813.ccr41.fra03.atlas.cogentco.com (130.117.0.122) 10.604 ms
be2814.ccr42.fra03.atlas.cogentco.com (130.117.0.142) 10.348 ms
9 be2959.ccr21.muc03.atlas.cogentco.com (154.54.36.54) 15.986 ms 15.831 ms
be2960.ccr22.muc03.atlas.cogentco.com (154.54.36.254) 16.043 ms
10 be3462.ccr52.vie01.atlas.cogentco.com (154.54.59.181) 21.796 ms
be2974.ccr51.vie01.atlas.cogentco.com (154.54.58.6) 22.007 ms 21.656 ms
11 m247.demarc.cogentco.com (149.6.174.90) 25.942 ms 25.827 ms 25.760 ms
12 * * *
13 37.120.220.143 (37.120.220.143) 26.582 ms 26.392 ms 26.447 ms
14 185.210.219.194 (185.210.219.194) 25.923 ms 25.897 ms 25.881 ms
Mocht je nog iets nodig hebben dan laat het mij weten. Super bedankt nogmaals voor je reactie.
Groet,
Chris
Hoi @cforker,
Er is iets aangepast en nu ben ik erg benieuwd of er nog steeds contact wordt gezocht met jouw IP adres. Kun je controleren of dit nog in je log staat of dat het nu is verdwenen? Kun je ook aangeven per welke datum het is gestopt?
Hallo Sander,
net gekeken en het lijkt niet opgelost te zijn, zie hieronder:
| | Jun 4 11:31:51 | WAN | Blocked IP's from Alias (1552382266) | 185.216.35.46:51820 | 85.144.128.241:31701 | UDP |
| | Jun 4 11:31:46 | WAN | Blocked IP's from Alias (1552382266) | 185.216.35.46:51820 | 85.144.128.241:31701 | UDP |
| | Jun 4 11:31:41 | WAN | Blocked IP's from Alias (1552382266) | 185.216.35.46:51820 | 85.144.128.241:31701 | UDP |
| | Jun 4 11:31:35 | WAN | Blocked IP's from Alias (1552382266) | 185.216.35.46:51820 | 85.144.128.241:31701 | UDP |
| | Jun 4 11:31:30 | WAN | Blocked IP's from Alias (1552382266) | 185.216.35.46:51820 | 85.144.128.241:31701 | UDP |
| | Jun 4 11:31:25 | WAN | Blocked IP's from Alias (1552382266) | 185.216.35.46:51820 | 85.144.128.241:31701 | UDP |
| | Jun 4 11:31:19 | WAN | Blocked IP's from Alias (1552382266) | 185.216.35.46:51820 | 85.144.128.241:31701 | UDP |
| | Jun 4 11:31:14 | WAN | Blocked IP's from Alias (1552382266) | 185.216.35.46:51820 | 85.144.128.241:31701 | UDP |
| | Jun 4 11:31:08 | WAN | Blocked IP's from Alias (1552382266) | 185.216.35.46:51820 | 85.144.128.241:31701 | UDP |
| | Jun 4 11:31:03 | WAN | Blocked IP's from Alias (1552382266) | 185.216.35.46:51820 | 85.144.128.241:31701 | UDP |
| | Jun 4 11:30:58 | WAN | Blocked IP's from Alias (1552382266) | 185.216.35.46:51820 | 85.144.128.241:31701 | UDP |
| | Jun 4 11:30:53 | WAN | Blocked IP's from Alias (1552382266) | 185.216.35.46:51820 | 85.144.128.241:31701 | UDP |
| | Jun 4 11:30:47 | WAN | Blocked IP's from Alias (1552382266) | 185.216.35.46:51820 | 85.144.128.241:31701 | UDP |
| | Jun 4 11:30:42 | WAN | Blocked IP's from Alias (1552382266) | 185.216.35.46:51820 | 85.144.128.241:31701 | UDP |
| | Jun 4 11:30:37 | WAN | Blocked IP's from Alias (1552382266) | 185.216.35.46:51820 | 85.144.128.241:31701 | UDP |
| | Jun 4 11:30:32 | WAN | Blocked IP's from Alias (1552382266) | 185.216.35.46:51820 | 85.144.128.241:31701 | UDP |
Het IP 185.210.219.194 zie ik niet meer voorkomen.
@Sander en @cforker
Hier een NMAP scan van beide benoemde IP adressen
Scanning 185.216.35.46 61000 ports]
Discovered open port 53/tcp on 185.216.35.46
Discovered open port 443/tcp on 185.216.35.46
Discovered open port 3690/tcp on 185.216.35.46
Completed SYN Stealth Scan at 12:41, 2.82s elapsed (1000 total ports)
PORT STATE SERVICE VERSION
53/tcp open domain
139/tcp filtered netbios-ssn
443/tcp open ssl/http nginx 1.10.3
| http-methods:
|_ Supported Methods: GET HEAD OPTIONS
|_http-server-header: nginx/1.10.3
|_http-title: Welcome to nginx!
| ssl-cert: Subject: commonName=*.vpnunlimitedapp.com
| Subject Alternative Name: DNS:*.vpnunlimitedapp.com, DNS:vpnunlimitedapp.com
| Issuer: commonName=Sectigo RSA Domain Validation Secure Server CA/organizationName=Sectigo Limited/stateOrProvinceName=Greater Manchester/countryName=GB
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2019-07-02T00:00:00
| Not valid after: 2021-07-17T23:59:59
| MD5: 6e99 0e63 7fdc 0ac4 b841 3ea0 d105 be5e
|_SHA-1: e311 c22a 8f71 7091 1da1 a78f 0060 9c84 0f08 d59c
3128/tcp filtered squid-http
3690/tcp open svn?
TRACEROUTE (using port 8080/tcp)
HOP RTT ADDRESS
1
2
3 5.47 ms 10.10.80.102
4 5.81 ms 10.10.80.149
5 11.54 ms m247.interxionfra4.nl-ix.net (193.239.118.115)
6 12.23 ms 37.120.128.252
7 28.25 ms te-1-5-9-0.bb1.prg.cz.m247.com (193.9.115.238)
8 29.86 ms no-mans-land.m247.com (82.102.29.227)
9 28.24 ms 217.138.223.247
10 28.83 ms 185.216.35.46
Scanning 185.210.219.194 >1000 ports]
Discovered open port 443/tcp on 185.210.219.194
Discovered open port 53/tcp on 185.210.219.194
Discovered open port 3690/tcp on 185.210.219.194
PORT STATE SERVICE VERSION
53/tcp open domain
139/tcp filtered netbios-ssn
443/tcp open ssl/http nginx 1.10.3
| http-methods:
|_ Supported Methods: GET HEAD
|_http-server-header: nginx/1.10.3
|_http-title: Welcome to nginx!
| ssl-cert: Subject: commonName=*.vpnunlimitedapp.com
| Subject Alternative Name: DNS:*.vpnunlimitedapp.com, DNS:vpnunlimitedapp.com
| Issuer: commonName=Sectigo RSA Domain Validation Secure Server CA/organizationName=Sectigo Limited/stateOrProvinceName=Greater Manchester/countryName=GB
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2019-07-02T00:00:00
| Not valid after: 2021-07-17T23:59:59
| MD5: 6e99 0e63 7fdc 0ac4 b841 3ea0 d105 be5e
|_SHA-1: e311 c22a 8f71 7091 1da1 a78f 0060 9c84 0f08 d59c
3128/tcp filtered squid-http
3690/tcp open svn?
TRACEROUTE (using port 135/tcp)
HOP RTT ADDRESS
1 0.20 ms
2 2.90 ms
3 5.39 ms 10.10.80.102
4 5.39 ms 10.10.80.149
5 6.35 ms 217.161.69.141
6 6.64 ms 80.231.85.130
7 23.98 ms if-ae-41-2.tcore1.av2-amsterdam.as6453.net (195.219.194.26)
8 24.76 ms if-ae-6-6.tcore1.fnm-frankfurt.as6453.net (195.219.194.115)
9 23.97 ms if-ae-29-2.tcore2.fnm-frankfurt.as6453.net (195.219.156.151)
10 43.00 ms 37.120.220.143
11 39.10 ms te-2-1-0.bb2.vie1.at.m247.com (185.183.107.13)
12 ...
13 29.14 ms 37.120.220.143
14 28.29 ms 185.210.219.194
Er is een referentie aanwezig naar een VPN server https://www.vpnunlimited.com/ .
Heb je iets van een VPN client draaien?
Heb je al eens je PC gescanned op een virus of backdoor?
Heb je eventueel applicaties op je PC gezet rond die tijd?
Kijk eens naar services die op de achtergrond draaien (zo Windows) of daar iets opvallends tussen zit?
Hallo Pieter, dank voor je bericht. het IP wat je hebt gescanned is het remote IP. Dit IP is geblokkeerd op de WAN kant bij mij. Ik draai als clients Mac’s enkele keer een Windows rest Linux. Alle servers en PC’s worden om de 12 uur gescanned op virussen en malware. DNS (53) zou bij mij ook niet open mogen staan. 443 is regulier HTTPS verkeer en 3690 komt mij niet bekend voor, staat ook niet open. Wat wel vreemd is, is dat ik af en toe wel een VPN van vpnunlimited gebruik, maar ik weet zeker dat deze uitstaat. Deze staat ook op mijn telefoon. Verder heb ik de afgelopen tijd geen applicaties geinstalleerd. Applicaties komen worden ook alleen van betrouwbare bronnen geinstalleerd (spreek gekochte applicaties via de leveranciers). Er zit dus ook niets tussen dat meegeinstalleerd wordt.
Groet,
Chris
Pieter, Sander, nog een aanvulling i.v.m. je opmerking van de VPN. Ik heb de VPN opgestart en met een andere server verbinding gezocht. Vanaf dat moment was het adres 185.216.35.46 weg uit de logging. Grappig is wel dat het zelfde issue nu speelt met het nieuwe adres waarop ik heb aangemeld. Is dus volgens mij echt een issue van KeepSolid. Ik denk dat je hier verder geen onderzoek hoeft te doen. Het ligt hier ergens. Alleen vreemd dat de laatste server vastgehouden wordt terwijl er geen verbinding meer is. Ook de processen van de app zijn gekilled.
Super bedankt voor de medewerking en de hulp!
Fijn weekend,
Chris
