Hacker-Angriff" - werde totgepingt

[Goldengate]

Guten Abend liebes Forum,
seit einigen Tagen habe ich ein Problem mit meinter Internet Leitung. Die Verbindung bricht oft ab, ich habe ungewöhnlich viele Laggs.
Ich bekam E-Mails mit Drohungen "your brain will be fucked up, it will start with your connection". Warum und woher? Ich weiß es nicht. Außer Leute von meinen CSS und Modern Warfare 2 Servern zu kicken tue ich nichts was Leute verärgern könnte. :kratz:

Mein Wlan Router -> DIR-600. Eine (ich glaube) statische IP.

Nun, jedenfalls besteht das Problem seit diesen E-Mails. Heute habe ich in meinen LOG im Router geschaut, in der Hoffnung was nützliches zu entdecken, und siehe da, was finde ich? Einen Typen der mich dauerhaft angepingt.
Das sieht so aus:

Jan 1 05:04:46 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 05:02:31 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 05:01:06 DHCP: Client receive ACK from 80.69.97.244, IP=109.90.113.125, Lease time=3600.
Jan 1 04:58:55 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:54:25 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:53:31 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:53:04 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:52:37 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:43:37 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Jan 1 04:43:10 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.

Jedesmal Nachts um 0:00 kommt übrigens folgendes:

Jan 1 00:00:13 Domain blocking disabled.
Jan 1 00:00:13 URL blocking disabled.
Jan 1 00:00:13 MAC filter disabled.
Jan 1 00:00:04 System started.
Jan 1 00:00:29 MAC filter disabled.
Jan 1 00:00:28 DHCP: Client receive ACK from 192.168.100.1, IP=192.168.100.10, Lease time=30.
Jan 1 00:00:25 DHCP: Client send REQUEST to server 192.168.100.1, request IP=192.168.100.10.
Jan 1 00:00:25 DHCP: Client receive OFFER from 192.168.100.1.
Jan 1 00:00:25 DHCP: Client send DISCOVER.
Jan 1 00:00:21 DHCP: Client send DISCOVER.
Jan 1 00:00:19 DHCP: Client send DISCOVER.
Jan 1 00:00:13 VPN (L2TP) Pass-Through enabled.
Jan 1 00:00:13 VPN (IPSec) Pass-Through enabled.
Jan 1 00:00:13 VPN (PPTP) Pass-Through enabled.
Jan 1 00:00:46 DHCP: Client release IP 192.168.100.10 to server 192.168.100.1.
Jan 1 00:00:42 DHCP: Client receive ACK from 192.168.100.1, IP=192.168.100.10, Lease time=30.
Jan 1 00:00:29 Remote management is disabled.
Jan 1 00:00:29 Block WAN PING is enabled.
Jan 1 00:00:29 DMZ disabled.
Jan 1 00:00:29 VPN (L2TP) Pass-Through enabled.
Jan 1 00:00:29 VPN (IPSec) Pass-Through enabled.
Jan 1 00:00:29 VPN (PPTP) Pass-Through enabled.
Jan 1 00:00:29 Domain blocking disabled.
Jan 1 00:00:29 URL blocking disabled.

Meine Frage: Wie kann ich das Ping-Flooding verändern? Ist an den Logs sonst noch etwas auffälliges? Das nervt ziemlich, wirklich. Ich bin schon total verzweifelt auf einer Lösung, finde aber nichts!
Den PC neuaufzusetzen würde auch nichts bringen - ist ja wohl kein Virus, oder? Und wenn hätte er ja auch auf das Netzwerk zugriff..?

Ich bitte um Hilfe!

Grüße,
Goldi

 

[knuF]

weiss nicht obs was bringt, aber generell solltest du erstmal nen eingehenden viren-check machen, dann auch nen modem/router reset (werkseinstellungen) und dann kannst mal deine interne ip wechseln.

 

[Marcel55]

Als erstes solltest du deinen Router für ein paar Minuten vom Netz nehmen, und zudem auch um 0 Uhr.
Danach hast du eine andere IP-Adresse, vielleicht hörts dann auf.
Wenn du eine feste IP hast ist das natürlich ein größeres problem, dann frag bei deinem Anbieter nach einer neuen IP.

 

[T.I.M.]

neben reset auch mal den router komplett trennen (vom netz) um die öffentliche ip zu wechseln falls noch nicht geschehen. falls ein reset nicht in frage kommt, alle portweiterleitungen schließen und einen evtl eigetragenen dyndns account entfernen.

 

[real_general]

Benutzt du einen DNS-Dienst?
Ansonsten müsster der Angreifer Malware auf deinem PC haben oder nach 24h ist Schluss.

 

[MasterMost]

Hast du eine Fest Ip die du vom Provider bekommst?

Wenn ja, dann forderst du am besten eine neue an.

Sieht aus als wenn da jemand Ahnung von dem hat was er macht, denn das scheint mit der 10er ein Privater Proxy zu sein. Fals keine Feste IP, muss es Spyware sein.

IANA Special Use
Comment: This block is used as private address space.
Comment: Traffic from these addresses does not come from IANA.
Comment: IANA has simply reserved these numbers in its database
Comment: and does not use or operate them. We are not the source
Comment: of activity you may see on logs or in e-mail records.
Comment: Please refer to http://www.iana.org/abuse/

geh am besten auf diese Seite und melde einen Verstoß.

 

[PeterW]

Enable WAN Ping Respond

Guck mal ob der Punkt in deinem Router deaktiviert ist. Vielleicht bringt das etwas.
Ansonsten muss ich MasterMost zustimmen.

 

[n3rd0r]

Sind noch mehrere Rechner in deinem Netzwerk? Ist dein WLAN verschlüsselt?

 

[Goldengate]

Herr

Danke schonmal für die vielen Antworten.
Ich bekomme eine feste IP vom Provider, richtig. Zumindest kann ich die nicht einfach wechseln. Aber innerhalb des Monats wo ich bei Unitymedia bin, hat sie schon 3 mal gewechselt.
Das Router vom Netz nehmen bringt demzufolge auch nichts, richtig?
Also ist das Flooden meiner IP, da fest, wohl sehr sehr einfach. Mist. Morgen mal bei UM anrufen und neue beantragen ...

Einen DNS-Dienst benutze ich (soweit ich weiß ) nicht.
Virencheck ist grad am durchlaufen. Mal gucken ob Panda Cloud wat findet..
Den Verstoß hab ich mal gemeldet.

Ansonsten, eventuell noch Vorschläge was zu tuen ist? Wäre echt dankbar.

Grüße!

 

[Cokocool]

Warum und woher? Ich weiß es nicht. Außer Leute von meinen CSS Servern zu kicken tue ich nichts was Leute verärgern könnte. :kratz:

Mehr Infos bitte. Private Leitung ? Statische oder feste Ip ? Sind Server und Pc hinter der gleichen IP verborgen ? Dyndns ?

Es gibt Leute, die es einem übel nehmen, wenn man sie kickt oder bant. Besonders blöd ist, wenn die Leute Zugang zu einem Botnetz haben. Damit terrorisieren sie dann ganze Communitys/Clans/Server. Ich habe das selbst mal bei einer Half-Life2 Modcommunity erlebt... Da hat jemand ständig die Spieleserver per DDOS angegriffen

 

[Kraligor]

Hat dein Router die Möglichkeit, externe Pings zu ignorieren?

 

[Goldengate]

Hab ne Private Leitung. Ist verschlüsselt, WPA2-Personal und AES. Hab, wie erwähnt, ne statische IP. Ich werds gleich nochmal reineditieren.

Habe aber das Gefühl, dass das ganze nicht bei CSS, sondern bei Modern Warfare 2 passiert ist. Das spiele ich auch zwischendurch. Dort hostet man die Server praktisch von seiner Leitung aus und lässt die Leute auf die eigene Leitung praktisch zugreifen. Wie genau das funktioniert weiß ich nicht, per Lobby-System, keine Dedicated Server - das erscheint mir ein bisschen logischer als CSS..

 

[Marcel55]

Hm Panda hört sich nicht gerade sehr Überzeugend an, lass lieber Kaspersky oder soetwas durchlaufen, gibt ja Testversionen.

Mit der festen IP bist du natürlich gefundenes fressen. Router von Netz nehmen könnte trotzdem sinn machen, wenn er keine Verbindung mehr bekommt denke er vielleicht du hats ne andere IP und lässt es

Edit:
Schau mal ob du Ports offen hast, was du zum Server erstellen eigentlich brauchst...
mach die mal Temporär zu, oder ändere den Port.

 

[Masamune2]

Also da die Pings von einer privaten IP kommen (10.0.0.0/8) kann da irgendwas nicht stimmen. Wenn dich jemand angreifen wollte wäre es auch sinnvoller UDP Pakete zu verwenden oder halb offene TCP Verbindungen stehen zu lassen.

Entweder hat der Angreifer keine Ahnung oder es ist was komplett anderes.... Schau mal das du von deinem Anbieter eine andere IP bekommen kannst, dann dürfte der Angreifer dich erst mal nicht mehr finden.

 

[PeterW]

Du kannst bei Kabelbetreibern deine IP wechseln, wenn du entweder die MAC Adresse vom Router änderst, einen anderen Router temporär benutzt oder deinen eigenen Router 24H vom Netz nimmst.
Zumindest funktioniert das bei KabelBW...

 

[NiThDi]

Wenn du deinen Router mehr als 11 Stunden vom Strom trennst, solltest du danach auch eine neue IP bekommen. Bei Unitymedia bekommst du (soweit ich weis) einen IP-Lease, der etwa 11h gültig ist. Danach landet die vergebene IP wieder im Pool und wird anderweitig vergeben -> du bekommst eine neue.
11 Stunden sind zwar nicht gerade kurz, aber wenn du das Modem über Nacht mal vom Strom nimmst und dann den Tag noch arbeiten gehst, sind die auch rum

Edit: Also nur ums noch mal klar zu machen: Bin mir bei den 11 Stunden nicht sicher, habe dass nur mal irgendwo aufgeschnappt.

 

[Goldengate]

Hm. Werde das mit dem Router mal versuchen. Ports hab ich alle mal gecuttet, UPNP deaktiviert.. Das zeug geht leider trotzdem weiter..

Apr 25 18:01:58 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Apr 25 18:01:31 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Apr 25 18:01:04 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Apr 25 17:59:13 PING-FLOODING flooding attack from WAN (ip:80.139.50.236) detected.
Apr 25 17:59:10 PING-FLOODING flooding attack from WAN (ip:80.139.50.236) detected.
Apr 25 17:59:07 PING-FLOODING flooding attack from WAN (ip:80.139.50.236) detected.
Apr 25 17:59:05 PING-FLOODING flooding attack from WAN (ip:80.139.50.236) detected.
Apr 25 17:59:03 PING-FLOODING flooding attack from WAN (ip:10.84.64.1) detected.
Apr 25 17:59:02 PING-FLOODING flooding attack from WAN (ip:80.139.50.236) detected.
Apr 25 17:59:01 PING-FLOODING flooding attack from WAN (ip:80.139.50.236) detected.

Hab noch ne Möglichkeit gefunden per Firewall was zu blocken, ich verstehe das ganze jedoch nicht wirklich:

http://www.abload.de/image.php?img=mh6iei.jpg

Nur: Was muss ich wo eintragen? Oben "seine" IP, und in den beiden Kästchen darunter? Und bei Port? Bin total überfordert.. meint ihr das würde etwas bringen?

Grüße

 

[wilbad]

wir hatten Das auch schon einmal das unsere Counter-Strike Source Server angegriffen wurden.
Das ist echt schlimm. Mach das was hier generell empfohlen wurde aber trotzdem check nochmal die Banlist wer gebannt wurde zu welchem Zeitpunkt und zu welchem Zeitpunkt die ersten eingriffe bei dir eingingen.
Nimm vielleicht mal Kontakt mit jemanden auf der Gebannt wurde ggfs. entbannen.


Vielleicht kannst du auch via Google etc. etwas über den absender der Mails rausfinden.

viel Glück und viele Grüße.

 

[NemesisFS]

was mich wirklich verwundert sind die floods von 10.x.x.x, in einem solchen netzwerk ist man eigentlich nur drin, wenn man vpn o.ä. aktiviert hat

 

[Goldengate]

Herr

Unitymedia sagt die Flooding Attacks von der 10.xxx kommen vom Modem - kann das sein?

Grüße