Wireshark trafikleriniz SOL'de nasıl? (Anormal trafik içerir) (Bilen Yardımcı olsun lütfen)

Arkadaşlar malum bağlı internetiniz üzerinden yapılan tüm iletişimi ücretsiz bir yazılım olan WiRESHARK programıyla anlık izleyebiliyorsunuz.

Geçenlerde merakımdan ofiste indirdim. Turksat abonesi olarak trafiği izlediğimde, saniyede 3-5 satır (bağlantıyı kullanma sıklığıma göre) trafik gördüm.

Eve gelince SOL aboneliğime bağlı PC üzerinden wireshark açtım, aman Allah'ım... Bu trafik, İstanbul trafiğinden beter.

Emin olmak adına, PC'deki tüm programları kapattım, temiz başlattım vs. Ama bu trafik hiç bir zaman son bulmadı.

Ben hiç bir işlem yapmasam dahi, bilgisayarım SOL'ün bazı ipleriyle sürekli iletişim kuruyor, hızını alamıyor yanıt vermeyen SOL iplerine el sallıyor.

Sanki makineyi SOL'e kiralamışım gibi deli deli tavırlar içerisinde :)

-İnternet mecrasından araştırma yaptım, örnek WS logları inceledim. Böylesini bir kaç kişide gördüm ve onlar da zaten "Anormal trafik" yakınmasıyla koymuşlar.

Evet şimdi bilen arkadaş beri gelsin, 3-4 dakikalık logum burada.

NE OLUYOR YAHU?

https://www.cloudshark.org/captures/6269aa871c25

Ben Wireshark'la bakmadım ama tüm cihazlar kapalı olsa bile modemin internet ışığı süreki yanıp sönüyor. Mutlaka bir yerlere bağlanıyor. Modemin içine bile takip sistemi yerleştirmişlerdir.

şirkette kablosuz bağlanmışsınızdır, ondan sadece seçili paketler gelmiştir.

bilgisayarınız dns sorgusu falan yapıyordur, tv+ varsa multicast paketleri vardır, diğer cihazlar bağlantılar kuruyordur onları görürsünüz, normaldir.

wireshark modemle superonline arasındaki paketleri yakalamaz, yani modemin icindeki "takip sistemi'ni" görmezsiniz.

paketleri görmedim ama ethernetinizden izledikleriniz modemden sizin tarafta sizin cihazların yarattığı trafiktir, size çok gelmiş olabilir ama normaldir.

tüm bunların üstüne işletim sistemlerinin de geri planda yaptığı bir sürü şey var.

widget güncelliyor,

ger planda da pek çok program da güncelleme yapıyor vs.

Şirkette kablolu bağlantı kuruyorum hocam.

Bilgisayarım sürekli olarak Turkcell merkezli ip'lere, TCP üzerinden iletişim kurmaya çalışıyor.

TV+ cihazım kapalı.

Modeme sadece 192.168.1.2 olarak tanımladığım cihaz (PC) bağlı, kablosuz router kapalı.

Modemin içini gördüğümü düşünmüyorum, gördüğüm şey PC ile Turkcell arasında süre gelen TCP çılgınlığı.

Paketler upload ettim hocam, vaktiniz olursa bakarsınız Wireclouddan.

• Bir arkadaşımız windows güncelleme ve haberleşme içindedir demiş, Windows'um modlu. İşletim sistemi üzerinde dış bağlantılarla iletişim ihtiyacı güden sistem dinamiği sayısı neredeyse çok az.
• Wireshark açık iken, görev yöneticisi, görev zamanlayıcısı gibi kontrol yazılımlarından, her şeyi kapatarak (işletim sistemi ihtiyaçları hariç) deneme yaptım.

dosya public değil, dropbox vs varsa bakim.

Pardon hocam, atlamışım o detayı. Buyrun public şuan.

iyiki paylaşmıssınız. hızlıca baktım ama smb (disk) paylaşımınız internete açık gibi? port yönlendirme mi yaptınız? kullanıcı adı şifreler deneniyor sürekli. ip adresleri de farklı hep.

router üzerinde disk paylaşıp internete açsanız bile, bu ip adreslerin direk bilgisayarınıza bağlanamaz. yaptığınız özel ayar var mı?

(bu kadar farklı ip adresinin bağlanması, tahminim netbios'da internet'e açık, discover eden windows bilgisayarlar default u/p ile deneyip eklemeye çalışıyor)

Hocam merhaba, port yönlendirmem yok. Hiç bir işlem yapmadım bugüne kadar.

İnternet bağlantısı anlamında sadece Superonline router'a bu forumda önerilen bir firmware atmıştım. Bunun dışında, modem üzerinde ek ayarlarım yok. Sadece bir kaç oyun için açtığım portlar var.

Bu konuda uzman bir arkadaşsınız sanırım. Pek önemli verilerim yok ama yine de neler yapabilirim? Vaktiniz olursa yardımcı olur musunuz?

Hocam SBM kapalıymış. Disk paylaşımlarım kapalı.

Oyun için açtığım bir kaç port vardı, kapattım.

Netbios'u regedit ve sair yerlerden kapattım.

Şuan Root taramaları yapıyordum, root buldu.

Analiz kısmından paketleri taratın.Yüzeysel bir taratmayla bile exploit şüphesi olan paketler buldu :

bende neden local değil remote olarak 445 bağlanıyor diyordum (gece gece yanlış okuyorum heralde demiştim), sizin bilgisayar diğer superonline kullanıcılarına saldırıyormuş. üstteki link detaylı açıklıyor.

https://www.cloudshark.org/analysis/6269aa871c25/endpoints?ladder=true

Mahallenin yaramaz çocuğu gibi makine... Gelene gidene laf atıyor   

Şuan format atıyorum bilgisayara. Bu bilgisayarda dışardan hiç bir "anormal" yazılım, iş vs yapılmaz. Sadece oyun oynadığım, oyun ve araçlarını kurduğum bilgisayar.

Gerçekten şaşırtıcı...

Gece boyu taramalar yaptım, biraz kesebildim önünü sanırım. Ama format atıp göreceğim devamını. Bilgisayar mı saldırıyor, modem mi saldırıyor, ne oluyor çözmeye çalışacağım.

Yeni logum

https://www.cloudshark.org/captures/fbc889f3c527

modem saldırmaz, windows güncellemeleri kapalı olduğu için açık vermiş, başkalarına da bulaştırmaya çalışıyor.

https://www.avast.com/c-eternalblue

güzel anlatmışlar.

Windose güncel olmadığı ve SMBv1 kullandığın için Eternalblue xploiti yemişsin...

Ya Smbv1'i kapat yada Windoseu güncelle...

Smbv1 tarih oldu kullanılmıyor artık LAN dışında...

SBMv1 doğal yollarla açık geldiği için ve bu exploitten haberim olmadığı için haliyle kurban olduk   Yardımlarınız için teşekkür ederim.