Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 22353 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN HACK ???

Arjan
Hi all, 

Today i discovered a possible hack attempt in my VPN connection.
I use the lastest version of astaro 5 (version 5.1)
As i do not exactly get what happened i will try to share it with you and maybe someone can help me with this ?

First i got an email (from ids) that there was a dictionary attack on mij server. The strange thing was that the attack was from my internal ip-numbers used bij the PPTP range !

After looking at the log files of the pptp i discovered that someone did have a connection for at least 9.5 minutes !!    

I will attach the log file maybe that someone has a explanation about this ??

a little part of the log file mentions: pppd-pptp[898]: Plugin /usr/sbin/aua.so loaded --> this worries me most

Thanx


This thread was automatically locked due to age.
53057-pptpd-2004-12-09[1].21h06m.zip
Parents
  • 0
    Obviously it's time to change your PPTP passwords.

    Which user was it?
    If the remote client is not secured, this would do it
    (that's why hardware token authentication is a much better way to go...).
  • 0 in reply to SecApp
    the strange thing is that it was no known user, it appears that someone connects gets a ipnumber and then tries to do some administrator hacks on port 139. There are only 2 users who have access to the PPTP connection (admin and myself)
    Also there are no logs which indicate that one of the two usernames are used. see my zip file posted in the first post.

    Also the report i got from ids is as followes:

    [1:2403:0] D NETBIOS SMB Session Setup AndX request unicode username overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1]:  {PROTO006} 10.100.125.2:3205 -> 10.100.100.3:139
Reply
  • 0 in reply to SecApp
    the strange thing is that it was no known user, it appears that someone connects gets a ipnumber and then tries to do some administrator hacks on port 139. There are only 2 users who have access to the PPTP connection (admin and myself)
    Also there are no logs which indicate that one of the two usernames are used. see my zip file posted in the first post.

    Also the report i got from ids is as followes:

    [1:2403:0] D NETBIOS SMB Session Setup AndX request unicode username overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1]:  {PROTO006} 10.100.125.2:3205 -> 10.100.100.3:139
Children
No Data
Unfiltered HTML