Internet door Ziggo geblokkeerd

Je zegt dat je modem in bridge mode staat en daar achter hangen apple producten. Nu ken ik die apple producten niet zo goed, maar begrijp ik het goed dat er helemaal geen router/firewall tussen hangt? Als dat zo is, dan zou dat niet best zijn :o en snap ik wel dat je geblokkeerd wordt.

Als er wel een router tussen hangt, heb je poorten ge-forward naar je raspberry's? Dat zou een probleem kunnen zijn. Je geeft dan het hele internet toegang tot die dingen.
Als de software die daar op draait niet goed is ingesteld, of verouderd dan kan daar misbruik van worden gemaakt.

Als je er van buiten af bij wilt kunnen, dan zou je eigenlijk met een eigen VPN server moeten werken en niet direct poorten forwarden. Dat kan lastig zijn om op te zetten maar is wel het veiligst.
En in ieder geval zorgen dat de software die op de raspberry draait up to date is, ook het OS.
 
Mijn apple timecapsule fungeert als router en verzorgt wifi (met hierachter drie airports). Ik heb voor 1 raspberry (bedraad aangesloten) drie poorten geforward: 443, 8080 en 22. Deze forwarding zal ik direct verwijderen. De software is actueel en update (middels apt-get update en apt-get dist-upgrade) ik regelmatig. Is dit de mogelijke oorzaak?
 
Is dit de mogelijke oorzaak?

Mogelijk.. fijn dat Ziggo daar ook zo duidelijk over is (not).
Ik gok ook maar wat, maar kan het zijn dat er nog standaard accounts openstaan op de rasp pi? Dan zou men via port 22 kunnen SSH-en.
Wellicht dat de beveiligings systemen van Ziggo daar een lek hebben gevonden door in te loggen met standaard username/password en het dan aanmerken als gevaar.

Aan de andere kant, bij hoeveel mensen zal dit wel niet het geval zijn? Dus misschien is het ook wel iets totaal anders. Je kunt het in ieder geval eens proberen om dicht te zetten.

Mijn apple timecapsule fungeert als router en verzorgt wifi
...
De software is actueel en update (middels apt-get update en apt-get dist-upgrade) ik regelmatig.
:6
 
Ik ben blij dat je wat hulp hebt gekregen van Ziggo en de log files.

De mogelijke oorzaak is lastig vast te stellen op afstand maar ik zou beginnen met je iot spul uit te zetten en opnieuw te installeren. (je raspberry pi dus) Verder zet de poorten dicht, als er geen reden is om poorten open te zetten moet je dat ook niet doen. Het is beter een VPN te gebruiken.

Volgens de logfiles doet er iets vanaf jou IP een attack op een webserver (apache) ik zie geen verwijzing naar Ubuntu overigens. Maar het lijkt er op dat een apparaat binnen jou netwerk malware bevat en mogelijk op afstand te bedienen is dus stel jij gooit die poorten dicht wil dat niet zeggen dat ze er niet meer bij kunnen. Vandaar dat je systematisch te werk moet gaan en als je denkt dat het probleem is opgelost Ziggo even laten checken.

Dat je modem in bridge staat zou ik persoonlijk niet doen of er moet een goede reden voor zijn. je had net zo goed het modem de router kunnen laten spelen (NAT) en dan kun je alsnog die time capsule inzetten voor je wifi netwerk als je dat wilt.

Kijk als je moet het als volgt zien, Of de bad guys hebben een portscan gedaan en kwamen er achter dat er diverse zaken open stonden en jou apple capsule of rpi een bepaalde kwetsbaarheid had en ze daarvan gebruik hebben gemaakt of middels een zwak wachtwoord. Of je hebt zelfs verkeerd gedaan en een client-pc/mac besmet.

Het is in alle gevallen belangrijk alle software up2date te houden en sterke wachtwoorden te gebruiken, zet je modem in router stand en houd poorten dicht of je moet echt weten wat je doet en ga systematisch zoeken. Dingen die j verdenkt moet je volledig opnieuw inrichten/instellen etc.
 
Ik dacht na het lezen van het laatste bericht: heb ik iets gemist?
Niet dus, lees nergens in de laatste berichten dat Ziggo de TS te hulp is geschoten zodat de laatste berichtgeving nogal verwarrend overkomt.
 
…drie poorten geforward: 443, 8080 en 22. Deze forwarding zal ik direct verwijderen.
Van poort 22 is bekend dat een apparaat achter die poort elke paar minuten een aanval krijgt. Er zijn sites, zoals Shodan, die een database aanleggen van alle IP adressen met een open poort 22. Hackers hoeven dan alleen die lijst met IP adressen af te lopen. Deze poort is zo interessant omdat een lek bij deze poort direct controle over het apparaat geeft.
 
Ik dacht na het lezen van het laatste bericht: heb ik iets gemist?
Niet dus, lees nergens in de laatste berichten dat Ziggo de TS te hulp is geschoten zodat de laatste berichtgeving nogal verwarrend overkomt.
Dat vroeg ik me ook al af, maar vermoedelijk heeft meneer t. de volgende zin niet zo goed begrepen:
.... fijn dat Ziggo daar ook zo duidelijk over is (not).
 
Ik dacht na het lezen van het laatste bericht: heb ik iets gemist?
Niet dus, lees nergens in de laatste berichten dat Ziggo de TS te hulp is geschoten zodat de laatste berichtgeving nogal verwarrend overkomt.

Nou ja in zoverre, hij heeft nu de log file waaruit blijkt wat er gebeurt vanaf zijn internet lijn, dat is een start punt. Verder heeft hij nu een direct lijntje met webcare en dat beschouwd ik als hulp. Die kunnen bijv. laten kijken of er nog verdacht verkeer plaats vindt.

Ik snap dat het niet ideaal is maar als IT-er begrijp ik ook hoe lastig dit soort dingen kunnen zijn. Daarom probeer ik hem algemeen advies te geven.

Wat Rene schrijft "Mogelijk. Fijn dat Ziggo daar ook zo duidelijk over is (not)" Ik denk niet dat Ziggo zo kan zien welk apparaat bij TS deze problemen veroorzaakt. Maar ik zou gewoon zeggen, zet alles maar 1 voor 1 uit desnoods...

@Briolet, je kunt wel een heel verhaal over ssh (port 22) beginnen maar er zijn miljoenen hosts die port 22 publiek beschikbaar draaien, zolang je weet wat je doet (fail2ban, keypair authentication) is het allemaal niet zo'n probleem. Maar een simpele consument kan poorten beter dicht houden.
 
Het is mij ook niet helemaal duidelijk, maar volgens mij is die log file ook niet van Ziggo maar van remko20000 zelf.
Code:
The IP xxxxxxxx has just been banned by Fail2Ban after
6 attempts against apache-attack.
Dat lijkt mij meer fail2ban die op de raspberry pi draait. Kan me niet voorstellen dat Ziggo 'fail2ban' gebruikt als firewall. Correct me if I'm wrong.
 
Laatst bewerkt:
Nee logfile heb ik van abuse gehad. Is niet van mij zelf (heb alleen ip vervangen maar niet consistent zag ik later). Ik heb dus ook geen idee waar die fail2ban vandaan komt. Ik dacht iets bij ziggo maar net als de rest van de regels......het zegt mij weinig.
 
Terug
Bovenaan