Internet door Ziggo geblokkeerd

Ah, ik denk dat de 'tegen partij', in dit geval kazzano.es, jouw IP adres is tegen gekomen in hun fail2ban logs.
Deze hebben ze kennelijk naar Ziggo abuse gestuurd en Ziggo stuurt dit nu weer door naar jou. Het wordt steeds duidelijker.

Maar dan blijft de vraag welk systeem bij jou is geïnfecteerd of wordt misbruikt.
 
dit verduidelijkt het inderdaad enigzinds. Als ik kijk naar mogelijk boosdoeners dan lijkt mij dit alleen 1van de twee raspberry's te kunnen zijn die eigenlijk altijd aan staan. Daar staat domoticz op met een uitgebreide configuratie. Cleaninstall is allicht het beste maar dan is het voor de toekomst nog niet gezegd dat het dan niet meer gebeurd en ben ik mijn complete configuratie kwijt (backup zou ook de malware terug kunnen zetten?). Ik zou liever achterhalen welke van de twee raspberry's het is en hoe ik deze malware kan verwijderen. Wat zou hier een stappenplan in kunnen zijn? Is dit te scannen (zonder internet)?
 
dit verduidelijkt het inderdaad enigzinds. Als ik kijk naar mogelijk boosdoeners dan lijkt mij dit alleen 1van de twee raspberry's te kunnen zijn die eigenlijk altijd aan staan. Daar staat domoticz op met een uitgebreide configuratie. Cleaninstall is allicht het beste maar dan is het voor de toekomst nog niet gezegd dat het dan niet meer gebeurd en ben ik mijn complete configuratie kwijt (backup zou ook de malware terug kunnen zetten?). Ik zou liever achterhalen welke van de twee raspberry's het is en hoe ik deze malware kan verwijderen. Wat zou hier een stappenplan in kunnen zijn? Is dit te scannen (zonder internet)?

Nee doe dit niet ! Regel nummer 1 is een clean install doen ALTIJD want je weet niet wat ze geinstalleerd hebben. Configuratie bestanden kun je zo backuppen, in de Linux scene zijn dat eigenlijk altijd tekst bestanden.

Verder ligt het aan jou of het nog een keer gebeurd.. als je doet wat ik eerder heb aangeraden, modem als router instellen, en niet zomaar poorten open zetten is de kans nihil.
 
Als je poort 22 aan de buitenkant openzet zorg er dan voor dat je alleen kan inloggen op basis van keys en dat je een useraccount moet gebruiken ipv root. root login uitschakelen in /etc/ssh/sshd_config. Kleine moeite maar wel een (heel) groot plezier.
Kan uiteraard nog steeds mis gaan maar de kans is ietwat afgenomen. ;)
 
1.) zonder MAC address zal je nooit weten welk device verantwoordelijk is.
2.) er is vanaf een device, vanuit een browser, zes keer geprobeerd in te loggen op een WordPress account, met een foutief wachtwoord, en toen volgde er een ban na een scan van Fail2Ban.

Dit is een duidelijk overdreven reactie. En het is niet de eerste keer dat iemand hiervan de dupe is geworden!

En dan dit nog even...Een hacker kan zowel het MAC address als het IP nummer faken, en die stomme log file zal het nooit merken.
 
1.) zonder MAC address zal je nooit weten welk device verantwoordelijk is.
2.) er is vanaf een device, vanuit een browser, zes keer geprobeerd in te loggen op een WordPress account, met een foutief wachtwoord, en toen volgde er een ban na een scan van Fail2Ban.

Dit is een duidelijk overdreven reactie. En het is niet de eerste keer dat iemand hiervan de dupe is geworden!

1. Een MAC address gaat niet over internet dus die kan men niet zomaar uitlezen.
2. Hij schreef: "in de logfile kom ik heel veel regels tegen zoals onderstaand" dus dat was maar 1 log regel van velen dus de reactie is niet overdreven!

Alleen ze moeten het anders aanpakken, ipv offline te gooien zonder enige informatie liever isoleren naar een apart netwerk met informatie pagina als je een browser opent (captive portal) met de melding. Via uw aansluiting wordt actief malware verspreid, uw internet aansluiting is tijdelijk afgesloten, neemt u zsm contact op met de Ziggo helpdesk op xxx en vermeldt het volgende nummer xxx. En dan uiteraard intern afspraken maken dat een klant de juiste personen aan de telefoon krijgen die genoeg kennis hebben om de klant in de goede richting te wijzen.

Wat ik eerder suggereerde.. de simpelste methode is apparaat voor apparaat uitzetten en kijken wanneer het ophoudt.
 
1.) zonder MAC address zal je nooit weten welk device verantwoordelijk is.

Voor dat mac adres heb je een router nodig die al het uitgaande verkeer kan loggen. De meeste ziggo routers hebben niet genoeg geheugen om dit allemaal te loggen. Mijn Ubee kan dit wel naar een syslogserver sturen. (Wat ik doe)
Maar zonder internet kun je dit niet alsnog gaan testen.
2.) er is vanaf een device, vanuit een browser, zes keer geprobeerd in te loggen …
Dit is een duidelijk overdreven reactie. En het is niet de eerste keer dat iemand hiervan de dupe is geworden!
Het ligt er aan wat het doel van die site is. Het kan ook een honeypot site zijn. Dat is een site die helemaal geen gebruikers kent die mogen inloggen. Als daar toch iets op probeert in te loggen, weet je dat dit kwaardaardig is want er zijn geen reguliere gebruikers die een tikfout maken.
 
Voor dat mac adres heb je een router nodig die al het uitgaande verkeer kan loggen. De meeste ziggo routers hebben niet genoeg geheugen om dit allemaal te loggen. Mijn Ubee kan dit wel naar een syslogserver sturen. (Wat ik doe)
Maar zonder internet kun je dit niet alsnog gaan testen.

Gaat erom dat diegene die is 'aangevallen' geen MAC adres kan leveren van het apparaat wat hem 'aanvalt'. Mac adressen spelen zich af op op laag 2 (je LAN).
 
1. Een MAC address gaat niet over internet dus die kan men niet zomaar uitlezen.
2. Hij schreef: "in de logfile kom ik heel veel regels tegen zoals onderstaand" dus dat was maar 1 log regel van velen dus de reactie is niet overdreven!

Alleen ze moeten het anders aanpakken, ipv offline te gooien zonder enige informatie liever isoleren naar een apart netwerk met informatie pagina als je een browser opent (captive portal) met de melding. Via uw aansluiting wordt actief malware verspreid, uw internet aansluiting is tijdelijk afgesloten, neemt u zsm contact op met de Ziggo helpdesk op xxx en vermeldt het volgende nummer xxx. En dan uiteraard intern afspraken maken dat een klant de juiste personen aan de telefoon krijgen die genoeg kennis hebben om de klant in de goede richting te wijzen.

Wat ik eerder suggereerde.. de simpelste methode is apparaat voor apparaat uitzetten en kijken wanneer het ophoudt.

Helemaal mee eens. Drie weken geleden dit ook gehad en een week afgesloten geweest. Na een week weer het geval. Nu wist ik ondertussen wat ik moest doen dus dezelfde dag weer aangesloten. Ik kreeg het verhaal te horen dat er spam werd verstuurd maar de medewerkster die ik de 2e keer aan de lijn kreeg kon mij vertellen dat dat een algemene opmerking is. Het kan ook iets anders zijn. Als je een VPN hebt en die gebruikt op een gegeven moment een ip adres wat bekend staat dat daar vanaf spam wordt verstuurd dan wordt je ook afgesloten.
Mijn zoon heeft ook een Raspberry draaien als server en ik verdenk die ook ervan. Hij is in contact met de abuse afdeling om te kijken of het daaraan ligt en hoe hij die kan blijven gebruiken. Ben benieuwd en laat het weten.
 
Ter verduidelijking:

1.) Zonder het MAC address weet de OP niet welk device er op zijn LAN verbinding maakt, of probeert te maken met die site. Als er malware op een van die devices staat, dan is het aannemelijk dat die verbinding probeert te maken. Dus moet de OP uitzoeken welk device dat is. Er is plenty gratis software die daarbij kan helpen.

2.) het zou kunnen dan derden zijn IP# hebben misbruikt, maar het kan maar zo een simpele link zijn, of een vorm van XSS is.

Zelfs het OM heeft geen poot om op te staan wanneer er alleen een verdacht IP# is. Ook dan is aanvullend onderzoek nodig voor de bewijsvoering.
 
Laatst bewerkt:
Terug
Bovenaan