Afsluiting van Ziggo door relay server - Internet en hosting

dinsdag 24 november 2009 09:38

Acties:

Topicstarter

Enkele weken geleden hadden we opeens geen internet meer. Dit komt bij onze internetprovider Ziggo wel eens vaker voor. Dus weer eens de helpdesk gebeld maar deze keer duurde het oplossen langer dan normaal. Bleek naar meer dan een uur dat ze ons wegens abuse hadden afgesloten.

Ze raadden ons aan om alle pc’s los te halen uit het netwerk en antivirussoftware te laten draaien. Dit heb ik gedaan op onze (in totaal 8 pc’s). Enkele kleine dingetjes (wat spyware) gevonden. Dit doorgegeven aan Ziggo. Na enkele dagen draaide het internet weer prima. Tot gisteren. Wederom verbannen wegens abuse. Inmiddels ook met TheDude de pc’s in het netwerk afgezocht op zoek naar een SMTP server maar die hebben we geen aangetroffen.

Opnieuw contact gehad met de helpdesk. Ze hebben ons nu voor een week afgesloten. Dit gaat exponentieel oplopen als na de week blijkt dat er nog steeds spam via ons ip wordt verstuurd. Ziggo adviseert onder professionele begeleiding alle pc’s te formatteren en helemaal overnieuw te beginnen.

Aangezien dat met negen PC’s nogal een opgave is, wil ik deze case eerst hier even neerleggen. Kijken of wij alles hebben gedaan wat mogelijk was en of we niets over het hoofd hebben gezien. Ik ben dus niet op zoek naar andere 'verhalen' over ziggo maar vooral naar constructieve tips om dit probleem op te lossen.

Info
-8 pc’s in het netwerk, draaiende op XP of Vista
-We draaien geen server, geen exchange o.i.d. Gewoon via een router een gedeelde internetverbinding
-Alle pc’s draaien allemaal de laatste versie + update van Avira virusscanner
-Firewall staat op alle pc’s aan.
-TheDude vindt geen SMTP server in het netwerk

dinsdag 24 november 2009 09:44

Acties:

Pinooo

misschien iemand die meelift op wifi?

check anders de logging in je router/firewall

dinsdag 24 november 2009 09:45

Acties:

SpamLame

niks

Hoe kom je tot het de conclusie dat het een SMTP?open relay server zou moeten zijn?
Heeft Ziggo dit aangegeven?
If so, hebben ze een header van die mails, als ik me niet vergis staat daar nl het afzender ip in welke je herleiden kan naar de interne computer die ze verstuurt.

dinsdag 24 november 2009 09:46

Acties:

Jaap-Jan

Om spam te versturen heb je niet per sé een smtp server nodig, maar een smtp client. Ik zie dat relayverhaal niet terugkomen in je post, maar is het echt een open relay, of gewoon het sturen van spam?

Kun je op de router de connecties loggen op poort 25 uitgaand?

| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett

dinsdag 24 november 2009 09:50

Acties:

Frostbite

🤦🏻‍♂️

Kan je er geen proxy server (op linux basis) tussen gooien met een goede firewall die verkeerde dingen tegenhoud en jouw mailt.

Zo kun je bij Ziggo aantonen dat alles via een proxy gaat en dat alles gescand wordt voor het naar buiten gaat.

Maar volgens mij kan het zo zijn dat als iemand je maar plaatst op een zwarte lijst je ook redelijk snel geblocked wordt.

dinsdag 24 november 2009 09:50

Acties:

dottie

Topicstarter

@Pinooo: Het is niemand die meelift op de wifi. We wonen nogal in een buitengebied waar geen huizen binnen het bereik van het wifi signaal staan.

@SpamLame en JanJaap: Ziggo constateert het verzenden van spam en suggereert de aanwezigheid van een open relay in een begeleidende brief. Dat van de header is een goede tip. Daar ga ik even naar informeren.

@Sc0rPi0N: ok, dit zou mijn netwerkkennis te boven gaan (ik ben geen IT'er) maar het is zeker een optie. Dit zou ik onder professionele hulp verstaan

[ Voor 17% gewijzigd door dottie op 24-11-2009 09:52 ]

dinsdag 24 november 2009 09:52

Acties:

Arie-

Ik heb enzelfde probleem gehad in mijn eigenstudenten huis, wat ik gedaan heb: Alle uitgaande verbindingen op poort 25 blocken EN loggen, die log werd ge-e-maild naar mijzelf. Als iemand mailt zonder dat hij/zij daar zelf wat van weet belanden de logs in je mailbox en sluit je deze zelf handmatig af van al het internet verkeer, komen ze vanzelf naar je toe. Als iemand niet kan e-mailen wat wel belangrijk is, zoek het ip-adres van de mailserver die deze persoon wil gebruiken op en zet deze op een whitelist.
Bescherming van de eigen computers is de verantwoordelijkheid van elke student zelf bij mij in huis: daar ga ik geen moeite voor doen, maar als het huis wordt afgesloten door één gebruiker heeft iedereen een probleem. Ik ontzeg abuse bij mij in huis toegang tot het gehele internet tot ze de zaken op orde hebben, en daar wil ik dan best bij helpen.

dinsdag 24 november 2009 09:52

Acties:

FireAge

Gooi in je router alle uitgaande poorten dicht die je niet nodig hebt.
Plaats een server ipv je router en log al het uitgaande verkeer. (tenzij je router dit kan)
Kijk of je hier iets kan vinden: http://probemyports.com/
Vraag om bewijs bij Ziggo dat het inderdaad bij jou weg komt.
Fake je mac-adres in je router zodat je een nieuw ip krijgt van Ziggo.

dinsdag 24 november 2009 09:57

Acties:

dottie

Topicstarter

tnx voor alle snelle reacties. First things first:

- ik ga bellen met Ziggo voor een header van de mails als bewijs en intern IP adres als tip van SpamLame
- een automatiseringsbedrijf inschakelen want ik merk dat dit me dadelijk toch echt boven de pet gaat. Zoals ik al zei, ik ben geen IT'er dus ik kan bovenstaande tips goed gebruiken en ook nog wel in perspectief plaatsen. Uitvoeren wordt al iets riskanter.

dinsdag 24 november 2009 10:01

Acties:

Arie-

In welke context moet ik deze locatie met 9 systemen zien? Als het een professionele organisatie is, is het mijn inziens al misgegaan toen er spyware/virussen etc. op de systemen zijn belandt zonder dat men dat heeft weten te voorkomen/heeft weten achter te komen/heeft weten te verwijderen. In dat geval zou ik zeker een automatiseringsbedrijf er goed naar laten kijken. Het is zelfs Ziggo geweest, een externe partij, die het heeft moeten melden.

[ Voor 10% gewijzigd door Arie- op 24-11-2009 10:01 ]

dinsdag 24 november 2009 10:03

Acties:

Paultje3181

Stel de firewall in je router wat strenger in (blokkeer poort 25 bijvoorbeeld) en zeg dat je alle pc's opnieuw geinstalleerd hebt. Dat is bij mij genoeg gebleken voorheen (in studentenhuis).

Interne headers is altijd handig, maar ik vraag me af of ze die geven.

dinsdag 24 november 2009 10:15

Acties:

Speed24

dottie schreef op dinsdag 24 november 2009 @ 09:57:
tnx voor alle snelle reacties. First things first:

- ik ga bellen met Ziggo voor een header van de mails als bewijs en intern IP adres als tip van SpamLame
- een automatiseringsbedrijf inschakelen want ik merk dat dit me dadelijk toch echt boven de pet gaat. Zoals ik al zei, ik ben geen IT'er dus ik kan bovenstaande tips goed gebruiken en ook nog wel in perspectief plaatsen. Uitvoeren wordt al iets riskanter.

Je zou een pc met M0n0wall kunnen gebruiken als firewall. Dit is nog wel zelf te beheren, hier krijg je ook een logging-functie bij.

http://m0n0.ch/wall/

En je kan ook alvast een aantal verdachte pc's herinstalleren. Niet alle virussen zijn goed te verwijderen, een clean install van een aantal pc's is dan alvast een begin.

dinsdag 24 november 2009 10:42

Acties:

Sypher

Persoonlijk zou ik niet-ITers niet zo snel m0n0wall aanraden maar eerder Astaro.

Een scan via Housecall of via Symantec zou ik sowieso ook even doen. Desktopscannertjes missen nog wel eens wat.

[ Voor 3% gewijzigd door Sypher op 24-11-2009 10:43 ]

dinsdag 24 november 2009 10:45

Acties:

SpamLame

niks

Speed24 schreef op dinsdag 24 november 2009 @ 10:15:
[...]

Je zou een pc met M0n0wall kunnen gebruiken als firewall. Dit is nog wel zelf te beheren, hier krijg je ook een logging-functie bij.

http://m0n0.ch/wall/

En je kan ook alvast een aantal verdachte pc's herinstalleren. Niet alle virussen zijn goed te verwijderen, een clean install van een aantal pc's is dan alvast een begin.

Als je dat doet moet je er wel rekening mee houden dat die geinfecteerd kunnen worden door andere pc's in je netwerk. Haal het netwerk touwtje los en zorg voor een goed anti virus en firewall pakket met degelijke instellingen.

dinsdag 24 november 2009 10:51

Acties:

Verwijderd

Ik zou even een professional in huis halen. Een virusscanner is geen garantie dat er geen virus is (of rootkit). Hun constateren dat je spam verstuurt, dit zal dus wel ergens op gebaseerd zijn. Gewoon de firewall hoger instellen is dus geen oplossing voor het probleem, het virus blijft dan immers aanwezig en weet jij veel wat die nog meer doet (creditcard nummers loggen?).

dinsdag 24 november 2009 10:56

Acties:

3wielerdealer

Sypher schreef op dinsdag 24 november 2009 @ 10:42:
Persoonlijk zou ik niet-ITers niet zo snel m0n0wall aanraden maar eerder Astaro.

Een scan via Housecall of via Symantec zou ik sowieso ook even doen. Desktopscannertjes missen nog wel eens wat.

Housecall en die scan van Symantec zijn toch online scanners?
Volgens mij waren ze afgesloten van het internet.

dinsdag 24 november 2009 11:01

Acties:

Sypher

3wielerdealer schreef op dinsdag 24 november 2009 @ 10:56:
[...]

Housecall en die scan van Symantec zijn toch online scanners?
Volgens mij waren ze afgesloten van het internet.

Je hebt gelijk

Maar als ze weer aangesloten zijn zou het kunnen. Maar dan wel één computer tegelijk, zodat je het risico kunt beperken..

dinsdag 24 november 2009 11:48

Acties:

Verwijderd

Ik heb zelf in het abuseteam van Ziggo gezeten, dus ik ken deze problemen goed.
Als er grote hoeveelheden e-mail wordt verstuurd of specifieke phishingmail, dan wordt je automatisch afgesloten op basis van ip-adres.
De abusemedewerker krijgt een melding en zoekt met het ip-adres en de datum/tijd de klant op en sluit deze af. Er wordt een afsluitbrief verstuurd en een melding in het systeem gezet, zodat de collega's weten waarom iemand is afgesloten.
Als iemand meld dat de pc weer virusvrij is, dan wordt de klant direct weer aangesloten.
Als de pc weer spam gaat versturen, dan wordt de pc voor een week afgesloten, ongeacht of de pc virusvrij is.
Als de pc na weer te zijn aangesloten, weer spam verstuurd, dan wordt de pc voor een maand afgesloten.

De kans is overigens zeer groot, dat de pc of meerdere computers in een botnet zit.
Deze trojans worden meestal niet door een virusscanner gevonden, omdat deze regelmatig worden geupdate.
Ik zou zelf geen risico nemen en alle computers formatteren om elk risico te vermijden.
Daarna alle wachtwoorden veranderen en hopen dat er geen gevoelige informatie op één van de computers heeft gestaan.
Creditcardnummers en dergelijke worden meestal al snel gevonden en doorgestuurd.
Ik neem aan dat de router beveiligd is met WPA2 en een wachtwoord van minimaal 12 tekens?

dinsdag 24 november 2009 15:39

Acties:

radeoxx

Verwijderd schreef op dinsdag 24 november 2009 @ 11:48:
Ik heb zelf in het abuseteam van Ziggo gezeten, dus ik ken deze problemen goed.
Als er grote hoeveelheden e-mail wordt verstuurd of specifieke phishingmail, dan wordt je automatisch afgesloten op basis van ip-adres.
De abusemedewerker krijgt een melding en zoekt met het ip-adres en de datum/tijd de klant op en sluit deze af. Er wordt een afsluitbrief verstuurd en een melding in het systeem gezet, zodat de collega's weten waarom iemand is afgesloten.
Als iemand meld dat de pc weer virusvrij is, dan wordt de klant direct weer aangesloten.
Als de pc weer spam gaat versturen, dan wordt de pc voor een week afgesloten, ongeacht of de pc virusvrij is.
Als de pc na weer te zijn aangesloten, weer spam verstuurd, dan wordt de pc voor een maand afgesloten.

De kans is overigens zeer groot, dat de pc of meerdere computers in een botnet zit.
Deze trojans worden meestal niet door een virusscanner gevonden, omdat deze regelmatig worden geupdate.
Ik zou zelf geen risico nemen en alle computers formatteren om elk risico te vermijden.
Daarna alle wachtwoorden veranderen en hopen dat er geen gevoelige informatie op één van de computers heeft gestaan.
Creditcardnummers en dergelijke worden meestal al snel gevonden en doorgestuurd.
Ik neem aan dat de router beveiligd is met WPA2 en een wachtwoord van minimaal 12 tekens?

Waarom precies minimaal 12 tekens? Dit heb ik thuis zelf niet, vind ik interessant.

SUZ-SWM80VA2 + ERSD-VM2D + DJG 200 WPS - Tibber uitnodiging x34450jb

dinsdag 24 november 2009 15:56

Acties:

Verwijderd

Ondertussen is het zelfs 14 tekens (misschien zelfs wel 15). Dit vanwege WPA rainbow tables. Zelfde geldt overigens voor wachtwoorden onder de 15 tekens in verschillende hash functies.

Oftwel: passwords zijn niet meer afdoende, gebruik een passphrase en je zit voorlopig nog veilig. Tenzij je passphrase een collision heeft met iets onder de 15 tekens.

dinsdag 24 november 2009 17:26

Acties:

dottie

Topicstarter

Dank je wel voor de uitgebreide suggesties.

Inmiddels contact gehad met Ziggo. Zij geven geen headers aangezien deze volgens hun info niet meer info bevatten dan het Ziggo-IP op het moment dat de mails via ons modem het web op gaan.

Inmiddels een professioneel bedrijf ingeschakeld om dit probleem op te lossen. Mochten er ontwikkelingen/oplossingen zijn, meld ik me weer.

dinsdag 24 november 2009 17:50

Acties:

Verwijderd

dottie schreef op dinsdag 24 november 2009 @ 09:50:
@Pinooo: Het is niemand die meelift op de wifi. We wonen nogal in een buitengebied waar geen huizen binnen het bereik van het wifi signaal staan.

We hebben in Nederland een veroordeling gehad van iemand die zich schuldig maakte aan wardriven om spam te versturen. Die persoon zocht per auto naar bedrijfsterreinen waar een kwetsbaar wifi punt was. Stond daar een tijdje, deed spamrun en reed weer vrolijk door naar huis of een ander slachtoffer.

Wat ik er maar mee wil zeggen: geen buren hebben is geen garantie dat er niet op de verbinding kan worden meegelift.

dinsdag 24 november 2009 18:49

Acties:

SpamLame

niks

dottie schreef op dinsdag 24 november 2009 @ 17:26:
Dank je wel voor de uitgebreide suggesties.

Inmiddels contact gehad met Ziggo. Zij geven geen headers aangezien deze volgens hun info niet meer info bevatten dan het Ziggo-IP op het moment dat de mails via ons modem het web op gaan.

Inmiddels een professioneel bedrijf ingeschakeld om dit probleem op te lossen. Mochten er ontwikkelingen/oplossingen zijn, meld ik me weer.

Dacht even dat ik me vergist had, maar naar in mijn eigen mailclient gekeken te hebben kan ik stellen dat het interne adres er ook in staat. zie vb plaatje, laatste regel na HELO

dinsdag 24 november 2009 21:04

Acties:

JefSnare

Volgens mij is de poorten dichtgooien de beste oplossing en anders even een weekje één computer op de aansluiting gooien en dan controleren wat er allemaal gebeurt. Waarschijnlijk stuur je veel data (e-mail o.i.d.) en valt dit op bij het abusecenter. Wij zijn er een keer afgegooid na het versturen van de jaarlijkse nieuwsbrief (3MB) naar 134 e-mail adressen. Je zou dus ook even kunnen kijken (in je router of per computer) of er veel netwerkverkeer wordt gegeneerd.

Jammer dat Ziggo zo snel een conclusie trekt en je van het web af haalt want zo hoeft het niet te gaan. In geval van echte problemen kunnen ze toch wel een monteur langs sturen om te debuggen.

offtopic:
Zo doet XS4ALL het dan...

Twitter Flickr

woensdag 25 november 2009 11:41

Acties:

Verwijderd

JefSnare schreef op dinsdag 24 november 2009 @ 21:04:
Volgens mij is de poorten dichtgooien de beste oplossing...

Nee want dat is geen oplossing, het probleem is er immers gewoon nog. Je moet van de oorzaak van dat spammen af, niet er voor zorgen dat het versturen geblokkeerd wordt. Je hebt namelijk geen idee wat dat virus allemaal nog meer doet naast spam versturen.

woensdag 25 november 2009 12:05

Acties:

Standeman

Prutser 1e klasse

Verwijderd schreef op woensdag 25 november 2009 @ 11:41:
[...]

Nee want dat is geen oplossing, het probleem is er immers gewoon nog. Je moet van de oorzaak van dat spammen af, niet er voor zorgen dat het versturen geblokkeerd wordt. Je hebt namelijk geen idee wat dat virus allemaal nog meer doet naast spam versturen.

Het is een eerste stap om niet weer afgesloten te worden. Als tweede moet je natuurlijk de bron zien te vinden d.m.v. logging.

The ships hung in the sky in much the same way that bricks don’t.

woensdag 25 november 2009 13:01

Acties:

Verwijderd

Standeman schreef op woensdag 25 november 2009 @ 12:05:
[...]

Het is een eerste stap om niet weer afgesloten te worden. Als tweede moet je natuurlijk de bron zien te vinden d.m.v. logging.

Ik zou het precies andersom aanpakken. Eerst het probleem oplossen en daarna pas weer alles online schoppen. Om zo te voorkomen dat er nog meer gegeven lekken (wachtwoorden, creditcard nummers etc).

vrijdag 27 november 2009 11:33

Acties:

dottie

Topicstarter

Gisteren ism een monteur van JDS-automatisering alle pc's in het netwerk gescanned met Malwarebytes en vervolgens een professionele licentie van Kaspersky aangeschaft. Op 1 pc daadwerkelijk eea aan kwalijke software gevonden en succesvol verwijderd.

Ban bij Ziggo is inmiddels opgeheven. Hopelijk nu voor altijd.

vrijdag 27 november 2009 11:45

Acties:

Standeman

Prutser 1e klasse

Verwijderd schreef op woensdag 25 november 2009 @ 13:01:
[...]

Ik zou het precies andersom aanpakken. Eerst het probleem oplossen en daarna pas weer alles online schoppen. Om zo te voorkomen dat er nog meer gegeven lekken (wachtwoorden, creditcard nummers etc).

Maar eerst zou je moeten uitzoeken welke PC het is. Dus als je al je porten gewoon dichtgooit, logging aan zet en alle PC's, zie je vrij snel wie er allemaal geinfecteerd zijn.

The ships hung in the sky in much the same way that bricks don’t.

zaterdag 28 november 2009 14:48

Acties:

Verwijderd

Standeman schreef op vrijdag 27 november 2009 @ 11:45:
[...]

Maar eerst zou je moeten uitzoeken welke PC het is. Dus als je al je porten gewoon dichtgooit, logging aan zet en alle PC's, zie je vrij snel wie er allemaal geinfecteerd zijn.

Ik zou geen enkele PC meer vertrouwen. Elke PC is mogelijk doelwit geworden en omdat het ook een rootkit kan zijn zou ik virusscanner ook niet vertrouwen. Ik zou gewoon alle PC uit het netwerk halen en 1 voor 1 van een nieuwe installatie voorzien alvorens ik weer internet zou aansluiten.