Mogelijk virus? Constant op RBL Blacklist

vrijdag 18 juni 2010 21:35

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Gisteren voor de ik geloof 6e keer op de blacklist gezet en dus kunnen we weer niet mailen.
UPC aan de telefoon gehad, maar probleem lag bij ons.
Dus gisteren en vandaag op onze 3 pc's alles maar gescand, verwijderd wat er niet op hoort maar we staan er nog steeds op en aangezien het niet voor de 1ste keer is dacht ik laat ik het hier eens plaatsen.

Op onze router kwam ik in de log iets opvallends tegen. Iedere seconde word er door DoS protect iets geblokkeerd:

Fri Jun 18 21:26:14 2010 1 Blocked by DoS protection 91.121.144.32
Fri Jun 18 21:26:15 2010 1 Blocked by DoS protection 10.15.150.1
Fri Jun 18 21:26:15 2010 1 Blocked by DoS protection 10.15.150.1
Fri Jun 18 21:26:16 2010 1 Blocked by DoS protection 10.15.150.1
Fri Jun 18 21:26:16 2010 1 Blocked by DoS protection 10.15.150.1
Fri Jun 18 21:26:17 2010 1 Blocked by DoS protection 10.15.150.1
Fri Jun 18 21:26:17 2010 1 Blocked by DoS protection 10.15.150.1
Fri Jun 18 21:26:17 2010 1 Blocked by DoS protection 10.15.150.1
Constant het zelfde ip adres, 10.15.150.1, zo heel af en toe een ander IP adres...

Op MXToolBox, krijg ik veelal deze melding als reden van mijn blokkeren:

SPAMRATS IP Addresses See: Detail
Return codes were: 127.0.0.36

Spam Received See: Detail
Return codes were: 127.0.0.6

Blocked - see Detail
Return codes were: 127.0.0.2

Return codes were: 127.0.0.2

CSWredder, Ad-Aware, Anti Malware Bytes, Comodo Firewall, Spybot Search & Destroy en Hijack this geinstalleerd en uitgevoerd. Weinig gevonden, maar dat WAT gevonden is is ook allang verwijderd...

Mensen, hoe kan dit toch? Is dit van buitenaf afkomstig zodat wij er helemaal niks aan kunnen doen ?
Alle 3 pc's draaien op Vista 32bits! Daarnaast is mn draadloze router beveiligd met wachtwoord, staat DMZ uit

[ Voor 3% gewijzigd door Verwijderd op 18-06-2010 21:36 ]

zaterdag 19 juni 2010 12:52

Acties:

0 Henk 'm!

TaraWij

Kijk met Process Monitor eens of er ongewenst netwerk verkeer gebeurd tussen de twee computers, dit doe je door de andere drie iconen bovenaan uit te klikken. Een iets geadvanceerder alternatief is om eens te kijken met Wireshark waar je alles tot in de detail mee ziet.

Is 10.15.150.1 een intern IP? Die is in ieder geval niet traceerbaar.
De andere IP 91.121.144.32 heeft een domein waar de WHOIS informatie verborgen is via PrivacyProtect.org.

Je kan best in ieder geval veel voorkomende DoS IPs blokkeren in je router.

Heb je de return codes bij MXToolBox al eens opgezocht om te zien wat ze betekenen?

zaterdag 19 juni 2010 15:33

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Tomwij,

Ik heb process monitor geinstalleerd, maar snap hier niet zoveel van...
Ben nog redelijk een leek op het gebied van spamgebeuren..
Of 10.15.150.1 intern IP is weet ik niet. Weet wel dat hij iedere seconde 24 uur per dag geblokkeerd word door DoS protection.
Hoe blokkeer ik die in de router dan? Heb een Belkin Wireless router...

Op MXToolBox staat dit:

CBL LISTED Blocked - see Detail
Return codes were: 127.0.0.2 3600 515
RATS-Dyna LISTED SPAMRATS IP Addresses See: Detail
Return codes were: 127.0.0.36 3600 515
SORBS-SPAM LISTED Spam Received See: Detail
Return codes were: 127.0.0.6 3600 577
SPAMCOP LISTED Blocked - see Detail
Return codes were: 127.0.0.2 2100 546
Spamhaus-ZEN LISTED Detail
Return codes were: 127.0.0.11, 127.0.0.4 900 608
Tiopan LISTED Return codes were: 127.0.0.2 2100 546
UCEPROTECTL1 LISTED IP X XX XX XX X is UCEPROTECT-Level 1 listed. See Detail
Return codes were: 127.0.0.2 2100 562
UCEPROTECTL2 LISTED Net XXXXXXXXX is UCEPROTECT-Level2 listed because 455 abusers are hosted by UPC UPC Broadband/AS6830 there. See: Detail
Return codes were: 127.0.0.2 2100 608
UCEPROTECTL3 LISTED Your ISP UPC is UCEPROTECT-Level3 listed for hosting a total of 11159 abusers. See: Detail
Return codes were: 127.0.0.2 2100 608
AHBL OK 47
ANT OK 125
Backscatterer.org OK 62
BARRACUDA OK 62
BURNT-TECH OK 47
CASA-CBL OK 62
CASA-CBL+ OK 62
CASA-CDL OK 62
CYMRU-BOGONS OK 62
DAN-TOR OK 125
DAN-TOREXIT OK 125
DEADBEEF OK 140
DNSBLINFO OK 140
DUINV OK 218
DULRU OK 234
FABELSOURCES OK 156
FIVETEN OK 156
GIRL OK 156
GRIP OK 156
HIL OK 156
HIL OK 156
HILLI OK 250
ICMFORBIDDEN OK 218
IMP-SPAM OK 484
IMP-WORM OK 484
INTERSIL OK 250
ivmSIP OK 250
ivmSIP/24 OK 250
KEMPTBL OK 250
KUNDENSERVER OK 250
LASHBACK OK 250
LNSGBLOCK OK 250
LNSGBULK OK 250
LNSGDUL OK 250
LNSGMULTI OK 250
LNSGOR OK 250
LNSGSRC OK 250
MSRBL-Combined OK 250
MSRBL-Images OK 250
MSRBL-Phising OK 250
MSRBL-Spam OK 250
MSRBL-Viruses OK 250
NERD OK 265
NETHERRELAYS OK 265
NETHERUNSURE OK 265
NIXSPAM OK 265
NJABL OK 250
NJABLDUL OK 250
NJABLFORMMAIL OK 250
NJABLMULTI OK 250
NJABLPROXIES OK 250
NJABLSOURCES OK 250
NLKUNBLACKLIST OK 250
NLKUNWHITELIST OK 250
NOFALSEPOSITIVE OK 250
NOMOREFUNN OK 265
ORID OK 421
ORVEDB OK 390
OSPAM OK 390
PDL OK 390
PSBL OK 390
RANGERSBL OK 390
RATS-NoPtr OK 406
RATS-Spam OK 406
RBL-JP OK 406
REDHAWK OK 406
RRBL OK 406
RSBL OK 406
SCHULTE OK 406
SDERB OK 406
SENDERBASE OK 406
SERVICESNET OK 406
SOLID OK 406
SORBS-BLOCK OK 406
SORBS-DUHL OK 406
SORBS-HTTP OK 406
SORBS-MISC OK 406
SORBS-SMTP OK 406
SORBS-SOCKS OK 421
SORBS-WEB OK 421
SORBS-ZOMBIE OK 421
SPAMCANNIBAL OK 421
SPAMSOURCES OK 452
SPEWS1 OK 468
SPEWS2 OK 468
SWINOG OK 468
TECHNOVISION OK 468
TRIUMF OK 468
VIRBL OK 499
WPBL OK 499
WSFF OK 499
ZONEEDIT OK 499
CSMA TIMEOUT 0
CYBERLOGIC TIMEOUT ERROR, Reponse code=2 0
EMAILBASURA TIMEOUT 0
SPAMRBL TIMEOUT 0

zaterdag 19 juni 2010 18:13

Acties:

0 Henk 'm!

TaraWij

Verwijderd schreef op zaterdag 19 juni 2010 @ 15:33:
Ik heb process monitor geinstalleerd, maar snap hier niet zoveel van...

1. Start Process Monitor op en accepteer de eerste keer de EULA.
2. Klik in het filter dialoog op Reset, Apply en dan OK.
3. Bovenaan staan er vier iconen aangevinkt, zorg dat enkel de derde is aangevinkt.

Als je dat doet zie je jouw netwerk verkeer in grote lijnen, is er hier iets overvloedig?

Verwijderd schreef op zaterdag 19 juni 2010 @ 15:33:
Hoe blokkeer ik die in de router dan? Heb een Belkin Wireless router...

Geen idee, eens rondkijken of het ergens kan en anders laten. Uit de gedetailleerde info staat inderdaad dat jij specifiek geblokkeerd bent, dus je zal als nog met Process Monitor en Wireshark moeten gaan zoeken waar de oorzaak zich bevind. Kijken of de router ook DoS in de log vertoond na een tijd dat de computers niet hebben aangestaan kan het misschien ook nog iets duidelijker maken. (Bijvoorbeeld na een nachtje slapen)

Het blijft een rare situtatie, jullie staan op een RBL en ondervinden tegelijkertijd nog eens een DoS...

zaterdag 19 juni 2010 23:52

Acties:

0 Henk 'm!

Petervanakelyen

Of 10.15.150.1 intern IP is weet ik niet.

Welk IP krijgen je PC's toegekend en op welk IP kan je inloggen op de webpagina van de router?

Kan je eens een PC opstarten met een Ubuntu LiveCD terwijl al de rest van de computers uitstaan en je je router juist hebt gereset en opnieuw ingesteld? Als er dan nog melding wordt gemaakt van een DoS in de router logs komt het van buitenaf, maar ik vermoed op dit moment dat er toch een PC in je eigen netwerk moeilijk aan het doen is. Als die spam aan het versturen is wordt je op de blacklist gezet en niets verhinderd om ook maar even wat andere IP's te gaan bestoken (je router).

Somewhere in Texas there's a village missing its idiot.

zondag 20 juni 2010 10:39

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Vaste ip van de router is 192.162.2.1. De modem op 192.168.100.1. .....
Ik heb hier trouwens 3 computers, en een laptop. We hebben beneden nog een PC en een andere draadloze laptop... Dus jij zegt, alle pc's uitzetten en bijv. met mn laptop inloggen in de router en dan kijken of de log nog zo is...

zondag 20 juni 2010 10:50

Acties:

0 Henk 'm!

Spookie

Dat kan je inderdaad een keer proberen. ;-).
En dan de laptop wel opstarten met de Live CD van voorbeeld Ubunto.

http://www.ubuntu.com/desktop/get-ubuntu/download

Zo weet je zeker dat de pc met een (mogelijke) virus niet meer actief is.

zondag 20 juni 2010 11:02

Acties:

0 Henk 'm!

Petervanakelyen

Verwijderd schreef op zondag 20 juni 2010 @ 10:39:
Vaste ip van de router is 192.162.2.1. De modem op 192.168.100.1. .....
Ik heb hier trouwens 3 computers, en een laptop. We hebben beneden nog een PC en een andere draadloze laptop... Dus jij zegt, alle pc's uitzetten en bijv. met mn laptop inloggen in de router en dan kijken of de log nog zo is...

Neem best een PC die bekabeld is aangesloten en niet draadloos. Zet inderdaad alle PC's uit, zet voor alle zekerheid de standaardinstellingen van de router terug (en beveilig alles natuurlijk) en start op die ene PC op met een Ubuntu LiveCD. Browse wat op het internet (Firefox kan je gewoon Live draaien) en kijk daarna in de logs van de router of hij nog steeds iets vreemd aangeeft.

Somewhere in Texas there's a village missing its idiot.

zondag 20 juni 2010 11:06

Acties:

0 Henk 'm!

DrClaw

het IP in het bereik 10.15.X.X is een private range, ofwel eentje die je voor interne netwerken kunt gebruiken. UPC zet die range in als secundaire netwerkrange. je MODEM heeft waarschijnlijk het IPadres 10.15.150.1, of het is een gateway of server van UPC zelf.

edit: en ja, apparaten kunnen meerdere IPs hebben, in verschillende ranges.
/edit

maar .. gewoon even voor de gein ..

je zegt:
* dat je op een blacklist gezet bent
* dat je IP adres in de 192.168.X.X range zit (wat ook een private range is)
* dat je niet kunt mailen

je mag geen intern IPadres opgeven om 'extern' te mailen. gebruik je een extern IP dan om aan te geven waar je mail vandaan komt? zoals er in die hele lange post van mxtoolbox staat, staat UPC aangemerkt als een level 2 en level 3 spammer, en dat komt omdat er vanaf willekeurige IPadressen wordt 'gemaild' .. en dat terwijl er vanaf die ipadressen dus niet gemaild mag worden.

Misschien moet je UPC eens vragen welke mailserver je mag gebruiken als proxy voor uitgaande mail. dan ben je een stuk netter bezig, en misschien komt jouw IPadres niet zomaar op een blacklist.

edit2:

even dan maar een korte uitleg over hoe je dan op zo'n blacklist komt.

stel, je hebt 'fireworks1.nl' als domein gekocht, en 'jezelf@fireworks1.nl' als mailadres aangemaakt. Nu stuur je vrolijk mailtjes vanaf je thuiscomputer naar je vrienden, die op hotmail, gmail of wat dan ook zitten.

stel je stuurt het naar hotmail. dan ziet hotmail dat de verstuurder 'jezelf@fireworks1.nl' is .. en gaat dan aan de DNS server vragen: 'wat zijn de MX records van fireworks1.nl' ? daar komt een antwoord op terug. als die mailservers niet overeenkomen met het verzendende IP van jouw mail, dan krijg je al een extra vinkje bij de spamlisters.

misschien heb je wel helemaal geen MX records. nou, hetzelfde geldtook specifiek voor IPadressen die mailtjes versturen. UPC, als ISP, bezit een flink aantal externe IPadressen, waarvan jij er eentje in bruikleen hebt. ook zij hebben mailservers, en ze hebben speciaal bij die mailservers aangegeven dat voor hun hele range aan IPadressen, alleen die mailservers mail mogen versturen. Andere IPadressen mogen dat niet.

jij hebt echter een 'ander' IPadres dan die van een mailserver, dus, weer een vinkje bij de blacklister.

[ Voor 38% gewijzigd door DrClaw op 20-06-2010 11:17 ]

zondag 20 juni 2010 19:01

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ik heb de router gereset, en de log gecleared maar hij gaat maar door met om de seconde een blocked by dos protection 10.15.150.1 aan te geven..
Weet ook niet meer waar ik het moet zoeken nu, dit nog nooit meegemaakt....
Het is niet zo dat onze interne ip geblokt is maar onze eigen 96.95 ... ip adres..
Alle pc's uit gezet maar de log knalt door...... !

[ Voor 7% gewijzigd door Verwijderd op 20-06-2010 19:02 ]

zondag 20 juni 2010 20:03

Acties:

0 Henk 'm!

Petervanakelyen

Verwijderd schreef op zondag 20 juni 2010 @ 19:01:
Ik heb de router gereset, en de log gecleared maar hij gaat maar door met om de seconde een blocked by dos protection 10.15.150.1 aan te geven..
Weet ook niet meer waar ik het moet zoeken nu, dit nog nooit meegemaakt....
Het is niet zo dat onze interne ip geblokt is maar onze eigen 96.95 ... ip adres..
Alle pc's uit gezet maar de log knalt door...... !

Hoe weet je dat de log "doorknalt" als je niet in de webconfig geraakt omdat geen enkele PC aan staat?

Somewhere in Texas there's a village missing its idiot.

zondag 20 juni 2010 20:30

Acties:

0 Henk 'm!

GiantLeap

One GiantLeap for mankind

Misschien dat de TS de PC's heeft uitgezet, een half uur ofzo gewacht heeft, toen z'n PC's weer aangezet en in de logs gekeken naar de timestamps heeft (vanaf het moment dat de PC's uit stonden totdat ze weer aan gingen).

Mario Kart Tour: 211982902522
Rockstar Games Social Club (PC): GiantLeap

RC spul:
Traxxas Nitro Rustler
Hubsan X4 H107D
DJI Phantom 2 Vision+

zondag 20 juni 2010 20:39

Acties:

0 Henk 'm!

StevenK

Heb je een mailserver draaien?

Was advocaat maar vindt het juridische nog steeds leuk

zondag 20 juni 2010 20:51

Acties:

0 Henk 'm!

Petervanakelyen

Wat gebeurd er als je eens een nachtje echt alles uit zet - computers, hubs/switches, modem, router, enz?
Het kan soms een behoorlijke tijd duren. Probeer dan ('s ochtens) de boel weer eens aan te zetten - modem, dan router, dan een PC met Ubuntu? Als het ding dan nog steeds voort gaat, zou ik nog maar eens een belletje doen aan UPC.

Somewhere in Texas there's a village missing its idiot.

zondag 20 juni 2010 22:21

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Precies, had ze een half uurtje uit en toen daarna gekeken maar tijdens dat alle verbindingen uit waren, ging hij gewoon door met dat geknal......
Ik heb geen mailserver draaien...... Wel enkele eigen mailboxen van hosting die ik gekocht heb.. @mijndomein.nl ...
Ik heb UPC al gebeld: Modem was doorgemeten en bekeken en zag er prima uit!

zondag 20 juni 2010 22:24

Acties:

0 Henk 'm!

Petervanakelyen

Wat gebeurd er eigenlijk als je de WAN-kabel (UTP-kabeltje tussen modem en router) uittrekt?

Somewhere in Texas there's a village missing its idiot.

zondag 20 juni 2010 22:28

Acties:

0 Henk 'm!

Rmg

Verwijderd schreef op zondag 20 juni 2010 @ 22:21:
Precies, had ze een half uurtje uit en toen daarna gekeken maar tijdens dat alle verbindingen uit waren, ging hij gewoon door met dat geknal......
Ik heb geen mailserver draaien...... Wel enkele eigen mailboxen van hosting die ik gekocht heb.. @mijndomein.nl ...
Ik heb UPC al gebeld: Modem was doorgemeten en bekeken en zag er prima uit!

Je hebt zelf geen mailserver draaien? welk ip staat op de blacklist dan? je eigen of toevallig de mailrelay van upc?

zondag 20 juni 2010 22:30

Acties:

0 Henk 'm!

henkiskaal

Zet je draadloos ook eens uit, misschien een apparaat dat aan draadloos hangt dat dit veroorzaakt?

zondag 20 juni 2010 22:34

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

3 mogelijke wireless apparaten erop.. Dat is mijn mobiel, een omnia HD en 2 laptops.
Ik kan proberen om wireless uit te zetten!
Idd, mijn ip (die van www.watismijnip.nl) staat op de RBL Blacklist......

zondag 20 juni 2010 22:44

Acties:

0 Henk 'm!

Petervanakelyen

...en nu al mijn hint geprobeerd om even de WAN uit je router te trekken en te kijken in de logs? Toevallig ook geen PowerLan-setjes ofzo aangesloten?

Somewhere in Texas there's a village missing its idiot.

zondag 20 juni 2010 22:48

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Nee.

Modem, beneden -> Router, zolder -> PC 1, 2, 3, 4 -> Laptop 1/2 & Mobiel
Dat is het enige wat er op aan gesloten zit, hoewel wireless kan je natuurlijk niet aansluiten.

zondag 20 juni 2010 22:51

Acties:

0 Henk 'm!

Petervanakelyen

...en nu al mijn hint geprobeerd om even de WAN uit je router te trekken en te kijken in de logs?

Nee.

Tijd om dat te proberen? Of sloeg die nee enkel op de PowerLAN? Ik neem dat je wireless netjes WPA2 beveiligd hebt?

Somewhere in Texas there's a village missing its idiot.

zondag 20 juni 2010 22:57

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

WAN is er ff afgehaald voor een duur van 4 minuten... Die 4 minuten, géén log text, en na 4 minuten weer aangesloten en toen knalde die weer. :-S

Hij is idd zo beveiligd

Thu Jan 1 03:57:17 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:17 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:19 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:19 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:19 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:20 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:21 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:21 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:22 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:22 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:22 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:24 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:25 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:25 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:25 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:26 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:27 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:28 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:29 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:29 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:29 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:29 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:30 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:32 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:33 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:33 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:34 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:34 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:35 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:35 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:35 1970 1 Blocked by DoS protection 10.15.150.1
Thu Jan 1 03:57:35 1970 1 Blocked by DoS protection 10.15.150.1

Oh nu staat er ook her en der Thu Jan 1 04:04:19 1970 1 Blocked by DoS protection 62.140.137.33 tussen!!!

[ Voor 87% gewijzigd door Verwijderd op 20-06-2010 23:04 ]

zondag 20 juni 2010 23:09

Acties:

0 Henk 'm!

lordsnow

I know nothing

"Gisteren voor de ik geloof 6e keer op de blacklist gezet en dus kunnen we weer niet mailen.
UPC aan de telefoon gehad, maar probleem lag bij ons."

Wat was dan specifiek het probleem volgens UPC? Oftewel, waaraan konden ze zien dat het probleem bij jouw interne netwerk ligt?

Als er SPAM gemailed wordt vanaf jouw PC's, ging dat via de mailservers van UPC zelf? In dat geval, hebben ze een kopie van 1 van de spammails? (Dan kan je aan de hand van de headers mischien achterhalen van welke PC het afkomstig is).

Of heeft UPC een melding gekregen dat je zou spammen? Hoe is dit geconstateerd? Aan de hand van je IP adres? Hoe lang heb je al jouw IP adres al (kan UPC zien) - kan het niet zijn dat iemand anders voor jou het IP adres had, en SPAM aan het verzenden was waar jij nu de dupe van bent?

Edit: Hoi Peter

Edit 2: de DoS op 10.15.150.1 lijkt van je Gateway te komen. Mischien is dit een poortscan van UPC zelf, en dus onschuldig, mischien om te kijken of je open poorten hebt? Je kan eventueel even informeren bij UPC of ze een verklaring kunnen geven wat betreft de DoS meldingen in je router..

Edit 3:
91.121.144.32 is van http://www.ovh.com en/of Vodafone-Libertel
62.140.137.33 is van Vodafone

[ Voor 20% gewijzigd door lordsnow op 20-06-2010 23:24 ]

zondag 20 juni 2010 23:14

Acties:

0 Henk 'm!

BCC

Inderdaad, hoe kan je mailserver geblacklist worden als je zelf geen mailserver draait?!

Na betaling van een licentievergoeding van €1.000 verkrijgen bedrijven het recht om deze post te gebruiken voor het trainen van artificiële intelligentiesystemen.

zondag 20 juni 2010 23:14

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Nja, wat ik als informatie kreeg was: "Meneer ik heb net voor u de modem doorgemeten maar dat ziet er altijd prima uit. Wellicht moet u het probleem zoeken in uw pc's."
Er was volgens mxtoolbox geprobeerd spamtraps te sturen....
Ik mail via smtp.chello.nl of smtp.upcmail.nl........ En we zijn in april er al eens opgezet, op die blacklist, toen handmatig weer op alle lijsten af gehaald en in mei weer en nu in juni weer en nu moeten we langer wachten en kunnen we niet veel handmatig meer deleten..
Maar ook met een ander ip adres zijn we er volgens mij al eens op gezet!! (dit durf ik niet 100 % zeker te zeggen)

maandag 21 juni 2010 07:38

Acties:

0 Henk 'm!

StevenK

Begrijp ik het nu goed dat je door je *eigen* provider wordt geblacklist? Dan heb je gewoon op één of meer van je pc's software draaien die spam/virussen verstuurd. Pak een router die filtering logt, zet poort 25 uitgaand dicht en kijk vanaf welke pc de foutmeldingen op poort 25 outbound worden gegenereerd door je filter.

Dan trek je die pc uit elkaar of je formatteert en installeert die opnieuw.

Die DoS meldingen hebben hier, imho, niets mee te maken, dat is gewoon je router die verkeer wat je niet nodig hebt tegenhoudt.

Was advocaat maar vindt het juridische nog steeds leuk

maandag 21 juni 2010 11:23

Acties:

0 Henk 'm!

Petervanakelyen

Aan deze pastebin te zien is dat IP-adres een gateway van UPC. Vergelijk even:

a) Traceroute naar IP in de pastebin

Traceren van de route naar 213.108.29.181 via maximaal 30 hops

1 ms <1 ms <1 ms [192.168.1.1]
8 ms 9 ms 7 ms [10.15.150.1]
9 ms 8 ms 9 ms ba.Vlan8.ah00rs01.brain.upc.nl [212.142.6.129]
15 ms 16 ms 19 ms [84.116.244.77]
16 ms 17 ms 17 ms 84-116-131-13.aorta.net [84.116.131.13]
20 ms 17 ms 17 ms ams-ix.sara-ams.as34305.net [195.69.145.174]
17 ms 18 ms 15 ms 10ge-v3.core-2.ipv4-mg8.db-ams.euroaccess.nl [85.12.0.34]
8 25 ms 26 ms 18 ms 213.108.29.181

De trace is voltooid.

b) Traceroute van bij mij naar IP in de pastebin

Bezig met het traceren van de route naar 213.108.29.181 via maximaal 30 hops

<1 ms <1 ms <1 ms [192.168.1.1]
5 ms 5 ms 6 ms gateway.03wil0-1.cityconnect.schedom-europe.net [83.101.89.1]
6 ms 6 ms 6 ms 4-5.r1.br.hwng.net [209.197.1.105]
13 ms 13 ms 14 ms 3-4.r1.am.hwng.net [69.16.191.85]
14 ms 14 ms 14 ms 1-1.r3.am.hwng.net [69.16.191.26]
15 ms 14 ms 14 ms ams-ix.sara-ams.as34305.net [195.69.145.174]
15 ms 17 ms 15 ms 10ge-v3.core-2.ipv4-mg8.db-ams.euroaccess.nl [85.12.0.34]
15 ms 14 ms 14 ms 213.108.29.181

De trace is voltooid.

Zoals je ziet is de 2de hop het IP dat je router blokkeert, waar dat bij mij de gateway van Dommel is.
Ik heb echter geen enkel idee waarom je router de gateway van UPC als DoS-attack aanziet (en, als dat correct is, waarom stuurt de gateway jou een DoS)?

En ik zou inderdaad eens kijken of dat gemail en die DoS geen losstaande problemen zijn: gooi Wireshark eens open op je netwerk en kijk welke PC wat allemaal ligt te verzenden?

Somewhere in Texas there's a village missing its idiot.

maandag 21 juni 2010 17:56

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Hoe werkt wireshark dan? Ik heb hem gedownload maar snap het programma niet echt... We zijn overigens NOG STEEDS geblacklist..... Schiet echt niet op dit... Met de handen in het haar!

maandag 21 juni 2010 18:15

Acties:

0 Henk 'm!

Petervanakelyen

Zo moeilijk is het niet, gewoon als Administrator uitvoeren, de netwerkkaart selecteren waarmee je verbonden bent en gaan

Somewhere in Texas there's a village missing its idiot.

maandag 21 juni 2010 21:27

Acties:

0 Henk 'm!

BCC

Dit topic loopt ongeveer zo:

Mijn auto doet het niet!
Zitten de banden er wel onder?
Mijn auto doet het nog steeds niet!
Zit er wel benzine in?
Mijn auto doet het nog steeds niet!
Controlleer de kilometerteller kabel! Ik heb dat ook eens gehad, dan lijkt het of hij niet rijdt, maar dan rijdt hij wel!
Help auto!

Oftewel TS: Kun je misschien nog een keer proberen uit te leggen wat je situatie is. Wat je probeert te doen en waar het mis gaat?

Begrijp ik goed dat je namens een bepaald domein mailt via de UPC mailservers? Zo ja, welk domein gaat het dan om en waar is het geblacklist?

[ Voor 13% gewijzigd door BCC op 21-06-2010 21:30 ]

Na betaling van een licentievergoeding van €1.000 verkrijgen bedrijven het recht om deze post te gebruiken voor het trainen van artificiële intelligentiesystemen.

maandag 21 juni 2010 21:33

Acties:

0 Henk 'm!

Spookie

Wat betreft het blacklist, hier kom je helaas niet zomaar meer af.
Voor veel bedrijven moet je lang wachten voordat je er af bent (of je moet betalen).

Je moet zelf bedenken dat als een "dief" 3x toe in een winkel iets gestolen heeft, en elke keer zegt van "ik doe het niet meer" vertrouw je het toch ook niet?, Ook al is het buiten zijn schuld om?

Maar even terug naar ontopic:). Hoever kom je in Wireshark? waar loop je vast?

Wanneer Wireshark opstart, ziet u pal onder de menubalk een rijtje pictogrammen. De eerste toont de aanwezige interfaces (netwerkkaarten). Stel dat uw computer draadloos met een router is verbonden, dan is het zaak de juiste interface te herkennen. De velden IP en packets kunnen daar bij helpen. Als er een ip-adres is toegekend en u ziet het aantal packets oplopen, dan is er verkeer en kunt u een poging wagen. Als u achter de interface op Start klikt, wordt het verkeer opgevangen.

Bron: http://computertotaal.nl/article/1902/wireshark-1-0-3.html

maandag 21 juni 2010 21:37

Acties:

0 Henk 'm!

BCC

timgoud schreef op maandag 21 juni 2010 @ 21:33:
Wat betreft het blacklist, hier kom je helaas niet zomaar meer af.
Voor veel bedrijven moet je lang wachten voordat je er af bent (of je moet betalen).

Dit is absoluut niet mijn ervaring. Je komt 9 van de 10 keer geautomatiseerd op zo'n lijst, meestal omdat je een dubieuze configuratie in je mailsever hebt zitten, zoals bijvoorbeeld email versturen voor een specifiek domein via een mailserver van een ander domein.

1 emailtje is eigenlijk altijd voldoende om je van de lijst te krijgen. Als je het niet gefixt hebt, kom je er namelijk automatisch zo weer op te staan.

Na betaling van een licentievergoeding van €1.000 verkrijgen bedrijven het recht om deze post te gebruiken voor het trainen van artificiële intelligentiesystemen.

maandag 21 juni 2010 22:40

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ik heb met Wireshark gekeken, maar geen opvallende dingen tegengekomen. Alles zag er gewoon netjes uit.
Inmiddels kan ik via smtp.chello.nl weer mailen (net 3 x getest, 1x is hij verzonden en 2x de blacklist melding.) dus helemaal 100% is het nog niet.

dinsdag 22 juni 2010 11:09

Acties:

0 Henk 'm!

Rmg

Verwijderd schreef op maandag 21 juni 2010 @ 22:40:
Ik heb met Wireshark gekeken, maar geen opvallende dingen tegengekomen. Alles zag er gewoon netjes uit.
Inmiddels kan ik via smtp.chello.nl weer mailen (net 3 x getest, 1x is hij verzonden en 2x de blacklist melding.) dus helemaal 100% is het nog niet.

Mijn gok is dat de smtp.chello.nl op de blacklist staat

( of iig een aantal van de servers die eraan hangen )
wat ook mxtoolbox met mij eens is

(of dat iemand uit de chello range zit te spammen en er hele ranges op blacklists zijn gezet)

grote kans dat als je een authsmtp van je website hoster gebruikt of desnoods van gmail je dit probleem niet hebt

[ Voor 11% gewijzigd door Rmg op 22-06-2010 11:13 ]

dinsdag 22 juni 2010 19:33

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Hoe is dat in te stellen dan Authsmtp? Kan dat ook via de SMTP van Chello?

dinsdag 22 juni 2010 20:13

Acties:

0 Henk 'm!

dutch_warrior

Ik kom het regelmatig tegen dat een deel van het UPC netwerk op de blacklist staat, volgens mij is de ip range van UPC bij spamrats al bij voorbaat geblokt

.

Installeer & update ! als eerste even Microsoft Security Essentials en Malware Bytes Anti Malware op alle pc's.

Wat ik altijd doe is: Wireless uit, alle kabels eraf op 1 machine na dan inderdaad zoals je al hebt gedaan even de logs en configuratie van de router nalopen.
Let op de firewall instellingen, zoals al gezegd is kan het resetten van de router naar standaard settings ook een goed idee zijn.

Doe eventueel de internet stekker ook even uit de router en kijk met een bandwith monitor of een programma als wireshark (bij voorkeur wireshark) even wat er op je netwerk nog gebeurd.
Er zou dan vrij weinig verkeer moeten zijn, dan kan je misschien de output van wireshark hier posten, kan het namelijk goed voorstellen wanneer je niet veel kan maken van de wireshark output.

De pc's ondertussen (niet aangesloten op netwerk) scannen met:
- Volledige scan Malware bytes anti-malware in veilige modus.
- Iets gevonden dan nogmaals volledige scan. Niets gevonden dan reboot.
- Daarna volledige scan met Microsoft Security essentials
- Iets gevonden dan nogmaals een volledige scan.
- Niets gevonden dan reboot en van beide programma's een quick scan.
- Wordt er dan niets gevonden dan is het systeem 99% zeker schoon.
- Eventueel nog een x scannen met hitman pro.

Met deze procedure zou je een eventuele besmetting moeten kunnen oplossen.
Maar ik vraag me nog steeds af zoals meerdere mensen hier waarom het probleem bij jou ligt volgens UPC.
Welk level blacklisting heeft het ip welke je checkt eigenlijk, heb 2 maanden geleden nog gezien dat een hele Atonomous System van UPC blacklisted was op tientallen blacklists.

Onderwerpen