Internet afgesloten na bezoek geblokeerde website

maandag 5 juli 2010 19:35

Acties:

0 Henk 'm!

Topicstarter

Terwijl dat ik afgelopen zaterdag Amerikaanse justitie haalt negen sites uit de lucht aan het lezen was bezocht ik uit nieuwsgierigheid enkele van de genoemde websites. Ik was namelijk benieuwd of wij in Nederland ook die prachtige National Intellectual Property Rights banner te zien krijgen of dat dit slechts Amerikaanse censuur was. Natuurlijk had ik ook het hele artikel kunnen lezen, maar och, het bezoeken van websites die copyright schendend materiaal aanbieden is gewoon legaal in Nederland.

Echter vandaag heeft mijn ISP mijn internetverbinding afgesloten op reden van een "botnet". Na wat verdere navraag heb ik betreffende logs gekregen. Wat bleek nou, het ShadowServer project heeft mijn ISP aangeschreven dat ik thepiratecity.org heb bezocht. De timestamp en user-agent string in hun log bestand komen precies overeen met de daadwerkelijk tijd en mijn daadwerkelijke user-agent. Daarnaast bevatte het log maar één entry en niet een hele lijst, wat je wel van een bot zou verwachten. Oftewel, het gaat helemaal niet om een botnet!

Kortom, mijn vermoeden is dat Homeland Security zo'n organisatie als het ShadowServer project de ISPs van de bezoekers van genoemde sites aan laat schrijven. Nu vraag ik me alleen af wie het label "botnet" hier opplakt, mijn ISP, ShadowServer? Daarnaast zou ik mogen hopen dat een fatsoenlijke ISP dit soort onzin zou negeren gezien het bezoeken van een website die copyright schendend materiaal aanbied gewoon legaal is in Nederland. Echter mijn ISP neemt het dus wel serieus, en sluit mijn zelfs af... Dit is toch niet normaal, of wel?

[edit]
Ik heb internet via de verhuurder van mijn woning, de SSHN. Echter wie nou precies verantwoordelijk is voor mijn internet verbinding is onduidelijk. Het verkeer gaat in ieder geval langs routers van de SSHN, de Radboud universiteit en Surfnet en de melding kwam vanuit het UCI van de RU.

[ Voor 7% gewijzigd door robbert op 05-07-2010 20:09 ]

maandag 5 juli 2010 19:38

Acties:

0 Henk 'm!

ALF

Bij welke ISP zit je, dat is misschien wel handig om te vermelden, mochten meer mensen met hetzelfde probleem zitten, die net zo nieuwsgierig waren zoals jij

maandag 5 juli 2010 19:38

Acties:

0 Henk 'm!

Kecin

Je keek.

Wat een vreemd verhaal, wat voor provider heb je?

I am not a number, I am a free man! Geld over? Check m'n V&A

maandag 5 juli 2010 19:38

Acties:

0 Henk 'm!

pennywiser

Allemaal bezoeken die site..

Maarre, wtf ?? Welke ISP gaat het om?

Edit: helemaal vaag, aangezien jij zo te zien geen Windows gebruikt maar Linux.

[ Voor 35% gewijzigd door pennywiser op 05-07-2010 19:41 ]

maandag 5 juli 2010 19:40

Acties:

0 Henk 'm!

MrFl0ppY

Interessant, had nooit verwacht dat een Nederlandse provider zo snel zou overgaan op afsluiten, zeker niet op basis van zo'n summiere verdenking.

The Stranger: Do you have to use so many cuss words?
The Dude: What the fuck you talking about?

maandag 5 juli 2010 19:43

Acties:

0 Henk 'm!

Marzman

They'll never get caught.

Dat gaat wel een beetje ver ja. Welke ISP heb je en welke site is dat?

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

maandag 5 juli 2010 19:45

Acties:

0 Henk 'm!

Isdatzo

MrFl0ppY schreef op maandag 05 juli 2010 @ 19:40:
Interessant, had nooit verwacht dat een Nederlandse provider zo snel zou overgaan op afsluiten, zeker niet op basis van zo'n summiere verdenking.

Dat ja.

maandag 5 juli 2010 19:45

Acties:

0 Henk 'm!

racoon

mooowwww

hij bezocht thepiratecity.org

24 flesjes in een krat 24 uur in een dag toeval??

maandag 5 juli 2010 19:48

Acties:

0 Henk 'm!

Spike_wolf

Genius Or Madman?.. You Decide

pennywiser schreef op maandag 05 juli 2010 @ 19:38:
Edit: helemaal vaag, aangezien jij zo te zien geen Windows gebruikt maar Linux.

Wat heeft dat ermee te maken?

[Edit]
Is er trouwens al iemand in dit topic die het aangedurfd heeft de site te bezoeken?

[ Voor 18% gewijzigd door Spike_wolf op 05-07-2010 19:48 ]

Wat doet Ctrl+W ook alweer?
Humankind… be both.
Star Wars Awakens | Instagram

maandag 5 juli 2010 19:48

Acties:

0 Henk 'm!

robbert

Topicstarter

Ik heb internet via de verhuurder van mijn woning, de SSHN. Echter wie nou precies verantwoordelijk is voor mijn internet verbinding is onduidelijk. Het verkeer gaat in ieder geval langs routers van de SSHN, de Radboud universiteit en Surfnet en de melding kwam vanuit het UCI van de RU.
Ook even aan de TS toegevoegd

Daarnaast gebruik ik inderdaad Linux op al mijn machines in hoeverre dat relevant zou zijn.

[ Voor 7% gewijzigd door robbert op 05-07-2010 19:50 ]

maandag 5 juli 2010 19:50

Acties:

0 Henk 'm!

pennywiser

Spike_wolf schreef op maandag 05 juli 2010 @ 19:48:
[...]

Wat heeft dat ermee te maken?

Dat de meeste zo niet alle botnet virussen/trojans totaal niet op Linux werken. Daar gaan we overigens niet over discussiëren hier.

maandag 5 juli 2010 19:52

Acties:

0 Henk 'm!

wheez50

Voor de zekerheid:
thepiratecity.org ff bezocht - als ik morgen uit de lucht ben...

(telfort als aanbieder)

maandag 5 juli 2010 19:54

Acties:

0 Henk 'm!

robbert

Topicstarter

Ter informatie, het betreffende (bijzonder vage) mailtje wat ik op verzoek van de helpdesk heb ontvangen:

Van het ShadowServer project hebben we informatie gekregen die er op wijst dat ???.???.???.??? besmet is door een virus of ander kwaadwillend stuk software dat dmv HTTP requests zich aanmeldt bij een set van (telkens wijzigende!) webservers en aldaar ook instructies ophaalt voor verdere uit te voeren (minder gewenste) acties. De Host is hieronder ook opgenomen, echter wij waarschuwen ervoor om deze niet te bezoeken, hij kan nog actief kwaads in de zin hebben of indien hij reeds door de "good guys" geclaimed is, kan een bezoek gezien worden als een mogelijke infectie.

Nadere informatie over deze detectie is onder andere te vinden op:
http://www.shadowserver.o...vices/Sinkhole-HTTP-Drone
http://www.shadowserver.o...i.php/Information/Botnets
http://www.shadowserver.o...formation/BotnetDetection

De timestamps zijn in UTC formaat. Graag onderzoek en afmelding.

Gelieve daarbij [SURFcert#??????] in het subject/onderwerpveld te behouden.

---- complaint ----
timestamp,ip,asn,geo,url,type,http_agent,tor,src_port,p0f_genre,p0f_detail,hostname,
dst_port,http_host,http_referer,http_referer_asn,http_referer_geo

"2010-07-03 ??: ??: ??","???.???.???.???",1103,"NL","GET / HTTP/1.1",,"Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6",,57038,"Linux","2.6 (newer, 3)",,80,"thepiratecity.org",,,

(Persoonlijke gegevens vervangen door ???)

maandag 5 juli 2010 19:55

Acties:

0 Henk 'm!

sypie

racoon schreef op maandag 05 juli 2010 @ 19:45:
hij bezocht thepiratecity.org

Ja, ik nu ook. Heb ik dan over 2 dagen ook geen internet meer? Zou humor zijn, dan hoef ik die ook niet op te zeggen voordat ik glasvezel krijg

Ik zit bij Online.

[ Voor 3% gewijzigd door sypie op 05-07-2010 19:57 ]

maandag 5 juli 2010 19:55

Acties:

0 Henk 'm!

StaarTT

Android for Life.

Ik heb de site ook maar even bezocht, en krijg ook zo'n mooie banner...

--- HTC Desire HD: ROM: Stock ---10.2" Android ePad 2.1 --- Motorola Milestone: ROM: CyanogenMod 6.1.2 --- ASUS G60VX ---

maandag 5 juli 2010 19:59

Acties:

0 Henk 'm!

Uberprutser

Enige wat ie bij mij duwt is

code:

<html> 
<body> 
<center><img src="SiteSeizedNOTICE.JPG"></center> 
</body> 
</html>

Ik zie verder niks komen? Klinkt ergens wel als un baguette du chimpanze?

[ Voor 13% gewijzigd door Uberprutser op 05-07-2010 20:00 ]

As you may already have guessed, following the instructions may break your system and you are on your own to fix it again.

maandag 5 juli 2010 20:00

Acties:

0 Henk 'm!

marcop23

Wil de provider jou ook niet helpen?

OffTopic: Handig als je nog een jaar aan je contract van je ISP vast zit...

maandag 5 juli 2010 20:01

Acties:

0 Henk 'm!

robbert

Topicstarter

Ballebek schreef op maandag 05 juli 2010 @ 19:59:
Enige wat ie bij mij duwt is
code:
1
2
3
4
5
<html> 
<body> 
<center><img src="SiteSeizedNOTICE.JPG"></center> 
</body> 
</html>
Ik zie verder niks komen?

Dat is ook het enige wat ik te zien kreeg. Echter kunnen ze natuurlijk gewoon de bezoekers van die website registreren zonder dat je het in de gaten hebt (of te wel, in de HTML code kan zien).

marcop23 schreef op maandag 05 juli 2010 @ 20:00:
Wil de provider jou ook niet helpen?

OffTopic: Handig als je nog een jaar aan je contract van je ISP vast zit...

Ze hebben de blokkering opgeheven, gelukkig... Echter het hele idee dat om dit soort redenen mijn internetlijn wordt afgesloten zint me niet. Ik heb overigens wel een klacht ingediend, ben benieuwd wat ik daar op te horen krijg.

[ Voor 32% gewijzigd door robbert op 05-07-2010 20:02 ]

maandag 5 juli 2010 20:01

Acties:

0 Henk 'm!

Uberprutser

Tuurlijk, daar heb je logging voor op je webserver. Heb ik ook aan staan.

As you may already have guessed, following the instructions may break your system and you are on your own to fix it again.

maandag 5 juli 2010 20:06

Acties:

0 Henk 'm!

Obiter dictum

Zwart, geen suiker.

Ik ga zodirect alle site's uit het artikel even af, eens kijken of Telfort ook tot afsluiting zal overgaan. Zoja; dan zal dat interessante jurisprudentie opleveren die ik maar al te graag op mijn naam heb staan!

In elk voor jou mooi dat je weer ingehaakt bent

Mijn meest recente productreview.
GoT; een haast oneindige bron van technologische kennis. Experts die elkaar helpen, en ik ben trots, hieraan een bijdrage -nsfw- te mogen leveren!

maandag 5 juli 2010 20:14

Acties:

0 Henk 'm!

Uberprutser

Obiter dictum schreef op maandag 05 juli 2010 @ 20:06:
Zoja; dan zal dat interessante jurisprudentie opleveren die ik maar al te graag op mijn naam heb staan!

Dat soort dingen zijn leuk!

As you may already have guessed, following the instructions may break your system and you are on your own to fix it again.

maandag 5 juli 2010 20:28

Acties:

0 Henk 'm!

Marzman

They'll never get caught.

Ik heb hem ook even bezocht (ook Telfort), kunnen we over twee dagen klagen in het Telfort topic bij webcare

Ik zou het wel heel raar vinden trouwens als Telfort dat doet als je een site bezoekt waar een nieuwsbericht over is geweest.

[ Voor 36% gewijzigd door Marzman op 05-07-2010 20:38 ]

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

maandag 5 juli 2010 22:03

Acties:

0 Henk 'm!

GrooV

Volgens mij hangen alle surfnet verbindingen (iig voor studenten) aan speciale network monitor apparaten. Dit gaat volledig automatisch een vaak krijg je ook een melding te zien dat je geblokkeerd bent en wat je er aan kan doen. Bij ons op de hogeschool kan je je zelf eenmalig weer deblokkeren door op een link te klikken onderaan de pagina.

dinsdag 6 juli 2010 00:17

Acties:

0 Henk 'm!

robbert

Topicstarter

GrooV schreef op maandag 05 juli 2010 @ 22:03:
Volgens mij hangen alle surfnet verbindingen (iig voor studenten) aan speciale network monitor apparaten. Dit gaat volledig automatisch een vaak krijg je ook een melding te zien dat je geblokkeerd bent en wat je er aan kan doen. Bij ons op de hogeschool kan je je zelf eenmalig weer deblokkeren door op een link te klikken onderaan de pagina.

Ja, zo'n netwerk monitor is er inderdaad, namelijk SURFcert. Echter gaat de procedure als volgt (tenminste dit leid ik af uit de activiteiten die vandaag plaats hebben gevonden en de mailtjes die ik er over heb ontvangen):

Iemand (in dit geval ShadowServer) rapporteert een security probleem bij SURFcert.
SURFcert rapporteert vervolgens bij de netwerkbeheerder (in dit geval het UCI van de RU) om de betreffende gebruiker af te sluiten.
De internet verbinding wordt geblokkeerd en alle HTTP requests worden doorgestuurd naar een speciale website die melding van de blokkade geeft.
Op die website kun je inderdaad eenmalig je internet verbinding laten deblokkeren en geeft verder de mogelijkheid anti-virus software te downloaden.
Deze website stuurt vervolgens een mailtje naar het UCI (met cc naar de gebruiker) om de blokkade op te heffen. Binnen 30 minuten zullen zij (volgens de beschrijving van de pagina) de blokkade opheffen. Mijn blokkade was ook binnen 30 minuten opgeheven.

Dit systeem is ansicht OK, mits enkel echte security problemen in punt (3.) terechtkomen.
Echter worden ergens problemen in een verkeerde categorie geplaatst. Het bezoeken van een website die copyright schendend materiaal aanbied mag nooit in de categorie "botnet" komen. Zo'n "security probleem" hoort gewoon in de categorie "prullenbak" gezien het bezoeken van zo'n website geen illegale activiteit in Nederland is en ook geen overlast aan het netwerk veroorzaakt.

Mijn hypothese is dat de mensen van zowel het UCI als SURFcert blindelings internetlijnen blokkeren (respectievelijk vragen te blokkeren) zonder na te denken of het wel om een echt security probleem gaat. Nu kan ik natuurlijk wel denken van "goh, negeer dit probleem, mijn internet werkt weer". Echter a.) vind ik dit principieel belachelijk b.) zal me het niks verbazen dat me dit nogmaals overkomt.

[ Voor 21% gewijzigd door robbert op 06-07-2010 00:30 ]

dinsdag 6 juli 2010 00:21

Acties:

0 Henk 'm!

Rockvee2

Ik ga deze sites maar niet bezoeken, dan krijg ik problemen thuis, bedankt voor de waarschuwing !

dinsdag 6 juli 2010 00:32

Acties:

0 Henk 'm!

JackBol

Security is not an option!

Je hebt het automatische alarm van Surfnet Cert getriggerd (genaamd N.E.R.D.).

Van veel bekende botnet controllers hebben zij de IP adressen en uit verkeersinformatie (netflow) hebben ze afgeleid dat jij contact hebt gehad met een verdacht IP adres. Surfnet Cert schrijft dan je ISP aan.

Wat je even moet doen is replyen op dat mailtje wat je van je ISP hebt gehad dat je de website moedwillig hebt bezocht via een browser (evt. ook de aanleiding) en dat je niet besmet bent met malware. CC cert@surfnet.nl even mee, dan gaat je unblock een stuk sneller.

De actuele opbrengst van mijn Tibber Homevolt

dinsdag 6 juli 2010 00:39

Acties:

0 Henk 'm!

robbert

Topicstarter

_DH schreef op dinsdag 06 juli 2010 @ 00:32:
Van veel bekende botnet controllers hebben zij de IP adressen en uit verkeersinformatie (netflow) hebben ze afgeleid dat jij contact hebt gehad met een verdacht IP adres. Surfnet Cert schrijft dan je ISP aan.

Mijn eerste hypothese was inderdaad dat SURFcert mijn verbindingen door een blacklist haalt en als ik (te vaak) verbinding met een malafide IP-adres, domein, wat dan ook, maak zij mij als verdacht beschouwen. Echter staat het volgende in het mailtje dat ik heb ontvangen:

Van het ShadowServer project hebben we informatie gekregen...

Dit zegt dus dat het "ShadowServer project" SURFcert op de hoogte heeft gesteld van dit "probleem". Dit betekent dat a.) SURFcert al mijn verkeer door het ShadowServer project laat controleren of b.) ShadowServer verkeer naar de betreffende website (piratecity) logt. Punt (a.) lijkt me erg onwaarschijnlijk gezien ShadowServer een Amerikaanse organisatie is en totaal niks met mijn verkeersinformatie te doen heeft. Daarnaast lijkt punt (a.) op grove privacy schending (ja, ik weet van het bestaan van het bewaarplicht, maar dat geeft naar mijn weten mijn ISP niet het recht mijn verkeersinformatie door te spelen aan een derde partij zonder gerechtelijk bevel).

Wat je even moet doen is replyen op dat mailtje wat je van je ISP hebt gehad dat je de website moedwillig hebt bezocht via een browser (evt. ook de aanleiding) en dat je niet besmet bent met malware. CC cert@surfnet.nl even mee, dan gaat je unblock een stuk sneller.

Mijn blokkade is al opgeheven, dat is het probleem niet. Het probleem heb ik in voorgaande post beschreven.

[ Voor 13% gewijzigd door robbert op 06-07-2010 00:50 ]

dinsdag 6 juli 2010 01:06

Acties:

0 Henk 'm!

Brad

nou ik heb die sites maar eens bezocht, ben toch wel benieuwt of er morgen of overmorgen wat gebeurd

vind dit overigens wel erg laag en ben ook erg benieuwt om welke isp dit gaat...

dinsdag 6 juli 2010 07:56

Acties:

0 Henk 'm!

Kabouterplop01

chown -R me base:all

_DH schreef op dinsdag 06 juli 2010 @ 00:32:
Je hebt het automatische alarm van Surfnet Cert getriggerd (genaamd N.E.R.D.).

Van veel bekende botnet controllers hebben zij de IP adressen en uit verkeersinformatie (netflow) hebben ze afgeleid dat jij contact hebt gehad met een verdacht IP adres. Surfnet Cert schrijft dan je ISP aan.

Lekker monitoring systeem dan; als je 1 x een bepaald ip adres bezoekt dat je dan geblokkeerd wordt. Hier gaat ons open en vrije internet.
Dit moet een andere oorzaak hebben, als een monitoring systeem na 1 x bezoeken van een bepaald ip adres wordt getriggered om je in een quarantaine omgeving te plaatsen...(Of het staat erg truttig ingesteld.)

dinsdag 6 juli 2010 09:50

Acties:

0 Henk 'm!

JackBol

Security is not an option!

robbert schreef op dinsdag 06 juli 2010 @ 00:39:
Dit zegt dus dat het "ShadowServer project" SURFcert op de hoogte heeft gesteld van dit "probleem". Dit betekent dat a.) SURFcert al mijn verkeer door het ShadowServer project laat controleren of b.) ShadowServer verkeer naar de betreffende website (piratecity) logt. Punt (a.) lijkt me erg onwaarschijnlijk gezien ShadowServer een Amerikaanse organisatie is en totaal niks met mijn verkeersinformatie te doen heeft. Daarnaast lijkt punt (a.) op grove privacy schending (ja, ik weet van het bestaan van het bewaarplicht, maar dat geeft naar mijn weten mijn ISP niet het recht mijn verkeersinformatie door te spelen aan een derde partij zonder gerechtelijk bevel).

Wellicht krijgen ze wel gewoon IP adressen door vanuit het ShadowServer project, en nemen ze die over in hun eigen tool. Niet meteen te zwart denken! Overigens doet Surfnet helemaal niet aan bewaarplicht omdat ze vinden dat ze geen ISP maar een NREN zijn.

Kabouterplop01 schreef op dinsdag 06 juli 2010 @ 07:56:
[...]
Lekker monitoring systeem dan; als je 1 x een bepaald ip adres bezoekt dat je dan geblokkeerd wordt. Hier gaat ons open en vrije internet.
Dit moet een andere oorzaak hebben, als een monitoring systeem na 1 x bezoeken van een bepaald ip adres wordt getriggered om je in een quarantaine omgeving te plaatsen...(Of het staat erg truttig ingesteld.)

Surfnet is gewoon een ISP met algemene voorwaarden. Daar zal een dergelijke clausule vast wel in staan. Dat heeft niets met de openheid van internet te maken!

De actuele opbrengst van mijn Tibber Homevolt

dinsdag 6 juli 2010 11:21

Acties:

0 Henk 'm!

robbert

Topicstarter

_DH schreef op dinsdag 06 juli 2010 @ 09:50:
Wellicht krijgen ze wel gewoon IP adressen door vanuit het ShadowServer project, en nemen ze die over in hun eigen tool. Niet meteen te zwart denken! Overigens doet Surfnet helemaal niet aan bewaarplicht omdat ze vinden dat ze geen ISP maar een NREN zijn.

Dat ShadowServer SURFcert op de hoogste stelt was juist mijn hypothese. Dat andere scenario achte ik erg onwaarschijnlijk en ongewenst.

Surfnet is gewoon een ISP met algemene voorwaarden. Daar zal een dergelijke clausule vast wel in staan.

Ja, want het is volstrekt normaal iemand te blokkeren als die eenmalig een website met copyright schendend materiaal bezoekt.

dinsdag 6 juli 2010 14:33

Acties:

0 Henk 'm!

Marzman

They'll never get caught.

robbert schreef op dinsdag 06 juli 2010 @ 11:21:
[...]
Ja, want het is volstrekt normaal iemand te blokkeren als die eenmalig een website met copyright schendend materiaal bezoekt.

Dat niet, maar het risico op een false positive kunnen ze best bewust hebben genomen om te veel handwerk voor de abuseafdeling te voorkomen.

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

dinsdag 6 juli 2010 14:40

Acties:

0 Henk 'm!

CyBeR

💩

robbert schreef op dinsdag 06 juli 2010 @ 11:21:
[...]

Ja, want het is volstrekt normaal iemand te blokkeren als die eenmalig een website met copyright schendend materiaal bezoekt.

SURFnet kan dat eigenlijk betrekkelijk weinig schelen. Nou ja ze hebben 't vast liever niet, maar ze hebben belangrijker zaken om zich mee bezig te houden. Zoals het feit dat NRENs over de hele wereld een geliefd doelwit zijn van l33t haxx0rers die botnets aan willen slingeren, omdat daar nou eenmaal de serieuze bandbreedte zit terwijl er tegelijkertijd voornamelijk nitwits op aangesloten zijn. Dat voorkomen is iets waar SURFnet vrij serieus veel aandacht aan besteedt, en daar ben jij overheen gestruikeld.

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 6 juli 2010 14:54

Acties:

0 Henk 'm!

robbert

Topicstarter

CyBeR schreef op dinsdag 06 juli 2010 @ 14:40:
[...]

SURFnet kan dat eigenlijk betrekkelijk weinig schelen. Nou ja ze hebben 't vast liever niet, maar ze hebben belangrijker zaken om zich mee bezig te houden. Zoals het feit dat NRENs over de hele wereld een geliefd doelwit zijn van l33t haxx0rers die botnets aan willen slingeren, omdat daar nou eenmaal de serieuze bandbreedte zit terwijl er tegelijkertijd voornamelijk nitwits op aangesloten zijn. Dat voorkomen is iets waar SURFnet vrij serieus veel aandacht aan besteedt, en daar ben jij overheen gestruikeld.

Ik snap dat ze botnets en dergelijke willen vermijden gezien de bandbreedte van dit soort verbindingen enorm is. Echter dat een volgende log entry als "botnet" wordt geclassificeerd is gewoon idioot en getuigt van het blindelings blokkeren zonder enig onderzoek.

code:

1
2

timestamp,ip,asn,geo,url,type,http_agent,tor,src_port,p0f_genre,p0f_detail,hostname,dst_port,http_host,http_referer,http_referer_asn,http_referer_geo
"2010-07-03 ??: ??: ??","???.???.???.???",1103,"NL","GET / HTTP/1.1",,"Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6",,57038,"Linux","2.6 (newer, 3)",,80,"thepiratecity.org",,,

Er zijn tenminste 3 dingen mis:

Er is maar 1 entry. In het geval van een botnet zou je verwachten dat er continue verbindingen worden gemaakt en daar ook iets van terug te zien moeten zijn.
Het gaat om een normale HTTP-request door een normale browser.
Het is een HTTP-request naar een website die in het nieuws is geweest. Daarnaast is duidelijk aan de naam ("pirate") te zien dat dit te maken heeft met copyright schending.

dinsdag 6 juli 2010 15:00

Acties:

0 Henk 'm!

Hoite

Goed verhaal

Ik heb ook de websites bezocht, interNLnet.
Ik geloof er niks van dat ik nu wordt afgesloten, maar aangezien jij het wel bent, gaan we er achter komen.

Lekker kort.

dinsdag 6 juli 2010 15:08

Acties:

0 Henk 'm!

denan

Hoite schreef op dinsdag 06 juli 2010 @ 15:00:
Ik heb ook de websites bezocht, interNLnet.
Ik geloof er niks van dat ik nu wordt afgesloten, maar aangezien jij het wel bent, gaan we er achter komen.

Het UCI (die zijn verantwoordelijk voor het beheer van je verbinding) heeft andere richtlijnen dan InterNLnet. Ik heb in het verleden ook wel eens gezeur gehad (lang lang geleden toen ik student was) omdat ze me na een abusemelding direct afsloten.. ook al was het bestand niet de film waarover geklaagd werd. Bij InterNLnet is het beleid dat we de melding doorzetten naar de eindklant.. en er verder niets mee doen. Tenzij het echt een botnet betreft.

[ Voor 4% gewijzigd door denan op 06-07-2010 15:09 ]

dinsdag 6 juli 2010 15:10

Acties:

0 Henk 'm!

CyBeR

💩

robbert schreef op dinsdag 06 juli 2010 @ 14:54:
[...]

Ik snap dat ze botnets en dergelijke willen vermijden gezien de bandbreedte van dit soort verbindingen enorm is. Echter dat een volgende log entry als "botnet" wordt geclassificeerd is gewoon idioot en getuigt van het blindelings blokkeren zonder enig onderzoek.
code:
1
2
timestamp,ip,asn,geo,url,type,http_agent,tor,src_port,p0f_genre,p0f_detail,hostname,dst_port,http_host,http_referer,http_referer_asn,http_referer_geo
"2010-07-03 ??: ??: ??","???.???.???.???",1103,"NL","GET / HTTP/1.1",,"Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6",,57038,"Linux","2.6 (newer, 3)",,80,"thepiratecity.org",,,
Er zijn tenminste 3 dingen mis:
Er is maar 1 entry. In het geval van een botnet zou je verwachten dat er continue verbindingen worden gemaakt en daar ook iets van terug te zien moeten zijn.
Het gaat om een normale HTTP-request door een normale browser.
Het is een HTTP-request naar een website die in het nieuws is geweest. Daarnaast is duidelijk aan de naam ("pirate") te zien dat dit te maken heeft met copyright schending.

Mwah. Je overschat nu denk ik 't gebeuren. Het is gewoon een geautomatiseerd systeem dat nu toevallig jou heeft aangewezen als potentieel deelnemer van een botnet. Waarschijnlijk omdat er meer 'meldingen' waren van hosts die een enkel request naar die host deden. Dat is verdacht gedrag. Op een website krijg je namelijk juist meerdere hits.

Verder is een user-agent so spoofbaar als de pest natuurlijk.

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 6 juli 2010 15:24

Acties:

0 Henk 'm!

robbert

Topicstarter

denan schreef op dinsdag 06 juli 2010 @ 15:08:
Het UCI (die zijn verantwoordelijk voor het beheer van je verbinding) heeft andere richtlijnen dan InterNLnet. Ik heb in het verleden ook wel eens gezeur gehad (lang lang geleden toen ik student was) omdat ze me na een abusemelding direct afsloten.. ook al was het bestand niet de film waarover geklaagd werd.

Dat bevestigt mijn vermoeden betreft de werkwijze van het UCI. Dank.

Bij InterNLnet is het beleid dat we de melding doorzetten naar de eindklant.. en er verder niets mee doen. Tenzij het echt een botnet betreft.

Dat lijkt me inderdaad de correcte handelswijze.

CyBeR schreef op dinsdag 06 juli 2010 @ 15:10:
Mwah. Je overschat nu denk ik 't gebeuren. Het is gewoon een geautomatiseerd systeem dat nu toevallig jou heeft aangewezen als potentieel deelnemer van een botnet.

Niet helemaal, ik heb namelijk op verzoek een kopie de mail ontvangen die SURFcert naar het UCI heeft gestuurd (dus er is mensenwerk in spel). Deze mail bevat zelfs "Graag onderzoek en afmelding.", nou dat onderzoek hebben ze niet echt uitgevoerd.

[ Voor 26% gewijzigd door robbert op 06-07-2010 15:29 ]

dinsdag 6 juli 2010 15:32

Acties:

0 Henk 'm!

RivalMarco

Ik heb de site ook even bezocht, ben benieuwd ^^

dinsdag 6 juli 2010 18:26

Acties:

0 Henk 'm!

CyBeR

💩

robbert schreef op dinsdag 06 juli 2010 @ 15:24:
[...]

Niet helemaal, ik heb namelijk op verzoek een kopie de mail ontvangen die SURFcert naar het UCI heeft gestuurd (dus er is mensenwerk in spel). Deze mail bevat zelfs "Graag onderzoek en afmelding.", nou dat onderzoek hebben ze niet echt uitgevoerd.

Zou ik ook niet doen als ik hen was. Elke mogelijke botnet-infected pc langslopen is gewoon teveel werk. Afsluiten is sneller en effectiever.

All my posts are provided as-is. They come with NO WARRANTY at all.

woensdag 7 juli 2010 10:47

Acties:

0 Henk 'm!

jessewillem

Een week geleden bezocht, mooie banner overigens, maar ik heb nog steeds internet ;-)

Ik zit bij Online overigens.

[ Voor 15% gewijzigd door jessewillem op 07-07-2010 10:47 ]

zaterdag 10 juli 2010 17:30

Acties:

0 Henk 'm!

Onbekend

...

Wat is nu de status?
Laat je het een beetje rusten of ga je er achteraan waarom jouw internetverbinding direct werd afgesloten.

Speel ook Balls Connect en Repeat

vrijdag 16 juli 2010 21:14

Acties:

0 Henk 'm!

robbert

Topicstarter

Onbekend schreef op zaterdag 10 juli 2010 @ 17:30:
Wat is nu de status?

Ik heb een klacht ingedient en kreeg een verontschuldiging terug. Ze zeggen dat ze bij Shadowserver hebben nagevraagd wat de oorzaak was en de oorzaak was als volgt:

Shadowserver geeft aan een fout gemaakt te hebben. Ze hebben na een crash van een blackholing server data verstuurd ie niet verzonden had mogen worden.

Dit klinkt nog steeds als een raar verhaal. De afgelopen week ben ik weg geweest dus heb ook geen tijd meer gehad om er nog verdere moeite in te steken en denk ook niet meer dat ik dat nu nog gaan doen. Laten we maar hopen dat het niet nogmaals gebeurt.

zaterdag 17 juli 2010 16:26

Acties:

0 Henk 'm!

JackBol

Security is not an option!

robbert schreef op vrijdag 16 juli 2010 @ 21:14:
[...]

Ik heb een klacht ingedient en kreeg een verontschuldiging terug. Ze zeggen dat ze bij Shadowserver hebben nagevraagd wat de oorzaak was en de oorzaak was als volgt:

[...]

Dit klinkt nog steeds als een raar verhaal. De afgelopen week ben ik weg geweest dus heb ook geen tijd meer gehad om er nog verdere moeite in te steken en denk ook niet meer dat ik dat nu nog gaan doen. Laten we maar hopen dat het niet nogmaals gebeurt.

Misschien moet je ook wat aan verwachtingsmanagement doen. Ik merk tussen de regels door dat je nogal verontwaardigd bent, maar feitelijk ben je slechts 1 van de 180.000 gebruikers van SURFnet. Jou 'recht op open internet' komt wel zoveel niveaus lager dan het beschermen van het snelste netwerk van Nederland tegen malicious users...

De actuele opbrengst van mijn Tibber Homevolt

Onderwerpen