Toon posts:

KPN AbuseMail gehad, wat te doen?

Pagina: 1
Acties:

vrijdag 23 juli 2010 22:36

Acties:
  • 0 Henk 'm!
  • stephenophof
  • Registratie: November 2006
  • Laatst online: 21-11-2022

stephenophof

Topicstarter
Hallo allemaal,

Een kennis van mij ontving vandaag onderstaand e-mailbericht.
Wat moet ik hier aan doen want zelf snap ik het niet helemaal.. :S
Van: KPN Abuse Team <abuse@kpnmail.nl>
Datum: 22 juli 2010 12:59
Onderwerp: [Abusedesk #436947] Waarschuwing! (M.Wieringen5)
Aan: xxxxxxxxxxxxxx@hetnet.nl


Geachte heer/mevrouw,


Langs deze weg willen wij u erop attenderen dat wij signalen hebben ontvangen dat er via uw verbinding een DNS verzoek kan worden gemaakt. Hierdoor zijn u en anderen kwetsbaar voor mogelijk misbruik. Op basis van de melding kunnen wij niet direct uitsluiten wat de oorzaak hiervan is.


Dit kan meerdere oorzaken hebben:

1) U maakt gebruik van een server.

2) U maakt gebruik van software dat een DNS service heeft.

3) Uw modem is niet goed geconfigureerd.


Op uw verbinding staat momenteel een DNS server open voor het internet. Deze situatie kan een groot gevaar opleveren. Dit alles zal momenteel buiten uw medeweten gebeuren.


In alle gevallen is het erg belangrijk dat u de instellingen en beveiliging van de drie mogelijke oorzaken goed nakijkt.


Graag ontvangen wij een inhoudelijke reactie op dit bericht.


LET OP: Het onderwerp van dit bericht bevat een ticketnummer. Het is belangrijk dat u het onderwerp van dit bericht niet verandert. U kunt ook vanaf een ander e-mailadres contact met ons opnemen. Vermeld dan het onderwerp van dit bericht.


Met vriendelijke groet,


KPN Abuse Team

abuse@kpnmail.nl

--

De afdeling Abuse van KPN handelt veiligheidsincidenten af voor KPN. Meer informatie over de afdeling Abuse kunt u vinden op: http://www.kpn.com/abuse .

-- -

vrijdag 23 juli 2010 22:37

Acties:
  • 0 Henk 'm!
  • Japperrrr
  • Registratie: Augustus 2009
  • Laatst online: 04-09 23:50

Japperrrr

De firewall is volgens mij niet goed ingesteld. Je kunt deze vinden op de router.

vrijdag 23 juli 2010 22:41

Acties:
  • 0 Henk 'm!
  • stephenophof
  • Registratie: November 2006
  • Laatst online: 21-11-2022

stephenophof

Topicstarter
Japperrrr schreef op vrijdag 23 juli 2010 @ 22:37:
De firewall is volgens mij niet goed ingesteld. Je kunt deze vinden op de router.
Hmm, zal dat eens nakijken.
Het is een KPN Experiabox, zo'n oude grijze nog, Siemens SX551 volgensmij.
Het lijkt me dat bij deze standaard de firewall aanstaat?

[ Voor 0% gewijzigd door stephenophof op 23-07-2010 22:41 . Reden: typo ]

vrijdag 23 juli 2010 22:54

Acties:
  • 0 Henk 'm!
  • Creesch
  • Registratie: Februari 2002
  • Laatst online: 13:06

Creesch

bla bla!

Ik zou ook eens optie twee onderzoeken, meer in het kader van software waar je geen weet van hebt (virus, spyware, etc).

Als het gaat om een standaard kpn modem zou daar niet heel veel mis mee moeten gaan, je zou kunnen proberen alle instellingen te resetten naar default en dan alleen de noodzakelijke dingen terug te zetten (wifi bijvoorbeeld)

vrijdag 23 juli 2010 22:56

Acties:
  • 0 Henk 'm!
  • moto-moi
  • Registratie: Juli 2001
  • Laatst online: 09-06-2011

moto-moi

Ja, ik haat jou ook :w

Ik zou eerst eens de headers van die email doorlezen, want zo'n verschrikkelijk groot gevaar is een open dnsserver nou ook weer niet volgens mij.

God, root, what is difference? | Talga Vassternich | IBM zuigt

vrijdag 23 juli 2010 23:20

Acties:
  • 0 Henk 'm!
  • Japperrrr
  • Registratie: Augustus 2009
  • Laatst online: 04-09 23:50

Japperrrr

Als het een leenrouter is kun je em altijd nog stukgooien, dan krijg je een nieuwe :Y

vrijdag 23 juli 2010 23:27

Acties:
  • 0 Henk 'm!
  • Sircam
  • Registratie: September 2007
  • Laatst online: 14-12-2019

Sircam

Hitmanpro en MBAM even over het systeem laten lopen en zorgen voor een goede virusscanner. Bij tweede bericht of bij geen bericht van klantzijde wordt verbinding in quarantaine gezet en pas weer vrijgegeven als alle virussen, spyware etc van de pc verwijderd is. Kan een week duren als je niet tijdig reageert. Als alles schoon is, email terugsturen en melden dat alles weer ok is. Liefst met rapportjes van Hitmanpro, MBAM etc.
Ik zou wel reageren anders zetten ze je toch in quarantaine

zaterdag 24 juli 2010 00:14

Acties:
  • 0 Henk 'm!
  • stephenophof
  • Registratie: November 2006
  • Laatst online: 21-11-2022

stephenophof

Topicstarter
Bedankt voor een ieder zijn reactie, maar toch vreemd dat ze zich hiermee gaan bemoeien vind ik. Zo'n gevaar vind ik het zelf nou ook niet. ;)

zaterdag 24 juli 2010 02:03

Acties:
  • 0 Henk 'm!
  • Hulkiedulkie
  • Registratie: Juni 2009
  • Laatst online: 18-08 01:10

Hulkiedulkie

Meer info over het gevaar van DNS servers die recursive queries toestaan, inclusief een testpagina waar je je eigen ip-adres kunt testen.

http://dns.measurement-fa...urveys/openresolvers.html

""Open resolvers are being used in widespread DDoS attacks with spoofed source addresses and large DNS reply messages. ""

[ Voor 23% gewijzigd door Hulkiedulkie op 24-07-2010 02:05 ]

zaterdag 24 juli 2010 02:12

Acties:
  • 0 Henk 'm!
  • Marzman
  • Registratie: December 2001
  • Niet online

Marzman

They'll never get caught.

Je mag toch wel een dnsserver draaien als je dat wilt? Heb dat vroeger ook wel eens gedaan en als je hem opgeeft als dns bij je domein dan zal hij toch bereikbaar moeten zijn.

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

zaterdag 24 juli 2010 04:34

Acties:
  • 0 Henk 'm!
  • Hulkiedulkie
  • Registratie: Juni 2009
  • Laatst online: 18-08 01:10

Hulkiedulkie

Marzman schreef op zaterdag 24 juli 2010 @ 02:12:
Je mag toch wel een dnsserver draaien als je dat wilt? Heb dat vroeger ook wel eens gedaan en als je hem opgeeft als dns bij je domein dan zal hij toch bereikbaar moeten zijn.
Het probleem zit hem waarschijnlijk niet in het feit dat er een DNS-server gedraaid wordt maar dat deze misbruikt kan worden doordat hij recursiver queries accepteert waarmee een DDoS aanval kan worden uitgevoerd.

zaterdag 24 juli 2010 09:56

Acties:
  • 0 Henk 'm!
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 08:29

Kabouterplop01

chown -R me base:all

vooral als die voor de buitenwereld bereikbaar is ja. Maare ik zou dat Abuse team mooi een nieuw modem laten regelen als het inderdaad het modem blijkt te zijn.

[ Voor 50% gewijzigd door Kabouterplop01 op 24-07-2010 09:57 ]

zaterdag 24 juli 2010 10:07

Acties:
  • 0 Henk 'm!
  • Japperrrr
  • Registratie: Augustus 2009
  • Laatst online: 04-09 23:50

Japperrrr

Stukgooien dus :)

zaterdag 24 juli 2010 10:30

Acties:
  • 0 Henk 'm!
  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 16:14

DataGhost

iPL dev

Japperrrr schreef op zaterdag 24 juli 2010 @ 10:07:
Stukgooien dus :)
Ik zal jouw auto scooter eens kapot rijden tegen een boom als ik hem leen...

[ Voor 3% gewijzigd door DataGhost op 24-07-2010 10:31 ]

zaterdag 24 juli 2010 10:49

Acties:
  • 0 Henk 'm!
  • Aghanim
  • Registratie: Januari 2002
  • Niet online

Aghanim

DataGhost schreef op zaterdag 24 juli 2010 @ 10:30:
[...]

Ik zal jouw auto scooter eens kapot rijden tegen een boom als ik hem leen...
Brokken is dokken ;)

zaterdag 24 juli 2010 10:54

Acties:
  • 0 Henk 'm!
  • eX0duS
  • Registratie: Juni 2001
  • Laatst online: 10-09 04:00

eX0duS

Stuk gooien hoeft ook nog niet eens. Je kan ook gewoon de stroom er af halen en KPN bellen dat je modem het niet meer doet. Zeg gewoon dat hij niet meer aan gaat, je krijgt dan gratis een nieuwe.
Werkt ook goed als je een oud modem hebt en je wil draadloos.

zaterdag 24 juli 2010 11:02

Acties:
  • 0 Henk 'm!
  • Rockvee2
  • Registratie: April 2008
  • Niet online

Rockvee2

eX0duS schreef op zaterdag 24 juli 2010 @ 10:54:
Stuk gooien hoeft ook nog niet eens. Je kan ook gewoon de stroom er af halen en KPN bellen dat je modem het niet meer doet. Zeg gewoon dat hij niet meer aan gaat, je krijgt dan gratis een nieuwe.
Werkt ook goed als je een oud modem hebt en je wil draadloos.
Dat er mensen bestaan die dit flikken,liegen om nieuwe apparatuur te krijgen.

zaterdag 24 juli 2010 11:52

Acties:
  • 0 Henk 'm!
  • GraveR
  • Registratie: Januari 2000
  • Laatst online: 22-08 19:26

GraveR

moto-moi schreef op vrijdag 23 juli 2010 @ 22:56:
Ik zou eerst eens de headers van die email doorlezen, want zo'n verschrikkelijk groot gevaar is een open dnsserver nou ook weer niet volgens mij.
DNS Amplification Attacks: http://www.secureworks.co...hreats/dns-amplification/

zaterdag 24 juli 2010 12:01

Acties:
  • 0 Henk 'm!
  • mindcrash
  • Registratie: April 2002
  • Laatst online: 22-11-2019

mindcrash

Rebellious Monkey

Lijkt me toch echt niet dat op een Experiabox by default poort 53 standaard open staat / geNAT is. Hoe is dat ding geconfigureerd?

Een computer scannen heeft weinig zin denk ik, aangezien je kennis waarschijnlijk gewoon thuis een paar Windows Vista/7/whatever bakken heeft draaien en daar staat by default geen DNS server op (en communicatie op poort 53 wordt niet aan de buitenwereld doorgegeven tenzij de firewall open staat, poort 53 proactief via NAT richting internet wordt geexposed of de desbetreffende machine in de "DMZ" van de Experiabox staat)

My 2 cents ;)

"The people who are crazy enough to think they could change the world, are the ones who do." -- Steve Jobs (1955-2011) , Aaron Swartz (1986-2013)

zaterdag 24 juli 2010 12:29

Acties:
  • 0 Henk 'm!

Verwijderd

Antwoord terug sturen: Ik draai inderdaad een DNS server, so what? Wat een non-probleem en wat een tijdverspilling voor die abuse medewerkers dit.

zaterdag 24 juli 2010 12:37

Acties:
  • 0 Henk 'm!
  • TommyGun
  • Registratie: Mei 2004
  • Laatst online: 08-09 22:55

TommyGun

Stik er maar in!

Verwijderd schreef op zaterdag 24 juli 2010 @ 12:29:
Antwoord terug sturen: Ik draai inderdaad een DNS server, so what? Wat een non-probleem en wat een tijdverspilling voor die abuse medewerkers dit.
Inderdaad, lekker belangrijk. Ik kreeg zulke mails ook altijd van UPC, over m'n webserver en zo. ;w

“In a world without walls and fences, who needs Windows and Gates".

zaterdag 24 juli 2010 13:02

Acties:
  • 0 Henk 'm!
  • moto-moi
  • Registratie: Juli 2001
  • Laatst online: 09-06-2011

moto-moi

Ja, ik haat jou ook :w

GraveR schreef op zaterdag 24 juli 2010 @ 11:52:
DNS Amplification Attacks: http://www.secureworks.co...hreats/dns-amplification/
Elke host kun je plat krijgen door veel data op te vragen, daarvoor is dns niet uniek. Sowieso staat in je link de oplossing. Mijn eigen dnssserver thuis reageert niet op een '.' request met een onwijs groot antwoord, dus ik gok dat dat al een tijdje de standaard configuratie is ;) Roepen tegen een klant dat 'ie stom is 'want hij draait dns' blijft dus raar.

God, root, what is difference? | Talga Vassternich | IBM zuigt

zaterdag 24 juli 2010 13:09

Acties:
  • 0 Henk 'm!
  • Josserd
  • Registratie: Februari 2009
  • Laatst online: 18-07-2015

Josserd

eX0duS schreef op zaterdag 24 juli 2010 @ 10:54:
Stuk gooien hoeft ook nog niet eens. Je kan ook gewoon de stroom er af halen en KPN bellen dat je modem het niet meer doet. Zeg gewoon dat hij niet meer aan gaat, je krijgt dan gratis een nieuwe.
Werkt ook goed als je een oud modem hebt en je wil draadloos.
Dan krijg je waarschijnlijk gratis een nieuwe adapter! (Y)

zaterdag 24 juli 2010 13:29

Acties:
  • 0 Henk 'm!
  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 16:14

DataGhost

iPL dev

moto-moi schreef op zaterdag 24 juli 2010 @ 13:02:
[...]

Elke host kun je plat krijgen door veel data op te vragen, daarvoor is dns niet uniek. Sowieso staat in je link de oplossing. Mijn eigen dnssserver thuis reageert niet op een '.' request met een onwijs groot antwoord, dus ik gok dat dat al een tijdje de standaard configuratie is ;) Roepen tegen een klant dat 'ie stom is 'want hij draait dns' blijft dus raar.
Het gaat er meer om dat een request-packet voor "." 45 bytes groot is (het UDP-pakketje, bij mij) en de response 288 bytes (of zelfs het dubbele of meer), als je DNS-server niet goed geconfigureerd is. Het idee achter die aanval is dat als je het source-adres spooft, je met een 1Mbit-uplink ongeveer 2700 pakketjes per seconde kan sturen, wat dan weer 6,4 Mbit (bij responses van 288 bytes) aan respons oplevert *naar je doel*. Doe dit met veel servers en je kan met relatief weinig eigen machines toch een hoop schade aanrichten. Dat is meer het probleem. Ik denk dan ook niet dat ze zomaar een mailtje sturen vanwege het draaien van 'een DNS-server', dat doe ik namelijk al een jaar of vijf op het KPN thuislijntje van m'n ouders, maar dat het echt gaat om een foute configuratie.

zaterdag 24 juli 2010 14:14

Acties:
  • 0 Henk 'm!
  • moto-moi
  • Registratie: Juli 2001
  • Laatst online: 09-06-2011

moto-moi

Ja, ik haat jou ook :w

DataGhost schreef op zaterdag 24 juli 2010 @ 13:29:
[...]

Het gaat er meer om dat een request-packet voor "." 45 bytes groot is (het UDP-pakketje, bij mij) en de response 288 bytes (of zelfs het dubbele of meer), als je DNS-server niet goed geconfigureerd is. Het idee achter die aanval is dat als je het source-adres spooft, je met een 1Mbit-uplink ongeveer 2700 pakketjes per seconde kan sturen, wat dan weer 6,4 Mbit (bij responses van 288 bytes) aan respons oplevert *naar je doel*. Doe dit met veel servers en je kan met relatief weinig eigen machines toch een hoop schade aanrichten. Dat is meer het probleem. Ik denk dan ook niet dat ze zomaar een mailtje sturen vanwege het draaien van 'een DNS-server', dat doe ik namelijk al een jaar of vijf op het KPN thuislijntje van m'n ouders, maar dat het echt gaat om een foute configuratie.
Mjah, dus :? Jij doet een 'GET /' op tweakers.net, en daar krijg je ook ruim meer data voor terug, zullen we dan ook maar gaan roepen dat jij geen http meer mag doen? ;) Elke site is plat te krijgen met dit soort trucjes, een thuis consumentenlijntje is daar uiteraard geen uitzondering op.

God, root, what is difference? | Talga Vassternich | IBM zuigt

zaterdag 24 juli 2010 14:18

Acties:
  • 0 Henk 'm!
  • Japperrrr
  • Registratie: Augustus 2009
  • Laatst online: 04-09 23:50

Japperrrr

Rockvee2 schreef op zaterdag 24 juli 2010 @ 11:02:
[...]
Dat er mensen bestaan die dit flikken,liegen om nieuwe apparatuur te krijgen.
Dat er providers bestaan die hun klanten oude apparatuur laten gebruiken en ze vervolgens wijzen op de beveiligingslekken die ze zelf hebben gecreëerd! Wij hadden een oude router van UPC die iedere keer als het een warme dag was uitviel. UPC zei dat het niet mogelijk was dat de router te warm werd en daardoor uitviel. Hoeveel keus heb je dan? :+

zondag 25 juli 2010 11:01

Acties:
  • 0 Henk 'm!
  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 16:14

DataGhost

iPL dev

moto-moi schreef op zaterdag 24 juli 2010 @ 14:14:
[...]

Mjah, dus :? Jij doet een 'GET /' op tweakers.net, en daar krijg je ook ruim meer data voor terug, zullen we dan ook maar gaan roepen dat jij geen http meer mag doen? ;) Elke site is plat te krijgen met dit soort trucjes, een thuis consumentenlijntje is daar uiteraard geen uitzondering op.
Mja, dat is TCP en niet geweldig spoofbaar. Die request kan je pas doen als je zelf ook weer een pakje terug hebt ontvangen en dan pas de request doet. Met DNS gaat het met UDP en daarbij kan je wel het source-adres spoofen met het adres van je target. Het gaat niet om het platkrijgen van de DNS-server maar om het platkrijgen van iemand anders, met behulp van die DNS-server.

Anders gezegd trouwens: voor een DDoS met dezelfde omvang heb je *zelf* nog maar 1/6 tot 1/12 van je bandwidth nodig als je genoeg open DNS-servers hebt gevonden. Als t.net zo'n ding zou hebben staan zou ik met mijn 100Mbit thuislijntje die gigabit-uplink (of is het ondertussen meer?) vol kunnen trekken en dat op jouw eigen thuislijn richten ofzo.

[ Voor 18% gewijzigd door DataGhost op 25-07-2010 11:23 ]

zondag 25 juli 2010 11:09

Acties:
  • 0 Henk 'm!
  • MikeN
  • Registratie: April 2001
  • Laatst online: 11-09 19:11

MikeN

moto-moi schreef op zaterdag 24 juli 2010 @ 14:14:
[...]

Mjah, dus :? Jij doet een 'GET /' op tweakers.net, en daar krijg je ook ruim meer data voor terug, zullen we dan ook maar gaan roepen dat jij geen http meer mag doen? ;) Elke site is plat te krijgen met dit soort trucjes, een thuis consumentenlijntje is daar uiteraard geen uitzondering op.
Het gaat er niet om dat het thuislijntje plat te krijgen is. Het gaat erom dat DNS over UDP gaat (wat geen 3 way handshake heeft en waar de afzender dus eenvoudig te spoofen is), en dat een server die recursive queries toestaat meer data retourneert. Als je dan een 100 Mbit host hebt en wat open DNS servers, kun je ineens een Gbit verkeer veroorzaken, niet zo fijn.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq