Hulp bij een botnet op 1 van mijn pc's - Privacy en beveiliging

woensdag 24 oktober 2012 20:25

Acties:

0 Henk 'm!

Anoniem: 312728

Topicstarter

Beste medeTweakers,

(als de titel niet mag excusses daarvoor allereerst)
Ik ben vandaag afgesloten door mijn provider (Internet werkt inmiddels weer!) van internet wegens een botnet bij mij op een van mijn 14 pc's & tablets. Nou heb ik alles uitgezocht tot zover en ben er achter gekomen dat ik helaas alle pc's moet controleren (als ik dat niet doe dan kan mijn internet voor een paar weken afgesloten worden wegens blacklist etc). Nou had ik een aantal vragen MBT dit issue, namelijk:

- Zou een fysieke firewall virussen tegenhouden? (ik vraag dit mbt ervaring hiermee, ik kan overigens aan verschillende gratis firewalls komen)
- Wat is de beste virus scanner om dit soort zooi tegen te houden?
- Omdat ik een redelijke android fan (ik bedoel hier GEEN apple bash mee!) ben en hier ook tablets van heb vraag ik me af of hier ook virus scanners voor zijn (ik heb gelezen dat een botnet zich ook kan manifestireren op een android tablet, virus scanner gratis uiteraard

)
- Mag een Internet provider deep packet inspection gebruiken bij mijn internet gebruik? En de resultaten daarvan gebruiken om mij af te sluiten van internet?
- Mag mijn Internet provider mij afsluiten van internet? Ik doel daarmee op dat er mij iets bij staat van dat internet een eerste LEVENSbehoefte is, vooral voor mij als ICT'er in opleiding!

$_/-\o_$ Thanks alvast voor het lezen en al helemaal dank u voor het helpen! $_/-\o_$

PS: mocht er info ontbreken, heb ik iets niet vermeldt meld dit aub aan mij dan zet ik het ASAP bij

woensdag 24 oktober 2012 21:07

Acties:

0 Henk 'm!

Tracking Cookie

- Een fysieke firewall houdt geen virussen tegen.

- Er bestaat niet zoiets als "beste virusscanner"; virusmakers blijven altijd achter lopen als het aankomt op het detecteren van virussen. Toegegeven dat ze wel trucjes hebben om nieuwe varianten van virussen te detecteren. Uit tests komt Avira het beste uit de bus, een hele tijd was dit BitDefender en laatst Kaspersky. Zie: https://secure.security.n...st%2C_AVIRA_de_beste.html
De beste manier om virussen te voorkomen is tijdig je Java/Adobe Flash/Adobe Reader/Silverlight/Quicktime te updaten. Een programma als Secunia PSI kan dit automatisch voor je doen (versie 2.x is meer voor de tweaker, 3.x meer voor de doorsnee consument). En natuurlijk: weten wat je installeert.

- Voor Android telefoons/tablets heb je meerder gratis antivirus: Avast!, AVG, Lookout, etc.

- Waarop baseer je dat je provider Deep Packet Inspection gebruikt? De IP adressen waarmee jouw pc's/tablets verbinding maken kunnen bij de provider bekend zijn als botnetaansturingsservers (Command and Control servers). Zie: https://secure.security.n...e_computer_besmet_is.html

- Als een pc onderdeel is van een botnet kunnen de beheerders deze dingen ermee doen: https://krebsonsecurity.c.../2012/10/HackedPC2012.png. Kortom je geïnfecteerde PC kan veel schade aan andere gebruikers veroorzaken. Of het gerechtvaardigd is om je PC af te sluiten; dat bepaald je provider in het contract. Om welke provider gaat het?

[ Voor 0% gewijzigd door Tracking Cookie op 24-10-2012 21:13 . Reden: iets met informatiedichtheid ]

woensdag 24 oktober 2012 21:07

Acties:

0 Henk 'm!

Anoniem: 16328

Wat heb je zelf al uitgezocht? Je hebt namelijk een berg vragen maar het is hier geen helpdesk. Op GoT wordt eigen inzet verwacht. De http://gathering.tweakers.net/forum/find/ is een goed startpunt en natuurlijk Google.

Bijvoorbeeld eerste hit op Google over afsluiten internetverbinding: http://www.consuwijzer.nl...ten-bij-botnet-besmetting

woensdag 24 oktober 2012 21:12

Acties:

0 Henk 'm!

GlowMouse

Providers passen geen deep packet inspection toe. Ze hebben je gedetecteerd via flow monitoring of ze zijn getipt door een beveiligingsonderzoeker.

Wat kan helpen is een firewall per pc installeren die toestemming vraagt als een applicatie verbinding maakt met internet. Als een virus in kernel mode draait, kan je het met elke firewall schudden.

woensdag 24 oktober 2012 21:13

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Anoniem: 312728 schreef op woensdag 24 oktober 2012 @ 20:25:
(als de titel niet mag excusses daarvoor allereerst)

Titel ontdaan van !@>!?@!>?>#!@?#!>#

- Mag mijn Internet provider mij afsluiten van internet? Ik doel daarmee op dat er mij iets bij staat van dat internet een eerste LEVENSbehoefte is, vooral voor mij als ICT'er in opleiding!

Dan is het dus andersom: zsm afsluiten. Als iemand dusdanig besmet is dat de levensbehoefte van anderen wordt aangetast moet die in quarantaine. Iemand met een zwaar besmettelijke ziekte zet je ook apart, die laat je niet rondlopen.

En als ICT-er in opleiding moet je juist zelf kunnen zorgen dat je niet besmet wordt - en dat je bent voorbereid op de situatie zodat je binnen een uur of wat na een besmetting weer in de lucht bent na formatteren & schoon image terugzetten & de data-backup van een halve dag eerder terugzetten

Zie verder hierboven over DPI en scannen: wat heb je al gescand etc, wat kom je aan verdachte processen tegen?

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 24 oktober 2012 21:16

Acties:

0 Henk 'm!

Anoniem: 312728

Topicstarter

Tracking Cookie schreef op woensdag 24 oktober 2012 @ 21:07:
- Een fysieke firewall houdt geen virussen tegen.

- Er bestaat niet zoiets als "beste virusscanner"; virusmakers blijven altijd achter lopen als het aankomt op het detecteren van virussen. Toegegeven dat ze wel trucjes hebben om nieuwe varianten van virussen te detecteren. Uit tests komt Avira het beste uit de bus, een hele tijd was dit BitDefender en laatst Kaspersky. Zie: https://secure.security.n...st%2C_AVIRA_de_beste.html
De beste manier om virussen te voorkomen is tijdig je Java/Adobe Flash/Adobe Reader/Silverlight/Quicktime te updaten. Een programma als Secunia PSI kan dit automatisch voor je doen (versie 2.x is meer voor de tweaker, 3.x meer voor de doorsnee consument). En natuurlijk: weten wat je installeert.

- Voor Android telefoons/tablets heb je meerder gratis antivirus: Avast!, AVG, Lookout, etc.

- Waarop baseer je dat je provider Deep Packet Inspection gebruikt? De IP adressen waarmee jouw pc's/tablets verbinding maken kunnen bij de provider bekend zijn als botnetaansturingsservers (Command and Control servers). Zie: https://secure.security.n...e_computer_besmet_is.html

- Als een pc onderdeel lid is van een botnet kunnen de beheerders deze dingen ermee doen: https://krebsonsecurity.c.../2012/10/HackedPC2012.png. Kortom je geïnfecteerde PC kan veel schade aan andere gebruikers veroorzaken. Of het gerechtvaardigd is om je PC af te sluiten; dat bepaald je provider in het contract. Om welke provider gaat het?

"Een programma als Secunia PSI kan dit automatisch voor je doen (versie 2.x is meer voor de tweaker, 3.x meer voor de doorsnee consument)"
Dit is een handig tooltje! dank u voor de tip

- Ik heb ziggo als provider
- MBT Deep Packet Inspection gebruik, ik ben hier niet heel bekend mee, ik vroeg het me alleen af omdat ik niet weet hoe ze het anders moeten doen
- Op het moment gebruik ik MS Sercurity essentials, ik zal ze door een van de drie door u aangerade vervangen!

Nogmaals thanks voor de effort!

woensdag 24 oktober 2012 21:19

Acties:

0 Henk 'm!

Anoniem: 312728

Topicstarter

[b]F_J_K schreef op woensdag 24 oktober 2012 @ 21:13:[/b
Zie verder hierboven over DPI en scannen: wat heb je al gescand etc, wat kom je aan verdachte processen tegen?

Op mijn eigen pc ben ik niks tegen gekomen! Ik kan echter niet 200% instaan voor wat de rest van mijn familie op de pc doet (ondanks dat ik het ze probeer bij te brengen!)

[b]F_J_K schreef op woensdag 24 oktober 2012 @ 21:13:[/b
En als ICT-er in opleiding moet je juist zelf kunnen zorgen dat je niet besmet wordt - en dat je bent voorbereid op de situatie zodat je binnen een uur of wat na een besmetting weer in de lucht bent na formatteren & schoon image terugzetten & de data-backup van een halve dag eerder terugzetten

Dit is de reden dat er over een kleine 50 dagen een server komt met domain ETC, zodat ik alles onder controle heb onderandere kwa backup!

[b]F_J_K schreef op woensdag 24 oktober 2012 @ 21:13:[/b
Dan is het dus andersom: zsm afsluiten. Als iemand dusdanig besmet is dat de levensbehoefte van anderen wordt aangetast moet die in quarantaine. Iemand met een zwaar besmettelijke ziekte zet je ook apart, die laat je niet rondlopen.

Zo had ik het nog niet bekeken! Goed punt!

[ Voor 65% gewijzigd door Anoniem: 312728 op 24-10-2012 21:22 ]

woensdag 24 oktober 2012 21:25

Acties:

0 Henk 'm!

jeroen3

Een hub zoeken, geen switch, een HUB. Of een duurdere switch met port mirror, en dan met wireshark o.i.d kijken welk ip veel verkeer veroorzaakt. Dat mac adres blokkeren in je router, en je kunt de ziektekiemen gaan bestrijden.

woensdag 24 oktober 2012 21:30

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Inderdaad.

Overigens zou je toch -helaas- ook een verantwoordelijkheid voor de andere PCs in huis kunnen nemen: je hebt er immers ook (veel) last van als die besmet raken.

Overigens een goede leerschool als ICT-er in opleiding: na de opleiding kom je ook !@>!?@!>?>#!@?#!># users tegen

Eerste verdachten zijn overigens de PC's, en dan helemaal degenen zonder uptodate OS, zonder uptodate virusscanner, met adminrechten en met het type gebruiker dat alles onnadenkend aanklikt.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 24 oktober 2012 22:28

Acties:

0 Henk 'm!

Anoniem: 312728

Topicstarter

F_J_K schreef op woensdag 24 oktober 2012 @ 21:30:
Eerste verdachten zijn overigens de PC's met adminrechten en met het type gebruiker dat alles onnadenkend aanklikt.

Goh............. Je noemt precies op wat er bij mij in huis woont

Behalve me pa, die vraagt bij ieder schermpje: "Bart mag ik dat klikken (wat ik veel liever dan wat ik nu heb!)?"

woensdag 24 oktober 2012 22:29

Acties:

0 Henk 'm!

Anoniem: 312728

Topicstarter

jeroen3 schreef op woensdag 24 oktober 2012 @ 21:25:
Een hub zoeken, geen switch, een HUB. Of een duurdere switch met port mirror, en dan met wireshark o.i.d kijken welk ip veel verkeer veroorzaakt. Dat mac adres blokkeren in je router, en je kunt de ziektekiemen gaan bestrijden.

Ik ga dat morgen eens proberen!! Thanks for the tip!! $_/-\o_$

woensdag 24 oktober 2012 22:34

Acties:

0 Henk 'm!

Anoniem: 16328

jeroen3 schreef op woensdag 24 oktober 2012 @ 21:25:
Een hub zoeken, geen switch, een HUB. Of een duurdere switch met port mirror, en dan met wireshark o.i.d kijken welk ip veel verkeer veroorzaakt. Dat mac adres blokkeren in je router, en je kunt de ziektekiemen gaan bestrijden.

Hoe gaat hij dat doen? Hij is al afgesloten van het internet dus er is geen verkeer meer.

woensdag 24 oktober 2012 22:36

Acties:

0 Henk 'm!

Anoniem: 312728

Topicstarter

Anoniem: 16328 schreef op woensdag 24 oktober 2012 @ 22:34:
[...]

Hoe gaat hij dat doen? Hij is al afgesloten van het internet dus er is geen verkeer meer.

Internet is inmiddels al weer werkend!

woensdag 24 oktober 2012 22:36

Acties:

0 Henk 'm!

GlowMouse

Anoniem: 16328 schreef op woensdag 24 oktober 2012 @ 22:34:
[...]

Hoe gaat hij dat doen? Hij is al afgesloten van het internet dus er is geen verkeer meer.

Er is nog steeds verkeer, het gaat alleen maar één richting op.

SYN pakketjes naar onbekende hosts of dns lookups voor onbekende domeinnamen.

Pagina: 1

Reageer