Toon posts:

Quarantaine door spam [KPN Abuse]

Pagina: 1
Acties:

vrijdag 24 mei 2013 11:28

Acties:
  • 0 Henk 'm!
  • Dutchmania
  • Registratie: November 2008
  • Laatst online: 06:56

Dutchmania

Topicstarter
Beste Tweakers,

Sinds een maand of drie hebben we thuis een glasvezel verbinding van KPN. In deze drie maand hebben we nu al drie keer een mail gehad en zijn we twee keer in quarantaine gezet door KPN omdat, volgens de mail, onze internet verbinding onrechtmatig wordt gebruikt. In de mail staat dat het om spam gaat welke via ons wordt verstuurd.

Elke keer netjes alle aanwezige apparaten gescanned met Malwarebytes en de log files doorgestuurd. Niets aanwezig.
Afgelopen week dus voor de derde keer in quarantaine gezet en toen maar eens een mail gestuurd dat we iets meer informatie willen hebben omdat ik er nu wel een beetje klaar mee ben.

Vandaag een mail terug gekregen met daar in het bericht wat via onze verbinding wordt verstuuurd. Helaas heb ik niet genoeg verstand hiervan om er wijs uit te worden. Vandaar dat ik hier post.
Wie kan mij verder helpen om het probleem op te lossen. Ik ben bang dat het anders een getouwtrek blijft tussen KPN en mij.

Alvast bedankt.

Het bericht:

X-HmXmrOriginalRecipient: x
x-store-info:J++/JTCzmObr++wNraA4Pa4f5Xd6uensydyekesGC2M=
Authentication-Results: hotmail.com; spf=none (sender IP is 213.75.39.7) smtp.mailfrom=wwukso@netflix.profilealerts.com; dkim=none header.d=netflix.profilealerts.com; x-hmca=none header.id=wwukso@netflix.profilealerts.com
X-SID-PRA: wwukso@netflix.profilealerts.com
X-AUTH-Result: NONE
X-SID-Result: NONE
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTE7YT0xO0Q9MTtHRD0xO1NDTD0w
X-Message-Info: lt+5zCAiDIOBCb3hhLoS3vY6zPB3fLGZx60XhkIK1YrfyvpfIHYwXY1s8+h53z2a1Mg4kos85BtEamGczfJQoHgqug0FrrxHCIe1sd8xeg3/LEHk7+nHUR+NIQWeEmIzqBb4yBSqQ/WWyEmOt0IlVS4Gsbjo0spFr+xnu4Jt3Oo=
Received: from cpsmtpb-ews04.kpnxchange.com ([213.75.39.7]) by BAY0-MC3-F44.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
Wed, 22 May 2013 05:19:09 -0700
Received: from cpsps-ews01.kpnxchange.com ([10.94.84.168]) by cpsmtpb-ews04.kpnxchange.com with Microsoft SMTPSVC(7.5.7601.17514);
Wed, 22 May 2013 14:17:35 +0200
X-Brand: 4ZrJ
Received: from CPSMTPM-CMT108.kpnxchange.com ([195.121.3.24]) by cpsps-ews01.kpnxchange.com with Microsoft SMTPSVC(7.5.7601.17514);
Wed, 22 May 2013 14:17:33 +0200
Received: from dsdsds ([84.83.82.165]) by CPSMTPM-CMT108.kpnxchange.com with Microsoft SMTPSVC(7.0.6002.18264);
Wed, 22 May 2013 14:15:07 +0200
Reply-To: wwukso@netflix.profilealerts.com
From: Netflix<wwukso@netflix.profilealerts.com>
To: no-reply@netlix.com
Subject: Customer Service
Date: Wed, 22 May 2013 07:15:07 -0500
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_00CF_01C2AA85.2B5CFAA2"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1081
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1081
Return-Path: wwukso@netflix.profilealerts.com
Message-ID: <CPSMTPM-CMT108SmLAz0010cec2@CPSMTPM-CMT108.kpnxchange.com>
X-OriginalArrivalTime: 22 May 2013 12:15:08.0244 (UTC) FILETIME=[FFFAA940:01CE56E5]
X-RcptDomain: hotmail.com

[ Voor 0% gewijzigd door Dutchmania op 24-05-2013 11:31 . Reden: Code tags verwijderd. Was niet handig ]

vrijdag 24 mei 2013 12:29

Acties:
  • 0 Henk 'm!
  • vanaalten
  • Registratie: September 2002
  • Nu online

vanaalten

Het enige wat je even kan doen, denk ik, is controleren of het vanaf jouw verbinding komt.

Je ziet de laatste 'Received:' header, dat is waar de communicatie mee is begonnen:
Received: from dsdsds ([84.83.82.165]) by CPSMTPM-CMT108.kpnxchange.com
Dat adres, 84.83.82..., dat moet je even vergelijken met jouw IP adres. Log in op de router, of surf even naar http://www.watismijnip.nl/ en vergelijk het IP adres.

Indien gelijk - en dat verwacht ik wel, want zo slordig zullen ze bij KPN niet zijn - dan weet je eigenlijk dat de spam vanaf jouw verbinding komt.

Wat je *niet* kan zien is vanaf welk apparaat 'ie precies komt. Hooguit kan je nog even kijken naar de tijd van het mailtje ("Wed, 22 May 2013 14:15:07 +0200", maar ik weet nooit zo goed wat je met die +0200 aanmoet) en welke dingen er toen thuis aan stonden. Maar als het iets bij jou thuis is, dan lijkt Malwarebytes het dus niet te vinden.

vrijdag 24 mei 2013 12:32

Acties:
  • 0 Henk 'm!
  • InFamous
  • Registratie: Januari 2010
  • Laatst online: 04-06 19:48

InFamous

excommunicado

Kan het niet gewoon zijn dat iemand anders zijn IP-adres spoofed? Daarbij niet eens gebruikt maakt van één of meerdere PC's van de TS. Vraag of KPN je een ander IP-adres wilt toewijzen.

Formerly known as Ragdoll

vrijdag 24 mei 2013 12:38

Acties:
  • 0 Henk 'm!
  • fast-server
  • Registratie: April 2003
  • Laatst online: 05-05 20:52

fast-server

Weet je zeker dat je linux server? niet gehacked is?
Zie namelijk poort 80 open staan op dat IP adres en SQUID (proxy) reageert daarop.
Gegenereerd Fri, 24 May 2013 10:33:55 GMT door pvqnet04-adm (squid/3.1.10)
Edit:

Ik zie dat de KPN proxy is.

[ Voor 33% gewijzigd door fast-server op 24-05-2013 12:46 ]

PV Output SolarEdge SE5000H, 12x Jinko JKM390N-6RL3 Tiger> 4,68 kWp, Helling 42°, Oriëntatie 196° (ZZW)

vrijdag 24 mei 2013 13:24

Acties:
  • 0 Henk 'm!
  • Dido
  • Registratie: Maart 2002
  • Laatst online: 31-05 19:15

Dido

heforshe

("Wed, 22 May 2013 14:15:07 +0200", maar ik weet nooit zo goed wat je met die +0200 aanmoet)
offtopic:
Niets, want je zit op dit moment in de +0200 tijdzone (CEST).

Wat betekent mijn avatar?

vrijdag 24 mei 2013 13:30

Acties:
  • 0 Henk 'm!

Anoniem: 39993

De spam komt in ieder geval vanaf een KPN-verbinding. Volgens RIPE is het betreffende IP-adres toegewezen aan Planet (=KPN).

zaterdag 25 mei 2013 08:49

Acties:
  • 0 Henk 'm!
  • Dutchmania
  • Registratie: November 2008
  • Laatst online: 06:56

Dutchmania

Topicstarter
Het verlossende woord is binnen. De verbinding is weer vrij gegeven.
Het bericht van de eerdere post is inderdaad van mij afkomstig alleen weet ik nog steeds niet waar het aan kan liggen.
Ik heb voor de zekerheid alle wachtwoorden veranderd en de webserver uitgezet (werd toch niet gebruikt). Ook heb ik een aantal poorten dicht gezet die ook niet meer werden gebruikt.

Helaas was de mail die ze stuurden automatisch gegenereerd dus het is nog afwachten of deze veranderingen helpen en of ze inderdaad mijn WAN IP hebben veranderd zoals ik aangegeven heb.

zaterdag 25 mei 2013 09:36

Acties:
  • 0 Henk 'm!
  • vanaalten
  • Registratie: September 2002
  • Nu online

vanaalten

Wachtwoorden uitgezet, poorten dichtgezet: dat zijn dingen die helpen als er van buitenaf actief gehackt bent, lijkt mij.

Het is, denk ik, waarschijnlijker dat er een stukje spyware ergens draait en je daardoor een stukje botnet in huis hebt. Ik zou voor de zekerheid nog eens wat andere scanners op je machines loslaten.

zaterdag 25 mei 2013 19:01

Acties:
  • 0 Henk 'm!
  • Dutchmania
  • Registratie: November 2008
  • Laatst online: 06:56

Dutchmania

Topicstarter
Ik heb alles nogmaals gescanned met HitmanPro. Ook deze heeft niets gevonden.
Ik ga er stiekem van uit dat het nu goed is. Ook komen er binnenkort nieuwe schijven in de NAS dus als daar nog wat actief is hopelijk daarna niet meer.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq