Blacklist Spamhaus wegens infectie, IP-adres van provider?

Beste Tweakers,

Tl;dr: blacklist wegens besmet ip-adres. Ip-adres wisselt vanuit provider (?), wat doe ik hieraan?

Aangezien mijn internet met enige regelmaat eruit viel ben ik met een vriend gaan zoeken op het internet naar een diagnostisch programma (http://netalyzr.icsi.berkeley.edu/index.html) dat me vervolgens erop wees dat mijn ip-adres op een blacklist stond (http://www.spamhaus.org/xbl/). Volgens de site was er een machine, gekoppeld aan mijn netwerk, verantwoordelijk voor het verspreiden van GameOverZeus malware. Ze schreven een hele lap tekst met hoe je kon checken welk apparaat het was, maar ook tips over wanneer je achter een NAT zit. Ik heb die een link op die site gekekeken op elk apparaat of het geïnfecteerd was, maar nergens iets kunnen vinden. Omdat de site schreef dat mijn ip-adres ook toegewezen zou kunnen zijn via mijn provider (wat volgens mij ook het geval is) zou het kunnen dat het niet een machine op mijn netwerk is, maar die van iemand anders die ooit hetzelfde ip-adres heeft gehad.
Maar goed, wanneer je het risico verwijderd had kon je jezelf weer whitelisten, wat ik dus ook deed. Gisteren bezocht ik echter een willekeurige site (cheapshark, voor de goede orde), waarop ik werd gevraagd een captcha in te vullen voordat ik verder mocht. Ik vertrouwde de zaak niet en runde nogmaals het diagnostisch Netalyzr-programma. Wederom sta ik (lees: een machine met dit ip-adres) op de XBL-blacklist, ditmaal voor een “Cutwail spambot”. Telkens staat er bij de beschrijving een tekst wanneer er voor het laatst contact is gemaakt met deze machine. Zo was het bij GOZ op dinsdag 15-7, om 0900 GMT+1, en bij Cutwail op zondag 31-08 om 1200 GMT+1. Dit zou het dus makkelijker moeten maken om de machine te herkennen. Op dezelfde site stond echter ook dat elk apparaat met een browser in principe geïnfecteerd zou kunnen zijn. In dit huis zijn 3 smartphones, 2 laptops, 3 pc’s, een X-Box360, PS3 en een smart-tv met het internet verbonden.
Zelf ben ik niet echt bekend in de wereld van vaktermen wat betreft het internet en pc, dus mijn vraag is of iemand hier wat meer over weet. Hoe ik kan beginnen met het ontdekken waar de fout ligt.
Na het schrijven van deze tekst heb ik nog even een keer gekeken, en mijn ip-adres is inmiddels anders dan dat van gisteravond. Dit nieuwe staat ook weer gelist, ditmaal met andere virussen en wel ZeuS Torjan (Zbot of WSNPoem).

Wat doe ik hieraan?

Gebruikte software:
Windows 7 64bit
Microsoft Security Essentials virus software

Gevonden door:
Blacklist gevonden met diagnose-apparaat: http://netalyzr.icsi.berkeley.edu/index.html
Site van blacklist: www.spamhaus.org
Type blacklist: XBL

Problemen veroorzaakt door deze blokkade:
- Trager internet
- Onderbrekingen internet: verlies gesprekken via VOIP (o.a. Skype), tijdsverlies tijdens werk, storingen tijdens gamen
- Ontzegging websites (staat geregistreerd als ‘gevaarlijk ip’)

Tijdlijn:
Op zondag 07-09 ververst IP
46.5.16.3
Virus gevonden op apparaat met dit IP: Torpig, also known by Symantec as Anserin.
Laatste keer apparaat online: 03-09-2014 00:00 GMT+1

Op zondag 07-09 ververst IP
95.208.248.186
Virus gevonden op apparaat met dit IP: Conficker botnet
Laatste keer apparaat online: 09-04-2014 00:00 GMT+1

Op zondag 07-09 kregen wij
IP: 46.5.16.6
Virus gevonden op apparaat met dit IP: ZeuS Torjan (Zbot of WSNPoem)
Laatste keer apparaat online: vrijdag 29-08-2014 om 09:00 GMT+1

Zaterdag 06-09 ander ip.
Virus gevonden op apparaat met dit IP: Cutwail
Laatste keer apparaat online: 31-08-2014 om 12:00 GMT+1

Op 22 of 23-07 kregen wij
IP: 95.208.248.4
Virus was: "Gameover Zeus" of "GOZ" – voorheen "ZeusV3" of "p2pzeus"
Laatste keer apparaat online: 15-07-2014 om 09:00 GMT+1

[ Voor 20% gewijzigd door Weltschmerz op 07-09-2014 22:01 ]

Jester-NL schreef op zondag 07 september 2014 @ 12:19:
Even resumeren:
Je hebt de laatste tijd meerdere IP-adressen en alle IP-adressen zijn (volgens externe tools) besmet (geweest) met malware, hetgeen jouw internettoegang beperkt?
Heb je hier al contact over opgenomen met je provider (en wie is dat?)?.
Die hebben enerzijds een opdracht in het schoonhouden van hun netwerk, en anderzijds zorgen dat jij de toegang krijgt waar je voor betaald...

Overigens mis ik in je relaas hierboven even wat je virusscanners te melden hebben gehad

Inderdaad, ik krijg vanuit de provider (zover ik weet en kan merken) mijn IP-adressen toebedeeld. Deze zijn volgens externe tools inderdaad besmet en daarom sta ik op een black-list. Het zorgt voor beperkte toegang tot websites (chaptca in moeten voeren), vertraagd internet en last van het uitvallen van de verbinding.
Klopt, ik heb het even toegevoegd. Standaard gebruik ik slechts Microsoft Security Essentials. De provider is een Duitse (KabelBW), omdat ik daar momenteel woon. Daar hebben we vandaag contact mee gehad maar die waren nogal kortaf. Morgen gaan we nog eens bellen, omdat mijn vriendin (die Duits is en daar dus makkelijker mee communiceert) geen tijd voor heeft.

nachtnet schreef op zondag 07 september 2014 @ 13:21:
Ik mis ook nog iets.

Heb je alle apparatuur die je via deze verbinding gebruikt uitgesloten? Het lijkt erop alsof er toch een besmet apparaat op je netwerk zit. Heb je ook in je router en evt. NAS gekeken wat daar gebeurd? [Heb je alle apparatuur binnen je netwerk getest?] misschien zie je in de DHCP pool vreemde apparaten? Alleen vermoeden dat je 100% schoon bent is niet genoeg.

Ik heb de apparaten die door de 3 personen in dit huis worden gebruikt uit weten te sluiten door scans uit te voeren (zowel de geïnstalleerde virusscanners als de link doorgegeven via de spamhaus website) en simpelweg de timestamp. Op dinsdagmorgen om 9:00uur waren er simpelweg sommige apparaten niet online en verbonden.
Het lijkt er inderdaad op dat er een besmet apparaat op mijn netwerk zit, en in mijn router zie ik ook dat er 'vreemde' apparaten verbonden zijn. Dit kunnen echter ook telefoons of dergelijke van vrienden zijn, neem ik aan?
EDIT: ik heb nog even gekeken in de router, en alles wat er nu verbonden is is het volgende:
android-14ffdf57a98c9130 < ik neem aan de telefoon van mijn vriendin
android-f090a41d2dbdd0f40 < telefoon van 3e persoon
fritz.repeater < wifi-repeater, of de router zelf?
Isa_Laptop < laptop vriendin
Monolith < mijn pc
PC-192-168-178-54 < geen idee, mijn telefoon?

Daarbij is het, omdat het IP-adres dus gewisseld wordt, vreemd dat de timestamps altijd ongeveer een week of meer is dan dat wij het IP-adres hebben. Als het deze pc bijvoorbeeld was geweest, zou de timestamp toch op z'n minst vandaag of gisteren moeten hebben laten zien?

Alvast bedankt voor jullie meedenken. Nu ga ik even opzoeken wat een NAS en NAT precies is en hopen dat ik het begrijp : P (valt onder een NAS bijvoorbeeld ook een Playon?, nee toch?)

[ Voor 27% gewijzigd door Weltschmerz op 07-09-2014 15:31 ]

nachtnet schreef op zondag 07 september 2014 @ 16:32:
Ok. Je vind vreemde apparaten op jouw netwerk. Dan lijkt het me tijd dat je in je router je WIFI wachtwoord gaat veranderen en daarna al je apparatuur opnieuw zal moeten aanmelden met dat nieuwe wachtwoord. Zo voorkom je dat je via een besmet apparaat bij bv de buren geblacklist wordt.

Ook een playOn die verbonden is met het netwerk kan een NAS zijn.

Neem de timestamp maar heel ruim, en kies voor zekerheid. Ook apparatuur die volgens jou echt niet online was op de genoemde tijdstippen kan besmet zijn.

Misschien een overzicht posten van welke apparatuur in huis is? met evt welke software je erop hebt draaien?

tenslotte: ik neem aan dat je alleen originele software draait? Ook bv een game/browser uitbreiding uit het grijze (of zwarte circuit) kan problemen veroorzaken.

Ik vond in mijn router vreemde apparaten, maar dat kan ook aan mijn onkunde hebben gelegen. Op het moment denk ik dat dat het ook echt was, want wat ik nu zie is allemaal te verklaren. Ook de namen die ik niet kan herkennen kan ik plaatsen door de apparaten in en uit te schakelen, waardoor ik ze uit de lijst zie verdwijnen en in de lijst zie verschijnen.

Wat betreft originele software; zoveel mogelijk. Zelf vind ik het moeilijk te vinden of mijn virusscanner het nu gewoon niet ziet, of dat mijn computer daadwerkelijk schoon is.

Een lijst met apparten kan ik hier wel posten, en de software ook zo goed mogelijk:

2 x android smartphone (waarvan 1 oud en ik niet weet hoe dat met Android en updates zit)
1 x windowsphone 7.8
3 x pc's/laptop windows 7 (waarvan 1 dagelijks gebruik, de andere 2 amper gebruik)
1 x laptop windows 8 (primair op WLAN)
1 x playonhd, op netwerk aangesloten maar alleen gebruikt als HDD
1 x smart tv, 2013 model, aangesloten op LAN
1 x Xbox360, aangesloten op LAN (wekelijks - maandelijks gebruik)
1 x PS3, aangesloten op LAN (maandelijks gebruik)

Router is een Fritzbox 6360.

Dat is eigenlijk alles dat er staat. In hoeverre moet ik details geven van wat voor software ik draai? Browsers zijn bijna allemaal FireFox. Firewall staat aan, virusscanner is vooral Microsoft Security Essentials.

Orion84 schreef op zondag 07 september 2014 @ 16:41:
Een trage / haperende internetverbinding wordt niet veroorzaakt doordat je op een blacklist staat lijkt me. Hoogstens dat je op bepaalde plekken geweigerd wordt of extra captcha in moet vullen.

Het zou wel een gemeenschappelijke oorzaak kunnen hebben. Besmetting die je verbinding misbruikt en daarmee vertraagt en tevens voor blacklisting zorgt.

Maar of het blacklisten gebeurt door iets vanaf jouw netwerk, of door dat van een andere gebruiker van zo'n dynamisch IP kan je redelijk makkelijk nagaan door gewoon een poosje goed in de gaten te houden welke IP's je hebt en wat de blacklists daarover melden. Als de meldingen in blacklists dan steeds van datums zijn dat anderen dat IP hadden, dan is er een goede kans dat het niet aan jou ligt.

Je zou eens aan je provider kunnen vragen of er wat aan te doen valt dat je zo vaak van IP adres wisselt.

Bedankt voor de tips. Ik ga gewoon elke dag even kijken naar mijn IP-adres en een log bijhouden. Als die blacklist niet de oorzaak kan zijn, dan zou ik met de onderbrekingen inderdaad wel een virus moeten hebben. Kunnen routers overigens ook deze virussen hebben?

[ Voor 22% gewijzigd door Weltschmerz op 07-09-2014 20:58 ]

WouterG schreef op zondag 07 september 2014 @ 21:01:
Het is in ieder geval een goed idee om poort 25 uitgaand in je router te blokkeren en loggen. Als er een spambot binnen je netwerk actief is zal deze in de log van de router terug te vinden zijn met het ip van de betreffende PC.

Hmm, als ik je goed begrijp moet ik dus de uitgaande poort 25 blokkeren in mijn router (instellingen via de pc). Hoe vind ik dit? En wat bedoel je met "zal deze in de log van de router terug te vinden zijn met het ip van de betreffende pc". Zou je iets meer details willen geven? Ik ben nogal een leek, maar ik leer graag : )

"The Gameover Zeus/Tovar project has set up a "lighthouse IP". The lighthouse IP has been set up to help administrators find the Gameover Zeus infection on NAT networks. The theory is simple: every time an infected PC attempts to connect to a Command&Control sinkhole (see below for a partial list), the infected PC will also send a UDP packet to IP address 72.52.116.52 on port 4643 (though we suggest logging all ports). By configuring that address into your firewall, you can log which local IP address is attempting to contact 72.52.116.52, and thereby find and remediate the infection.
If you are connected to us via a computer you believe may be infected, this link should help confirm your suspicion: Online Gameover Zeus Detector
REMEMBER Gameover Zeus DOES NOT communicate over port 25 at all. It has nothing to do with email. Do not waste your time fiddling around with port 25 firewall rules.
To find an infected computer on a NATted LAN you are searching for a local machine that is trying to make connections to a Zeus Command and Control (C&C) server on the Internet. These C&C servers have been taken over by our partners and they are giving us reports about which IPs are trying to talk to them. It is those IP addresses that are infected.
If you have full logs of your firewall activity at the time this occurred, you can look in the logs for the time/sinkhole IP and destination port information given below.
If you do not have full logs, you will need to set up a sniffer or firewall rules to catch and log attempts to talk to the C&C."


Overigens, waarom toont "wat is mijn ip-adres . nl" een ander adres dan mijn router? Mijn router, en ook cmd - ipconfig laat een ip adres dat met 192. begint zien, terwijl het voorgenoemde internetadres een adres met 46. laat beginnen. Dat laatste is ook tevens het geblackliste adres.

[ Voor 62% gewijzigd door Weltschmerz op 07-09-2014 21:15 ]

WouterG schreef op zondag 07 september 2014 @ 21:14:
Hangt helemaal van het type router af dat je gebruikt. Er moet in de handleiding wel wat over te vinden zijn denk ik.

Dank je wel, dan ga ik eens kijken naar hoe dat werkt, want in de router zelf vind ik moeilijk wat, wat ports betreft. Wel hoe ik er 1 kan toewijzen aan een specifiek apparaat, maar niet over het open zetten of sluiten ervan.

Ronald8 schreef op zondag 07 september 2014 @ 21:18:
Ben ik de enige die het opmerkelijk vind dat er drie keer een andere besmetting is? Malware, Trojan en spambot.

En 3 keer (?) een ander IP-adres... Ik weet niet hoe ik Malware, Trojan en spambots kan vinden (laat je scan niets zien omdat er niets is, of omdat het het niet kan vinden?) maar ik heb nu dus mijn eigen MS Security Essentials gewoon up to date, en net ook Malware Bytes er op losgelaten. Beiden vinden niets.

Compizfox schreef op zondag 07 september 2014 @ 21:23:
[...]

Heb je sindsdien weer een nieuw IP-adres gekregen dan, of is hetzelfde IP-adres opnieuw op de blacklist geplaatst?

In het eerste geval zou ik eens zorgen dat je modem aan blijft staan. Als je leasetime verloopt en je modem staat op dat moment uit, jat een andere klant van je ISP 'jouw' adres en krijg jij een nieuwe op het moment dat je je modem weer aanzet. Niet handig dus.

Als hetzelfde IP-adres opnieuw op een blocklist is geplaatst zit er toch echt een geïnfecteerd systeem op je netwerk.

Er is sprake van het eerste geval. Zie hieronder de tijdlijn. Wat kan ik er aan doen dat mijn modem "aan blijft staan", zover ik weet staat hij dag en nacht aan. Ik kan moeilijk er naast blijven zitten en 24/7 mijn oog erop houden ; ) Verder, wanneer het internet even uitvalt, is het vaak maar een seconde. Te kort om dus vanuit zolder 3 verdiepingen naar beneden te rennen en in de kelder te kijken of het apparaat nog aan staat.

Tijdlijn:
Op zondag 07-09 kregen wij
IP: 46.5.16.6
Virus gevonden op apparaat met dit IP: ZeuS Torjan (Zbot of WSNPoem)
Laatste keer apparaat online: vrijdag 29-08 om 09:00 GMT+1

Zaterdag 06-09 ander ip.
Virus gevonden op apparaat met dit IP: Cutwail
Laatste keer apparaat online: 31-08 om 12:00 GMT+1

Op 22 of 23-07 kregen wij
IP: 95.208.248.4
Virus was: "Gameover Zeus" of "GOZ" – voorheen "ZeusV3" of "p2pzeus"
Laatste keer apparaat online: 15-07 om 09:00 GMT+1

defusion schreef op zondag 07 september 2014 @ 21:23:
Traagheid zal hier niet door komen, advies: scan je netwerk/apparaten
Captcha misschien wel, maar nooit eerder gehoord.

Je gaat wel problemen krijgen met het versturen van mails waarschijnlijk, advies: gebruik de SMTP server van je ISP, en log in met gebruikersnaam en wachtwoord (dat moet je specifiek aanvinken in je mail programma voor uitgaande mail)


Blacklist kan net zo goed komen door iemand anders in je buurt, waarschijnlijk is de hele range geblocked.
Gebeurt vaker bij dynamische IP adressen, staat volgensmij zelfs een stukje over op de spamhaus site.
Via spamhaus kun je soms deblokkering aanvragen, maar bij dynamische adressen moet de provider dat meestal doen.

Bedankt voor je reactie. Met "scan je netwerk en apparaten" bedoel je: run de virusscanners? Want dat heb ik meerdere malen gedaan, telkens wanneer er een blacklist was. Telkens hetzelfde verhaal: niets op onze apparaten.
Wat je schrijft over SMTP servers van mijn ISP (internet service provider?) snap ik niet heel goed


Overigens zijn hier meer mensen met eenzelfde soort probleem.

[ Voor 29% gewijzigd door Weltschmerz op 07-09-2014 21:33 ]

Compizfox schreef op zondag 07 september 2014 @ 21:33:
Vreemd. Je zou alleen een ander IP-adres moeten krijgen als de modem tijdens het verlopen van de lease uit staat oid (of anderzijds niet het IP van de vorige lease opnieuw kan leasen)

Kijk, maar daar komen we dus wel ergens : ) Het gebeurt namelijk met enige regelmaat (soms 4 keer op een dag, kort na elkaar, soms een week niet), dat het internet even uitvalt. Uiteraard kijk ik dan niet meteen of ik een nieuw IP-adres heb, maar dat ga ik nu wel doen. Misschien is het inderdaad zo dat af en toe de modem uitvalt.

Petervanakelyen schreef op zondag 07 september 2014 @ 21:44:
[...]


Sommige providers passen een geforceerde disconnect toe na een bepaalde tijd. Belgacom hier in België past bijvoorbeeld een forced disconnect toe elke 96 uur. Ik geloof dat dit in Duitsland ook wordt toegepast.

Het zou kunnen dat het dat is.

MAAR! Grote update (hopelijk : P)!

Ik heb net een knopje gevonden waarmee ik via mijn router het IP-adres kan verversen. Ditmaal kreeg ik een nieuwe, wederom geblacklist. Ditmaal vanwege contact met het Conficker botnet.

Op zondag 07-09 ververst IP
95.208.248.186
Virus gevonden op apparaat met dit IP: Conficker botnet
09-04-2014 00:00 GMT+1
2014-09-04 23:00 GMT


Complete tijdlijn nog een keer:

Op zondag 07-09 ververst IP
46.5.16.3
Virus gevonden op apparaat met dit IP: Torpig, also known by Symantec as Anserin.
Laatste keer apparaat online: 03-09-2014 00:00 GMT+1

Op zondag 07-09 ververst IP
95.208.248.186
Virus gevonden op apparaat met dit IP: Conficker botnet
Laatste keer apparaat online: 09-04-2014 00:00 GMT+1

Op zondag 07-09 kregen wij
IP: 46.5.16.6
Virus gevonden op apparaat met dit IP: ZeuS Torjan (Zbot of WSNPoem)
Laatste keer apparaat online: vrijdag 29-08-2014 om 09:00 GMT+1

Zaterdag 06-09 ander ip.
Virus gevonden op apparaat met dit IP: Cutwail
Laatste keer apparaat online: 31-08-2014 om 12:00 GMT+1

Op 22 of 23-07 kregen wij
IP: 95.208.248.4
Virus was: "Gameover Zeus" of "GOZ" – voorheen "ZeusV3" of "p2pzeus"
Laatste keer apparaat online: 15-07-2014 om 09:00 GMT+1


Edit: nog een keer ververst. Wederom nieuw IP, wederom blacklist, wederom "nieuw" virus. Toegevoegd aan tijdlijn.

[ Voor 10% gewijzigd door Weltschmerz op 07-09-2014 21:57 ]

Compizfox schreef op zondag 07 september 2014 @ 21:56:
Dat zei ik toch al

Als je een nieuw IP krijgt is de kans redelijk groot dat ie ergens op een blacklist staat. Als je dat dus wilt voorkomen moet je zorgen dat je hetzelfde IP-adres houdt. Ik ben zojuist op de hoogte gebracht dat dit met sommige buitenlandse providers blijkbaar niet kan. In dat geval kun je er niet zoveel aan doen...

Ik las het ja : ) Maar dan is er al in ieder geval een hele hoop bereikt. Het weten zorgt al voor wat rust. Bedankt mensen! Ik ga het even in de gaten houden, en mocht ik nog een goede update krijgen van het bellen met de provider dan laat ik het jullie weten.