Afgesloten ivm abuse. Onduidelijke reden - Privacy en beveiliging

donderdag 26 januari 2017 00:56

Acties:

Kasper1985

Topicstarter

Afgelopen dinsdag xs4all dsl verbinding actief.

Vandaag *boem* vang pagina. Verbinding is gelimiteerd door abuse van xs4all. Mogelijk zijn er pogingen gedaan tot hacken met de verbinding.

Er draait op deze verbinding 1 windows 10 laptop en een qnap NAS (bedraad) en verder nog een iPhone 6 via wlan. Geen mail/citrix/ssh servers of andere zaken uit het lijstje van suggesties van de abuse afdeling:

"Geregeld komt het voor dat er ingebroken is op uw eigen remote service als SSH, terminal server, citrix server, VNC of remote desktop omgeving. Controleer uw logs om na te gaan of dit gebeurd is." Dit is dus niet het geval.

Ik heb vanavond de windows laptop mee naar huis genomen en op een apart VLAN aangesloten op mijn eigen verbinding thuis. Vervolgens conform de tips van xs4all een TDSS killer, Malware Bytes root kit beta en Avari gedownload en zowel in normale als veilige modus laten scannen.

Alle 3 hebben ze niks gevonden. De Qnap is voorzien van de nieuwste updates en verder kan ik me niet echt bedenken wat dit heeft kunnen zijn.

Ik moet de abuse afdeling nog mailen maar ik vind het best vreemd dat ze klakkeloos een verbinding afsluiten zonder enige specifieke toelichting. Ik snap dat dit mogelijk schade kan toebrengen aan andere klanten en netwerk van xs4all maar we hebben geen mail van ze ontvangen puur en alleen de standaard afvang pagina.

Iemand uit ervaring nog een idee wat dit heeft getriggered of in welke hoek ik het moet zoeken? We waren ons echt van geen kwaad bewust en ik heb door de goede reputatie van Xs4all een groot vertrouwen in een dergelijke afdeling dus ik vraag me serieus af wat ik mogelijk over het hoofd heb gezien of wat ik nog meer kan doen om dit opgelost te krijgen. Ik wil ze niet mailen met de vraag de verbinding vrij te geven voor ik er 100% zeker van kan zijn dat dit terecht is.

Kasper

donderdag 26 januari 2017 01:00

Acties:

Verwijderd

Check je NAS en PC. Vermoedelijk draait 1 van de 2 nu in een botnet over jouw verbinding, en daar krijgt Xs4all Abuse meldingen over.

donderdag 26 januari 2017 01:04

Acties:

Wim-Bart

Zie signature voor een baan.

Verwijderd schreef op donderdag 26 januari 2017 @ 01:00:
Check je NAS en PC. Vermoedelijk draait 1 van de 2 nu in een botnet over jouw verbinding, en daar krijgt Xs4all Abuse meldingen over.

Ik zat zelf te denken aan de QNAP. Voor bepaalde modellen zijn er geen recente updates meer en die zijn nog wel open voor de grote boze buitenwereld.

Daarnaast kan het zijn dat iemand anders misbruik maakt van zijn WiFi verbinding. Hij zou niet de eerste en niet de laatste zijn die dat overkomt.

Dus sterke key en WPA2.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

donderdag 26 januari 2017 01:30

Acties:

Kasper1985

Topicstarter

Dank voor de reacties! Ik ga die qnap nog eens even nader bekijken.

Het gaat om een Qnap TS-253A 4 GB van oktober vorig jaar. Niet echt een verouderd model dus zou je denken.

De key is sterk naar mijn idee en is wpa2 aes. Zou nooit iets anders gebruiken.

Wat kan ik verder nog checken op de pc? Ik gebruik zelf geen windows dus heb evht geen flauw idee.

Nog andere suggesties?

Kasper

[ Voor 14% gewijzigd door Kasper1985 op 26-01-2017 01:31 ]

donderdag 26 januari 2017 02:10

Acties:

Verwijderd

Toen ik nog bij KPN werkte en mensen de abuse pagina voor hun neus kregen stond er altijd exact bij wat je moest doen. Denk hierbij aan een virusscan o.i.d.. Mailen via een door hun aangeven mailadres kan ook bijvoorbeeld.

Hier de pagina van je provider waar precies staat wat je moet doen: https://www.xs4all.nl/contact/abuse.htm of https://www.xs4all.nl/ser...pagina-is-geblokkeerd.htm

[ Voor 32% gewijzigd door Verwijderd op 26-01-2017 02:15 ]

donderdag 26 januari 2017 02:23

Acties:

Kasper1985

Topicstarter

@tuintje: Dat begrijp ik. En zoals ik in het opening post genoemd heb heb ik de genoemde programma's op hun aanraden (genoemd op de vangpagina) gedownload en laten scannen.

Echter zijn er nogal wat mogelijkheden die er te verzinnen zijn. En om beter te weten wat er nou daadwerkelijk aan de hand is had ik graag meer specifieke info gehad voor mijn situatie in plaats van een standaard generieke info pagina.

De paginas die jij aanhaalt zijn niet meer dan algemene voorbeelden. De adviezen die zij geven namelijk het scannen van alle Windows machines zijn dus uitgevoerd exact zoals zij aangeven. Echter is er dus ook nog een NAS en nou vraag ik me dus af of dit de boosdoener kan zijn.

Kasper

donderdag 26 januari 2017 02:28

Acties:

Verwijderd

Dat zou kunnen dat het iets met de NAS te maken heeft. Maar als jij alles gechecked heb houdt het op. En met die bevindingen meld je je weer bij je provider. Die sluit je dan weer aan. Je zitten er bijna nooit naast, maar het zou kunnen dat er iets heeft gespeeld pas geleden of recent.

donderdag 26 januari 2017 03:09

Acties:

HKLM_

ik heb dit eens bij KPN gehad... Heb je geen e-mail gehad op je XS4ALL adres met wat smeer info ?

Cloud ☁️

donderdag 26 januari 2017 07:36

Acties:

WouterG

Dit is geen ondertitel

Ik heb dit wel eens met zeelandnet gehad, een week nadat ik een laptop van een ander had gerepareerd (virussen) kreeg ik de melding en werd het internet geblokkeerd. Kan dus ook vertraging in zitten.

donderdag 26 januari 2017 08:12

Acties:

vanaalten

Heb je nog andere apparaten die het internet op kunnen? Een IP-camera bijvoorbeeld?

Wat nog wel eens voorkomt is dat een apparaat ingesteld wordt om een mail te versturen bij een voorgedefinieerd event (beweging bij een IP-camera als bewaking, melding bij veel processoractiviteit of diskruimte bij een NAS bijvoorbeeld) - en dat een overdaad aan e-mail gezien wordt als abuse-indicatie.

donderdag 26 januari 2017 08:43

Acties:

FoOnEeN

Het zou kunnen dat er vertraging in die systemen zit en jij nu de problemen van de vorige eigenaar van dit ip-adres erft. Onwaarschijnlijk maar mogelijk lijkt mij.

Daarnaast, zorg ervoor dat alle systemen geupdate zijn. Draait die Qnap de meest recente software?

donderdag 26 januari 2017 09:02

Acties:

Macchill

vanaalten schreef op donderdag 26 januari 2017 @ 08:12:
Heb je nog andere apparaten die het internet op kunnen? Een IP-camera bijvoorbeeld?

Wat nog wel eens voorkomt is dat een apparaat ingesteld wordt om een mail te versturen bij een voorgedefinieerd event (beweging bij een IP-camera als bewaking, melding bij veel processoractiviteit of diskruimte bij een NAS bijvoorbeeld) - en dat een overdaad aan e-mail gezien wordt als abuse-indicatie.

Dit heeft een buurman mij weleens gehad, ding stuurde in 5 minuten ruim 1000 mailtjes.. Toen begon Ziggo te koeren van 'spam-mailtjes'. Instellingen van de camera gewijzigd en hij mocht weer internetten..

Let op: NSFW!! | Altijd handig

donderdag 26 januari 2017 09:08

Acties:

FlipFluitketel

Frontpage Admin

Stuur ze een mail en vraag om meer informatie.

Een tijd geleden werd hier de internetverbinding (KPN) ook geblokkeerd en uiteraard kreeg ik een standaard-melding van ze. Daar heb ik op gereageerd met de vraag voor wat meer info en toen kwamen ze met de mededeling dat op subdomein.domein.nl een phishing-site gehost werd. De prutsers hadden gekeken op welk IP-adres domein.nl stond en dat was mijn IP-adres, het subdomein stond ergens anders gehost en nadat ik ze dat had teruggemaild was de blokkade ook weer zo weg (oorzaak bleek een verouderde magento-zooi die gehacked was te zijn).

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!

donderdag 26 januari 2017 09:12

Acties:

lier

MikroTik nerd

Heb je UPnP aan staan en/of porten geforward?

Eerst het probleem, dan de oplossing

donderdag 26 januari 2017 09:28

Acties:

leto001

De abuse afdeling van XS4ALL is niet zo goed in communiceren, maar ze sluiten je niet zomaar af. Ik heb dit ook eens aan de hand gehad. Kon me niet bedenken wat er gehacked zou zijn. Abuse melding opgevraagd bij XS toen ik erachter was dat ik een abuse filter had. Bleek uiteindelijk om een vergeten oscommerce shop te gaan die nog ergens stond te rotten.... kortom er zal echt wel een aanleiding zijn. Wellicht kan de abuse desk je die aanleveren als je even contact met ze opneemt.

donderdag 26 januari 2017 09:30

Acties:

jeroen3

Verwijderd schreef op donderdag 26 januari 2017 @ 02:10:
Toen ik nog bij KPN werkte en mensen de abuse pagina voor hun neus kregen stond er altijd exact bij wat je moest doen. Denk hierbij aan een virusscan o.i.d.. Mailen via een door hun aangeven mailadres kan ook bijvoorbeeld.

Hier de pagina van je provider waar precies staat wat je moet doen: https://www.xs4all.nl/contact/abuse.htm of https://www.xs4all.nl/ser...pagina-is-geblokkeerd.htm

Nee, dat staat er altijd. Standaardpagina.

Ik ben eens afgesloten omdat mijn tweede router een UPnP lek had. Als je deze in DMZ hebt staan kon je via internet UPnP-en. En dat is niet de bedoeling. Maar dat werd pas duidelijk na een paar dagen mailen.
Immers, de abuse afdeling werkt maar een uurtje per dag ofzo

. Want reacties duren >24 uur.

donderdag 26 januari 2017 09:36

Acties:

Darky03

Bij mij is de KPN verbinding ook geregeld geblokkeerd geweest. Mijn NAS was ook de boosdoener, deze draaide (standaard uit de doos) een tijd server. Dit werd als onwenselijk gezien door KPN en werd mijn verbinding geblokkeerd. Misschien kan je eens kijken of er een tijdserver op je NAS actief is(NTP time server)

donderdag 26 januari 2017 09:51

Acties:

Kasper1985

Topicstarter

Bedankt voor de reacties allemaal!

We hebben geen ip cameras of anderszins. Ook geen home automation nest of hue oid. Het moet dus echt in de nas zitten of in de windows laptop.

Kaspersky heeft uiteindelijk wel 2 dingen gevonden:

-oude versie van apple software updater met exploits
-verouderde versie van acrobat reader

Apple verwijdert en acrobat geupdate naar de laatste versie.

Er is een apart netwerk voor gasten aangezien er regelmatig patienten over de vloer komen. Dit is compleet afgeschermd van de rest.

Alleen de NAS kon ik vannacht niet bij maar die ga ik nog eens verder onderzoeken. Ik heb daar geloof ik nooit het standaard wachtwoord van aangepast bijvoorbeeld. Maar had geen idee dat die ook voor veiligheids issues kan zorgen.

Kasper

donderdag 26 januari 2017 09:56

Acties:

Bart_GR

"Er is een apart netwerk voor gasten aangezien er regelmatig patienten over de vloer komen. Dit is compleet afgeschermd van de rest."

Uuh ja, maar gebruikt wel het zelfde externe IP address. Is dit een open hotspot?

donderdag 26 januari 2017 10:01

Acties:

Kasper1985

Topicstarter

Nee ook dit is afgeschermd met een wachtwoord. Cijfers/letters en een !

donderdag 26 januari 2017 10:04

Acties:

Radiant

Certified MS Bob Administrator

Leuk he, XS4ALL.. Blijven bellen, hopen dat je reactie krijgt van de abuse-afdeling en je mag waarschijnlijk hun geweldige malwarescanner gaan draaien op al je systemen en logs opsturen voordat de abusegoden je weer willen aansluiten

Daarna zou ik m'n energie steken in het zoeken naar een andere provider

donderdag 26 januari 2017 10:05

Acties:

Bart_GR

Gebruiken de clienten alleen mobieltjes of ook laptops?
Het zou eventueel ook een terugkerende client kunnen zijn met een besmette machine.
Maar goed, handigste is zoals anderen ook hebben aangegeven om contact op te nemen met de abuse afdeling. Succes in ieder geval !

donderdag 26 januari 2017 10:20

Acties:

Koffie

Koffiebierbrouwer

Braaimeneer

Move NT > BV

Tijd voor een nieuwe sig..

donderdag 26 januari 2017 10:25

Acties:

MuddyMagical

Kasper1985 schreef op donderdag 26 januari 2017 @ 09:51:

Er is een apart netwerk voor gasten aangezien er regelmatig patienten over de vloer komen. Dit is compleet afgeschermd van de rest.

Alleen de NAS kon ik vannacht niet bij maar die ga ik nog eens verder onderzoeken. Ik heb daar geloof ik nooit het standaard wachtwoord van aangepast bijvoorbeeld. Maar had geen idee dat die ook voor veiligheids issues kan zorgen.

Het lijkt me handig om alle wachtwoorden maar eens te gaan veranderen. Zowel van je eigen wifi als die van het gast netwerk. Daarnaast als die NAS nog met standaard wachtwoorden draait zou ik hem van het netwerk af trekken, virusscanner erover, data eraf halen en opnieuw opzetten met eigen wachtwoorden, etc.

donderdag 26 januari 2017 10:26

Acties:

MAX3400

XBL: OctagonQontrol

Als je raar verkeer wil detecteren; hang dan even een WireShark of pfSense tussen de modem en de rest van het netwerk. En sluit dan OF de NAS OF 1 ander apparaat aan.

Mogelijk dat je dan verkeer/protocollen ziet verschijnen wat je niet verwacht en dan weet je meteen welk apparaat het veroorzaakt en kan je vanaf daar verder gaan met troubleshooten / cleanen / weggooien.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

donderdag 26 januari 2017 10:40

Acties:

Belsameth

Darky03 schreef op donderdag 26 januari 2017 @ 09:36:
Bij mij is de KPN verbinding ook geregeld geblokkeerd geweest. Mijn NAS was ook de boosdoener, deze draaide (standaard uit de doos) een tijd server. Dit werd als onwenselijk gezien door KPN en werd mijn verbinding geblokkeerd. Misschien kan je eens kijken of er een tijdserver op je NAS actief is(NTP time server)

NTP, indien dit naar de buitenwereld openstaat is een probleem daar dit gebruikt word voor reflection aanvallen, zoals de meeste via UDP werkende diensten (ik zag ook UPNP al langskomen, hier geld hetzelfde voor).

@OP: Aan de (nogal vage) melding van XS4All te lezen zal het probleem in je NAS zitten. Dit komt helaas vrij vaak voor, ook al lijkt ie goed beveiligd. Doorgaans zullen abuse desks je wel meer informatie verstrekken als je hier om vraagt, dit standaard doen is echter lastig gezien je (uiteraard) niet hun enige klant bent met problemen. Het word dan een keus tussen snel bulk werk en uitstekende informatie.

Daar bovenop kan het overgrote deel van de gebruikers helemaal niets met hele specifieke informatie en is het verloren moeite 90% van de tijd.

donderdag 26 januari 2017 13:13

Acties:

MineTurtle

Kan XS4ALL geen MAC-adres in haar logfiles terugvinden? Aan de hand daarvan zou je ook kunnen bepalen welk apparaat de boosdoener is.

Professioneel veters-strikker / Hardware Prutser / Klusserdeklus zowel thuis als bij een lokale computerboer.- Owner Minecraft-community www.dutchkingcraft.nl - Handig met hardware, onhandig met mensen.

donderdag 26 januari 2017 15:05

Acties:

Xanaroth

Kasper1985 schreef op donderdag 26 januari 2017 @ 10:01:
Nee ook dit is afgeschermd met een wachtwoord. Cijfers/letters en een !

Dat klinkt wel leuk, maar prima een bron van de afsluiting. Providers hebben geen idee hoe/waar uit jouw netwerk 'abuse' komt. Die zien gewoon 1 IP adres. Ongeacht of het nou je laptop is, nas, mobieltje of een van de mensen die op bezoek komt.

Als een van hen met een geinfecteerd mobieltje/laptop/tablet inlogd op een afgesloten deel van je netwerk komt dat dus op jouw locatie terecht. Weten zij veel dat je 2 verschillende wifi netwerken hebt opgezet. Vooral als die gasten dan op hetzelfde netwerk zitten, en daardoor elkaar onbewust infecteren doordat hun mobieltjes niet goed beveiligd zijn maar lekker met elkaar praten via het netwerk... Voila, worst-case heb je in je wachtkamer een volledig botnet opgezet.

Dus kijk eventueel eens naar dat deel geheel af te sluiten, als de rest niks opleverd.

[ Voor 23% gewijzigd door Xanaroth op 26-01-2017 15:07 ]

donderdag 26 januari 2017 16:35

Acties:

Raoul.TLS

Dit is echt fucked up. Je kan dus heel veel schade veroorzaken door met je geïnfecteerde laptop (VM) op gratis wifi van verschillende bedrijven en instanties even te gaan zitten. En een hoop shit veroorzaken)
Resultaat zij worden afgesloten.
Mensen moeten vanuit hun gast netwerk alleen http en https verkeer toelaten.
De rest tja jammer dan alle ander porten dicht.
Weet niet of dat bij alle routers acces points zo is. Bij de duurdere wel.
Wat voor router heb je ?

<GOT>DrOPje #2516

donderdag 26 januari 2017 17:08

Acties:

MrBreaker

Staat WPS uit op de Wi-Fi verbinding(en)?

You may enlighten me!

donderdag 26 januari 2017 17:36

Acties:

killercow

eth0

Mijn alarmbellen gaan ook een beetje rinkelen bij: Een nas met default wachtwoorden in een locatie waar patienten zijn. Als je daar data van patienten op bewaard dan maak je het voor jezelf wel *intens* spannend met betrekking tot allerlei wetgeving over patientdata.

Het gast-netwerk netjes gescheiden houden is ook echt wel heel lastig vol te houden. Ja je router is wellicht netjes afgeschermd met een gast-ssid, maar zijn al je kabels dat ook? Een keertje omprikken ergens in een ruimte en je kunt met default gegevens bij je nas.

_-SaVaGe-_ schreef op donderdag 26 januari 2017 @ 13:13:
Kan XS4ALL geen MAC-adres in haar logfiles terugvinden? Aan de hand daarvan zou je ook kunnen bepalen welk apparaat de boosdoener is.

Mac-addressen komen niet voorbij de eerste router.

[ Voor 22% gewijzigd door killercow op 26-01-2017 17:42 ]

openkat.nl al gezien?

donderdag 26 januari 2017 18:42

Acties:

Kasper1985

Topicstarter

Patient gegevens worden nooit lokaal opgeslagen. Het is in principe gewoon een woonhuis annex praktijk dus 1x een inbraak en je bent al de sigaar nog los van een digitale inbraak.
Nee patient gegevens zijn hier nimmer in gevaar gekomen, daar is een extern (gecertificeerd) bedrijf voor die zich daarmee bezig houdt.

Ik heb de QNAP NAS opnieuw geinitialiseerd voor alle zekerheid.

Bedankt allemaal voor de reacties!

woensdag 1 februari 2017 12:54

Acties:

Belsameth

MrBreaker schreef op donderdag 26 januari 2017 @ 17:08:
Staat WPS uit op de Wi-Fi verbinding(en)?

Hoewel WPS niet al te best is, is het zeer ongebruikelijk dat dit soort misbruik word veroorzaakt door mensen die die Wifi hacken. Als ze die moeite nemen zal het doorgaans om ernstiger vormen van misbruik gaan.