Port forward aangemaakt in KPN Experiabox - Privacy en beveiliging

vrijdag 28 april 2017 13:44

Acties:

0 Henk 'm!

Topicstarter

Ik heb al een tijdje een Experiabox. Nu heb ik sinds een week dat ik vanuit thuis niet meer kan mailen met een melding 550 Administrative Prohibition. Ik heb mijn IP door spamhaus gegooid en ik sta op de CBL. Al mijn pc's gescand en niemand heeft een virus.

Nu dus verder gegaan en op mijn router gaan kijken. Daar zie ik geen restricties die ik niet kan plaatsen. Maar ineens zie ik in mijn experiabox een "zelf" aangemaakte port forward:
HDM_CR_50 en nog wat die poort 9006 forward naar port 7547. En deze doet dit naar ip 192.168.2.3

Deze heb ik dus zelf niet aangemaakt. KPN is nu aan het kijken wat hier de oorzaak van kan zijn. Maar wat zijn voor mij de gevolgen?
Het IP is van mijn DVR van Arcadyan (de standaard KPN televisiebox). KPN is aan het bekijken of deze de oorzaak van mijn SPAM-melding kan zijn. Maar wat kan er allemaal nog meer gebeurd zijn? Ik vind het niet echt tof dat er iemand in mijn router gezeten heeft.

Wat zou ik volgens jullie moeten doen?
Er zit een Synology, een kodi, 2 macs, 2 windows, 1 chromebook, 3 telefoons etc. achter. Alles clean install is heel veel werk. Is dit nodig? Of kan ik er een aantal uitsluiten? Of kunnen ze helemaal niet op deze apparaten gekomen zijn?

vrijdag 28 april 2017 13:47

Acties:

0 Henk 'm!

Vorkie

Maar heb je dan zelf een mailserver?

Die port forward kan door uPNP aangemaakt zijn? Staat dit nog aan?

vrijdag 28 april 2017 13:54

Acties:

0 Henk 'm!

Chris van der G

Tailchakra

Na een beetje onderzoek word Port 7547 vaak gebruikt door "Customer Premises Equipment WAN Management Protocol"

Vaker gelezen dat dit gebruikt word door ISPs om remote support aan te bieden (troubleshoots/remote reset). Waarom KPN dan geen antwoord heeft weet ik niet, mogelijk dat deze automatisch is aangemaakt via een firmware update?

"According to statistics from 2011, there are 147 million TR-069-enabled devices online and an estimated 70 percent of them are residential gateways, Tal said. Based on scans of the Internet Protocol version 4 address space, the 7547 port, which is associated with TR-069, is the second most frequently encountered service port after port 80 (HTTP), he said."

"Port associated with TR-069 - application layer protocol for remote management of end-user devices. It is a bidirectional SOAP/HTTP-based protocol that provides communication between CPE devices and auto-configuration servers (ACS). It can be used by some modems, gateways, routers, VoIP phones, set-top boxes. TR-069 has some known exploits as demonstrated at the DEFCON22 conference.

If your NAT router/gateway keeps this port open and you are sure you want to filter it (potential interference with ISPs pushing firmware updates), try the following. Navigate to your router's admin interface and disable TR-069. If that does not work, look under "port forwarding", or "virtual servers", and forward the port to an unused local IP address, like (192.168.1.252)"

vrijdag 28 april 2017 13:59

Acties:

0 Henk 'm!

Paultje3181

Topicstarter

UPNP staat dicht in de router. KPN kan mij niet zeggen of zij een dergelijk management protocol gebruiken, maar de abuse-afdeling is niet zo bereikbaar, dat moet per mail. Nu met een servicedeskmedewerker er tussen en hopen dat er wat meer duidelijk is...

De Port Forward is er in ieder geval uitgehaald. Alle pc's zijn gescand. Volgens KPN staan er slechts een x aantal poorten open, maar die kan ik allemaal verklaren.

Vanavond de router en de Arcardyan resetten naar default en dan ben ik hopelijk weer wat veiliger.

Maar wat zou ik nog kunnen doen om de bron te achterhalen?

[ Voor 39% gewijzigd door Paultje3181 op 28-04-2017 14:18 ]

vrijdag 28 april 2017 14:28

Acties:

0 Henk 'm!

Chris van der G

Tailchakra

Je zou eventueel op je apparaten kunnen kijken of de port gebruikt word.
Commandline (admin) > netstat -a -b

Heeft UPnP ooit wel aan gestaan?

Als je echt verder in het debuggen wilt gaan kan je " https://joncraton.org/blog/46/netcat-for-windows/ " of " https://nmap.org/book/inst-windows.html " even bekijken.

Echter denk ik zelf dat UPnP bij een firmware update aan heeft gestaan oid.

vrijdag 28 april 2017 15:43

Acties:

0 Henk 'm!

Paultje3181

Topicstarter

Op de router niet, maar op een DLink camera stond upnp en upnp forwarding aan. Kan dit de reden zijn? Deze nu nieuwste firmware gegeven en upnp en upnp forwarding uitgezet. Maar kunnen deze dan in de routers komen als het daar niet aanstaat?

vrijdag 28 april 2017 15:46

Acties:

0 Henk 'm!

Chris van der G

Tailchakra

Als UPnP uit heeft gestaan op de router, zou hij niets zelf aan moeten kunnen maken.

UPnP port forwarding - UPnP port forwarding will allow a IP camera to communicate with a UPnP compatible network router for simplified local network device access as well as remote access via the Internet. In order to allow for UPnP port forwarding you will first need to ensure that UPnP is supported and working on your router. Once this has been confirmed you will then need to enable UPnP port forwarding on your IP camera. If the defaults ports used are free for port forwarding or if you will need to change the HTTP ports that are in use to allow for proper UPnP port forwarding. After the proper network ports have been assigned to your IP camera you should then be able to access your IP camera over the Internet.

vrijdag 28 april 2017 16:36

Acties:

0 Henk 'm!

Paultje3181

Topicstarter

hmmm, dan toch maar wachtwoorden veranderen en clean install van de routers... Balen

vrijdag 28 april 2017 16:57

Acties:

0 Henk 'm!

LocK_Out

Ik moet eerlijk zeggen dat ik laatst ook een upnp poort open had staan in m'n gateway (Cisco EPC3925). Dit terwijl ik upnp op de gateway zelf uit heb staan.

Geen vreemde dingen of wat waargenomen.

[ Voor 4% gewijzigd door LocK_Out op 28-04-2017 16:58 ]

vrijdag 28 april 2017 18:21

Acties:

0 Henk 'm!

xh3adshotx

Welke poort forwards kon je wel verklaren en wat is de exacte set-up van je netwerk?

vrijdag 28 april 2017 19:55

Acties:

0 Henk 'm!

FlipFluitketel

Frontpage Admin

Heb je toevallig zo'n "Draadloze verbindingsset" (oftewel, powerline) van KPN? Zo ja, lees dit eens. (En ook als je dat niet hebt mag je het lezen.

)

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!

maandag 11 december 2023 14:50

Acties:

0 Henk 'm!

fharland

Is het al bekend? Zou het misschien een printer service kunnen zijn die jouw printer laat printen over het internet?

maandag 11 december 2023 14:55

Acties:

0 Henk 'm!

MustacheNick

fharland schreef op maandag 11 december 2023 @ 14:50:
Is het al bekend? Zou het misschien een printer service kunnen zijn die jouw printer laat printen over het internet?

Volgends mij wordt de poort gebruikt voor "Deze portforwarding wordt 'gepushed' door KPN voor de STB's - TV decoders - van KPN, zoals bijvoorbeeld de ARRIS en de ARCADYAN. Ook bij mij staan ze in dezelfde lijst."

https://zakelijkforum.kpn...00029b-m11614tnj304-10243

Bron hierboven. Soorgelijke melding

maandag 11 december 2023 21:43

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

fharland schreef op maandag 11 december 2023 @ 14:50:
Is het al bekend? Zou het misschien een printer service kunnen zijn die jouw printer laat printen over het internet?

Bedoelde je dit om mee te denken? Dan, beter om zulke oude vragen weggezakt te laten. Ondertussen heeft de vragensteller andere hardware.

Of als eigen vraag? Beter om een eigen topic aan te maken (na inderdaad eerst zoeken, kudos). Ondertussen is de wereld veranderd en zijn de omstandigheden van je vraag dat ook

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)