Computer wordt gebruikt voor versturen spam-berichten

Pagina: 1
Acties:

Vraag


Acties:
  • 0 Henk 'm!

  • RicardoZ
  • Registratie: Oktober 2011
  • Laatst online: 24-09-2020
Goedemorgen,

De afgelopen paar maanden zij wij inmiddels 3 maal geconfronteerd met een mail van het Abuse Team van KPN (uiteraard onze ISP) dat er misbruik wordt gemaakt van onze internetverbinding en daardoor de verbinding in quarantaine wordt geplaatst. De melding van KPN betreft: ''Vanaf uw internetverbinding werden spam-berichten (ongewenste e-mails) verstuurd.'' Dit betreft chantage-mails om mensen bitcoins te laten betalen. Ondanks dat wij er, ons inziens, alles aan hebben gedaan en nog steeds doen werden wij enkele dagen geleden wederom weer geconfronteerd met een mail van het Abuse Team van KPN. Ik weet niet meer waar ik het moet zoeken, vandaar dit bericht.

De eerste melding was op 3 juli 2020. Op basis hiervan hebben wij, op advies van KPN, alle PC's en laptops gescand met MalwareBytes. Alle PC's waren clean op 1 PC na, behorende tot mijn 13 jarige broertje. Wat mij overigens niet verbaasde. Ik denk dat men redelijk een inschatting kan maken hoe een 13jarige zich op het internet gedraagt. Speelt games, download mods, download cheat-engines ( |:( ) en kijkt totaal niet of het veilig is of de niet. Alle infecties opgelost en het dossier kunnen sluiten...althans...dat hoopte ik.

Circa. een week later wederom een mail van KPN dat er misbruikt wordt gemaakt van onze internetverbinding. Omdat ik wilde weten of het inderdaad lag aan de PC behorende tot mijn broertje heb ik direct deze PC een paar weken uitgezet...en inderdaad...geen meldingen in de periode dat deze computer uitstond. Hiermee werd mijn vermoeden dat het deze PC betreft bevestigd. Daarna de PC volledig geformatteerd en weer clean op het internet aangesloten. Tevens ESET Internet Security (betaalde licentie) op de computer geïnstalleerd, tezamen met MalwareBytes. Prima beveiliging als je het mij vraagt. Kan dus niet mis gaan :) of toch wel...

Enkele dagen geleden wederom een mail van KPN dat er misbruikt wordt gemaakt van onze internetverbinding. MalwareBytes en ESET houden de computer bij en hebben op dit moment ook geen enkele infectie e.d. gevonden. Voor de zekerheid ook alle andere PC's binnen het huishouden gescand en nergens een infectie gevonden. Toen ben ik eens kritisch gaan kijken naar hetgeen wat mijn broertje doet.
Los van het normaal surfen (YouTube e.d.) speelt hij diversen games via o.a. Steam, Epic Games e.d. Cheat-engines e.d. staan er, sinds mijn toelichting dat hier vaak virussen in zitten, niet meer op. Daarnaast gebruikt hij applicaties als Discord, Spotify e.d. Maar het meest speelt hij FiveM. FiveM is een modded (?) versie van GTA om mulitplayer te kunnen spelen. Veelal betreft dit rollenspellen e.d. En daar ligt tevens mijn vermoeden dat dit wel eens de oorzaak zou kunnen zijn. Hij verbindt dan via de FiveM applicatie met een (game)server d.m.v. het invoeren van een IP adres. En bij sommige server dient men eerst een zgn. clan-pack te downloaden en te installeren alvorens men dan kan verbinden met de server. Kan het zo zijn dat bij het verbinden met zo'n een (game)server de internetverbinding kan worden gebruikt voor het versturen van spam berichten?

Zojuist heel even zijn computer opgestart om te kijken of ik iets geks kon zien, maar helaas. Bij het gamen zie ik op zich niet veel geks in taakbeheer langs komen. Enige wat de computer af en toe in IDLE stand doet is circa. 30% CPU gebruiken. Dit betreft proces ''systeem''.

Wie kan mij verder helpen?

Met vriendelijke groet,
Ricardo

Alle reacties


Acties:
  • +2 Henk 'm!

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Elke seconde 1 spam-mailtje sturen kost amper tot geen load dus daar zal je niets aan zien. Maar resulteert wel in 3600x spam per uur.

'bij het verbinden met zo'n een (game)server de internetverbinding' lijkt me niet, maar wel kunnen die al dan niet faudte installers wat extraatjes meenemen die je niet wilt.

Scan eens met de (uptodate en elders gedopwnloade) 'rescue usb' van een heel andere scanner.

Je broertje geen adminrechten geven (en geen schrijfrechten in de game directories anders dan de savegames etc) zou het beste kunnen zijn, maar geen optie als ik het zo lees. Zorg sowieso dat zowel Windows als voor zover mogelijk -alle- software op de machine automatisch update. En stel in dat de virusscanner niet kan worden gepauzeerd of uitgeschakeld en geen whitelist kan worden gebruikt. Als je ouders je broertje dat niet toevertrouwen.

Puur symptoombestrijding is: blokkeer keihard poort 25, 465, 2525 en evt andere poorten in gebruik door mailservers voor uitgaand verkeer op die machine. Dan kan de spam (normaliter) niet weg. Maar dan kan je broertje zelf ook nul mail sturen behalve als dat niet via webmail gaat.
Zie iets als https://thegeekpage.com/h...s-in-windows-10-firewall/

Edit: d'oh: oeps en natuurlijk port 587, goed dat je het zegt @hcQd

[ Voor 3% gewijzigd door F_J_K op 21-09-2020 08:33 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • 0 Henk 'm!

  • Flamesz
  • Registratie: Oktober 2010
  • Laatst online: 22:45
Zijn er niet andere interverbonden apparaten in huis die je misschien over het hoofd ziet?

Acties:
  • 0 Henk 'm!

  • Mel33
  • Registratie: Oktober 2009
  • Laatst online: 06-06 23:18
Heb je misschien een mail doorgestuurd naar een abuse gedeelte van een bank bijv?
Duursturen: Om aan te geven(melden) dat het phising is, in naam van die organisatie.
Die phishing mail bevat vaak de code die dus spam verstuurd als jij hem naar een abuse stuurt

[ Voor 7% gewijzigd door Mel33 op 20-09-2020 11:21 ]

Ik ben zo blij dat de pen en de som nog steeds machtiger zijn dan het zwaard. ringo-remasterd


Acties:
  • 0 Henk 'm!

  • RicardoZ
  • Registratie: Oktober 2011
  • Laatst online: 24-09-2020
F_J_K schreef op zondag 20 september 2020 @ 11:10:
Elke minuut 1 spam-mailtje sturen kost amper tot geen load dus daar zal je niets aan zien. Maar resulteert wel in 3600x spam per uur.

'bij het verbinden met zo'n een (game)server de internetverbinding' lijkt me niet, maar wel kunnen die al dan niet faudte installers wat extraatjes meenemen die je niet wilt.

Scan eens met de (uptodate en elders gedopwnloade) 'rescue usb' van een heel andere scanner.

Je broertje geen adminrechten geven (en geen schrijfrechten in de game directories anders dan de savegames etc) zou het beste kunnen zijn, maar geen optie als ik het zo lees. Zorg sowieso dat zowel Windows als voor zover mogelijk -alle- software op de machine automatisch update. En stel in dat de virusscanner niet kan worden gepauzeerd of uitgeschakeld en geen whitelist kan worden gebruikt. Als je ouders je broertje dat niet toevertrouwen.

Puur symptoombestrijding is: blokkeer keihard poort 25, 465, 2525 en evt andere poorten in gebruik door mailservers voor uitgaand verkeer op die machine. Dan kan de spam (normaliter) niet weg. Maar dan kan je broertje zelf ook nul mail sturen behalve als dat niet via webmail gaat.
Zie iets als https://thegeekpage.com/h...s-in-windows-10-firewall/
Bedankt voor je snelle reactie.
ESET staat al zodanig ingesteld dat er zonder wachtwoord geen instellingen kan worden gewijzigd of dat ESET (tijdelijk) kan worden uitgeschakeld. Uiteraard heb ik zelf ook overwogen om de schrijfrechten te beperken, anders dan save-games. Ervaring leert echter dat er op sommige punten tijdens het gamen toch nog zaken ergens anders worden weggeschreven dan dat je verwacht. Wat mij betreft inderdaad een optie..maar niet de 1e.

Poorten blokkeren is inderdaad een goeie ;) maar is inderdaad nog steeds symptoonbestrijding.

Acties:
  • 0 Henk 'm!

  • RicardoZ
  • Registratie: Oktober 2011
  • Laatst online: 24-09-2020
Flamesz schreef op zondag 20 september 2020 @ 11:16:
Zijn er niet andere interverbonden apparaten in huis die je misschien over het hoofd ziet?
Bij inventarisatie van apparaten die verbonden zijn met het internet kom je er snel achter dat er ''stiekem'' best wel veel apparaten zijn verbonden inderdaad. Telefoons, tablets, printers, Toon...
KPN heeft echter altijd benadrukt dat het niet nodig is om andere apparaten anders dan laptop's en PC's te scannen. En gezien de PC van mijn broertje een tijdje heeft uitgestaan, en in deze periode ook geen meldingen zijn binnen gekomen...is het aannemelijk dat het deze PC betreft.

Acties:
  • 0 Henk 'm!

  • TweakMDS
  • Registratie: Mei 2002
  • Laatst online: 30-05 11:55
Poorten blokkeren lijkt me een goeie om mee te starten, dat kan ook op de computer zelf.
Idealiter zou je dat kunnen combineren met logging van welke machine (intern IP) probeert die verbinding te maken. Dan kan je in ieder geval uitsluiten / zeker weten dat het van die computer komt, en welke outbound poort er precies wordt gebruikt.
Verder kan het ook de moeite lonen om eens te kijken naar tooling om op de computer zelf te vinden welke processen er poort 25 naar buiten toe proberen te benaderen.

Of zoiets als dit: https://www.howtogeek.com...the-windows-firewall-log/

[ Voor 14% gewijzigd door TweakMDS op 20-09-2020 11:40 ]


Acties:
  • 0 Henk 'm!

  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

SndBastard schreef op zondag 20 september 2020 @ 11:37:
Poorten blokkeren lijkt me een goeie om mee te starten, dat kan ook op de computer zelf...
Dat heeft natuurlijk weinig nut: als malware een service kan installeren die mail verstuurt, kan het ook die ports wel vrijgeven in de firewall

QnJhaGlld2FoaWV3YQ==


Acties:
  • 0 Henk 'm!

  • TweakMDS
  • Registratie: Mei 2002
  • Laatst online: 30-05 11:55
Brahiewahiewa schreef op zondag 20 september 2020 @ 12:50:
[...]

Dat heeft natuurlijk weinig nut: als malware een service kan installeren die mail verstuurt, kan het ook die ports wel vrijgeven in de firewall
Mogelijk, maar niet vanzelfsprekend.
Allereerst hoeft de malware niet als service geïnstalleerd te zijn, maar kan dit bijvoorbeeld ook een chrome extensie zijn of wat dan ook. De windows firewall gebruiken is verre van waterdicht, maar het kan ook geen kwaad om in meerdere lagen te denken.
Firewall op windows, inclusief logging. Outbound firewall, ofwel op de router (niet standaard) of met iets anders. Tijdelijk scanning op het netwerk - en ja, een 13-jarige doet van alles wat je niet hoeft te weten, dus beperk het tot mail poorten.

Acties:
  • 0 Henk 'm!

  • RicardoZ
  • Registratie: Oktober 2011
  • Laatst online: 24-09-2020
Allen bedacht voor jullie reacties. Ik zal later vanavond de poorten 25, 465, 2525 zien te blokkeren in de lokale firewall. Firewall betreft overigens geen Windows Defender Firewall maar ook dit gedeelte wordt door ESET Internet Security geregeld, geeft wellicht iets meer vertrouwen :)

Maar is er toevallig geen applicatie wat kan zien welke toepassing/programma/bestand verbinding maakt met een ander IP adres naar buiten toe over deze poorten? Dan heb je denk ik meteen de bron achterhaald?
Dit kan misschien zowel lokaal, als via de modem van KPN of via de Archer C1200 Router (die staat er nog tussen).

Acties:
  • 0 Henk 'm!

  • DeBolle
  • Registratie: September 2000
  • Nu online

DeBolle

Volgens mij ligt dat anders

RicardoZ schreef op zondag 20 september 2020 @ 19:42:
Maar is er toevallig geen applicatie wat kan zien welke toepassing/programma/bestand verbinding maakt met een ander IP adres naar buiten toe over deze poorten? Dan heb je denk ik meteen de bron achterhaald?
Dit kan misschien zowel lokaal, als via de modem van KPN of via de Archer C1200 Router (die staat er nog tussen).
Lokaal, dus op de verdachte PC, kun je bijvoorbeeld TCPView gebruiken, vrijwel realtime alle verbindingen zichtbaar. Oud, maar degelijk dingetje.

Specs ... maar nog twee jaar zes maanden en dan weer 130!


Acties:
  • 0 Henk 'm!

  • hp-got
  • Registratie: September 2017
  • Laatst online: 17-01-2021

hp-got

Moi

RicardoZ schreef op zondag 20 september 2020 @ 19:42:
[...]
Maar is er toevallig geen applicatie wat kan zien welke toepassing/programma/bestand verbinding maakt met een ander IP adres naar buiten toe over deze poorten? Dan heb je denk ik meteen de bron achterhaald?
Dit kan misschien zowel lokaal, als via de modem van KPN of via de Archer C1200 Router (die staat er nog tussen).
Je zou kunnen denken aan NetLimiter of GlassWire.

Als data het nieuwe goud is dan is je telefoon een goudmijn. | Mijn RIPE Atlas probe


Acties:
  • 0 Henk 'm!

  • hcQd
  • Registratie: September 2009
  • Laatst online: 23:03
RicardoZ schreef op zondag 20 september 2020 @ 19:42:
Allen bedacht voor jullie reacties. Ik zal later vanavond de poorten 25, 465, 2525 zien te blokkeren in de lokale firewall.
Vergeet 587 niet.

Acties:
  • 0 Henk 'm!

  • RicardoZ
  • Registratie: Oktober 2011
  • Laatst online: 24-09-2020
Ik heb inmiddels de poorten 25, 465, 2525 en 587 geblokkeerd in de ESET Firewall.

Afbeeldingslocatie: https://tweakers.net/i/P7gBKzqq-ce5mb8QJuf4NPS8kcc=/800x/filters:strip_icc():strip_exif()/f/image/WnJVClsBWHoV5OrJYso4DHcS.jpg?f=fotoalbum_large

Tegelijk heb ik Glasswire de afgelopen 24uur laten meedraaien in de hoop dat ik daar wijzer uit zou worden.Maar tot op heden zie ik niet direct iets verdachts langskomen.

Afbeeldingslocatie: https://tweakers.net/i/q5DuOjnnfXBVcb2IuOsN69gqFNQ=/800x/filters:strip_exif()/f/image/JueqKtcKdGeecqEBqLZxWjEm.png?f=fotoalbum_large

Dus het nu even een kwestie van aankijken of er meldingen vanuit KPN binnen komen, en dan desbetreffende datum en tijdstip naast de logging van Glasswire leggen en kijk welke verbindingen er op dat moment open stonden. Denk ik?
Pagina: 1