Toon posts:

Afgesloten door Ziggo vanwege verdachte activiteiten

Pagina: 1
Acties:

vrijdag 20 november 2020 14:47

Acties:
  • 0 Henk 'm!
  • Deadly Knapsack
  • Registratie: Februari 2014
  • Laatst online: 27-01 16:20

Deadly Knapsack

Topicstarter
Allen. Ik heb hier dit jaar ook problemen mee gehad en vervolgens is er lang niet gebeurd, tot een week terug.

Ziggo heeft mij in één week twee keer afgesloten, vanwege abuse meldingen. Ik ben ten einde raad. Hoe kom ik er nou achter welk apparaat hier de boosdoener is? Dit zijn de meldingen:
https://www.abuseipdb.com/check/83.83.10.253

83.83.10.253/32 (root IP: 83.83.10.253) (PTR: 83-83-10-253.cable.dynamic.v4.ziggo.nl.) was added to the blackholes.tepucom.nl RBLDNS for the following reason:

"Caught scanning for web/mail exploits / compromised hosts"

[ strike 2: 3 day minimum ]


Check http://multirbl.valli.org/dnsbl-lookup/83.83.10.253.html, https://blocklist.info?83.83.10.253, and https://www.abuseipdb.com/check/83.83.10.253 for possible other issues with 83.83.10.253/32.

Is 83.83.10.253/32 listed in the Spamhaus CSS / Spamhaus SBL? No.
Is 83.83.10.253/32 listed in the Spamhaus XBL / Abuseat CBL? No.


----------------------------------------------------------------------------------------------------
Below is an overview of recently recorded abusive activity from 83.83.10.253/32 (time zone: CET)

----------------------------------------------------------------------------------------------------
Fields: IP / Contacted host / Local time / Log line (see notes below)
----------------------------------------------------------------------------------------------------
83.83.10.253 tpc-035.mach3builders.nl 20201106/16:33:32 16:33:14.231718 rule 0/0(match): block in on vmx0: 83.83.10.253.50758 > 91.190.98.70.22: Flags [S], seq 1147425008, win 5840, options [mss 1460,sackOK,TS val 123617871 ecr 0,nop,wscale 6], length 0
83.83.10.253 tpc-032.mach3builders.nl 20201120/11:23:10 11:22:21.462144 rule 0/0(match): block in on vmx0: 83.83.10.253.45419 > 91.190.98.179.22: Flags [S], seq 1381679430, win 5840, options [mss 1460,sackOK,TS val 96085954 ecr 0,nop,wscale 6], length 0

=============================================
Notes:
---------------------------------------------

----------------------------------------------------------------------------------------------------
Current blackholes.tepucom.nl listings in 83.83.10.253/32:
----------------------------------------------------------------------------------------------------
83.83.10.253/32 Caught scanning for web/mail exploits / compromised hosts [strike 2: 3 day minimum] @@1605867741
--
To whom it may concern,

83.83.10.253 is reported to you for performing unwanted activities toward our server(s).

=============================================================================
Current records of unwanted activities toward our server(s) on file;
the second field designates our server that received the unwanted connection:
-----------------------------------------------------------------------------
* 83.83.10.253 tpc-032.mach3builders.nl 20201120/11:23:10 11:22:21.462144 rule 0/0(match): block in on vmx0: 83.83.10.253.45419 > 91.190.98.179.22: Flags [S], seq 1381679430, win 5840, options [mss 1460,sackOK,TS val 96085954 ecr 0,nop,wscale 6], length 0
* 83.83.10.253 tpc-035.mach3builders.nl 20201106/16:33:32 16:33:14.231718 rule 0/0(match): block in on vmx0: 83.83.10.253.50758 > 91.190.98.70.22: Flags [S], seq 1147425008, win 5840, options [mss 1460,sackOK,TS val 123617871 ecr 0,nop,wscale 6], length 0


---------------------------------------------
* Check http://multirbl.valli.org/dnsbl-lookup/83.83.10.253.html, https://blocklist.info?83.83.10.253, and https://www.abuseipdb.com/check/83.83.10.253 for possible other issues with 83.83.10.253.

* Your e-mail address <abuse@as9143.net> was retrieved (best-guessed) automatically from public WHOIS/RDAP data (e.g. https://www.whois.com/whois/83.83.10.253 and https://client.rdap.org/?type=ip&object=83.83.10.253) and other IP/domain-related information. If <abuse@as9143.net> is not the correct e-mail address to report spam and security issues inside your network(s), please update your public WHOIS/RDAP data or ask your ISP or IP owner to do so.

-----------------------------------------------------------------------------
1605867741.462040 00:50:56:88:55:13 > 00:50:56:a2:4e:da, ethertype IPv4 (0x0800), length 74: (tos 0x28, ttl 56, id 59012, offset 0, flags [DF], proto TCP (6), length 60)
83.83.10.253.45419 > 91.190.98.179.22: Flags [S], cksum 0x21d1 (correct), seq 1381679430, win 5840, options [mss 1460,sackOK,TS val 96085954 ecr 0,nop,wscale 6], length 0
0x0000: 0050 56a2 4eda 0050 5688 5513 0800 4528 .PV.N..PV.U...E(
0x0010: 003c e684 4000 3806 3f4e 5353 0afd 5bbe .<..@.8.?NSS..[.
0x0020: 62b3 b16b 0016 525a c146 0000 0000 a002 b..k..RZ.F......
0x0030: 16d0 21d1 0000 0204 05b4 0402 080a 05ba ..!.............
0x0040: 27c2 0000 0000 0103 0306 '.........
1605867744.471281 00:50:56:88:55:13 > 00:50:56:a2:4e:da, ethertype IPv4 (0x0800), length 74: (tos 0x28, ttl 56, id 59013, offset 0, flags [DF], proto TCP (6), length 60)
83.83.10.253.45419 > 91.190.98.179.22: Flags [S], cksum 0x20a4 (correct), seq 1381679430, win 5840, options [mss 1460,sackOK,TS val 96086255 ecr 0,nop,wscale 6], length 0
0x0000: 0050 56a2 4eda 0050 5688 5513 0800 4528 .PV.N..PV.U...E(
0x0010: 003c e685 4000 3806 3f4d 5353 0afd 5bbe .<..@.8.?MSS..[.
0x0020: 62b3 b16b 0016 525a c146 0000 0000 a002 b..k..RZ.F......
0x0030: 16d0 20a4 0000 0204 05b4 0402 080a 05ba ................
0x0040: 28ef 0000 0000 0103 0306 (.........
Wie kan me helpen? Ik heb de volgende apparaten:

- OSMC (Kodi) op een Raspberry Pi > geen standaard wachtwoord en up to date
- Synology NAS > up to date, inclusief virusscanner
- Docker containers op die NAS: Sonarr, Radarr, NZBGet, Home Assistant, Pi-Hole
- Paar Sonoffs, Marantz met Airplay, Netgear Router (firmware up to date), iPad, Macbook Pro, Windows laptop, Netgear switch,

Ik snap dat ik bijvoorbeeld naar de Containers moet kijken, maar hoe?
Logging in de R7000 is allemaal inkomend, niet uitgaand.
Pi-hole kijkt alleen naar DNS verzoeken, dus heb ik niks aan qua logging.
Virusscanners, Malware scanners hebben gedraaid, niets aan de hand.

Ik zou graag een manier hebben om AL het verkeer te loggen, om zo bij een nieuwe abuse melding en afsluiting te snappen waar het vandaan komt.

vrijdag 20 november 2020 14:52

Acties:
  • 0 Henk 'm!
  • mash_man02
  • Registratie: April 2014
  • Laatst online: 10:20

mash_man02

Dat kun je vaak wel met enterprise grade apparatuur, huis tuin en keuken apparatuur is daar vaak minder geschikt voor.

Als je het mij vraagt zou al heel snel een software firewall zoals PFsense gaan kijken ik denk dat die dat wel kan en begin simpelweg met een deny any any policy.

Als je eerder aan een appliance zit te denken kan ik een Fortinet aanbevelen, maar dat zal wel wat duurder worden.

Asus X570-E AMD ryzen 5800x3D 64Gb Sapphire 7900xtx X-vapor nitro+

vrijdag 20 november 2020 15:10

Acties:
  • +1 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Nu online

lier

MikroTik nerd

Welke poorten staan naar binnen open (op je router)?
Welke poorten staan naar buiten open (op je router)?
Maak je gebruik van UPnP?
Welke apparaten versturen mail?

Eerst het probleem, dan de oplossing

vrijdag 20 november 2020 15:16

Acties:
  • 0 Henk 'm!
  • tagican
  • Registratie: December 2012
  • Laatst online: 10-09 20:57

tagican

Vaak, maar niet altijd, begint het met een systeem dat vanaf internet bereikbaar is en geïnfecteerd wordt. De eerste vraag van @lier is hier denk ik het meest belangrijk, omdat dit aangeeft welke van je systemen direct vanaf internet bereikbaar zijn. Dat kan dus ook bijvoorbeeld een Docker container zijn op je NAS.

vrijdag 20 november 2020 15:25

Acties:
  • 0 Henk 'm!
  • The Eagle
  • Registratie: Januari 2002
  • Laatst online: 10-09 23:54

The Eagle

I wear my sunglasses at night

Al je verkeer loggen? Dan moet je ergens een oude hub opduikelen (dus geen switch). Een hub stuurt al het verkeer door op alle portten. Kun je simpelweg met wireshark oid uitlezen. Zal vast ook wel ergens een daemon voro te vinden zijn die alles kan loggen en weg kan schrijven. Wel even opletten dat je daar dan ook weer een platform / DB / whatever voor nodig hebt.

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

vrijdag 20 november 2020 15:49

Acties:
  • +3 Henk 'm!
  • Breezers
  • Registratie: Juli 2011
  • Laatst online: 16-03-2021

Breezers

Wel handig om je vorige topic even te linken :

Ziggo meldt poortscans, wat te doen?

“We don't make mistakes just happy little accidents” - Bob Ross

vrijdag 20 november 2020 16:06

Acties:
  • 0 Henk 'm!
  • Kasper1985
  • Registratie: Oktober 2014
  • Laatst online: 10-09 18:51

Kasper1985

Staat SSH open op je NAS en gebruik je toevallig de default admin login naam?

vrijdag 20 november 2020 16:26

Acties:
  • +3 Henk 'm!
  • valkenier
  • Registratie: Maart 2000
  • Laatst online: 15:52

valkenier

Er staat van alles open als ik shodan mag geloven. Als je dan toch een VPN en/of SSH hebt, dan hoeven die NAS en Netgear toch niet rechtstreeks aan het web te hangen? Dikke kans dat er toch ergens toegang is verkregen. Je kunt je ook afvragen wat je met nzb en torrents zoal hebt binnengehengeld.

vrijdag 20 november 2020 16:46

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 24-08 21:46

Thralas

valkenier schreef op vrijdag 20 november 2020 @ 16:26:
Er staat van alles open als ik shodan mag geloven. Als je dan toch een VPN en/of SSH hebt, dan hoeven die NAS en Netgear toch niet rechtstreeks aan het web te hangen? Dikke kans dat er toch ergens toegang is verkregen. Je kunt je ook afvragen wat je met nzb en torrents zoal hebt binnengehengeld.
Preciezer: de hele Synology, SSH op port 24 (is dat ook van de Synology?) en HTTPS op :443 dat een certificaat serveert met 5 verschillende DNS-names met torrent/download-achtige services.

Dat soort hobbypakketten publiek draaien vereist veel onderhoud. Aangezien je ze meestal 'voor eigen gebruik' draait doe je er verstandig aan (understatement) om dat achter een VPN te hangen.

Je kunt er vergif op innemen dat het iets op de Synology is (tenzij 24 naar iets anders verwijst). Wellicht zelfs iets van máánden geleden (vorige topic).

@Deadly Knapsack Post eens een volledige process listing van de Synology? ps axfu of ps w naar gelang de shell. En een ping naar 91.190.98.70.22 vanaf de Synology, als je tenminste nog internet hebt?

vrijdag 20 november 2020 17:04

Acties:
  • 0 Henk 'm!
  • valkenier
  • Registratie: Maart 2000
  • Laatst online: 15:52

valkenier

Thralas schreef op vrijdag 20 november 2020 @ 16:46:
[...]


Preciezer: de hele Synology, SSH op port 24 (is dat ook van de Synology?) en HTTPS op :443 dat een certificaat serveert met 5 verschillende DNS-names met torrent/download-achtige services.

Dat soort hobbypakketten publiek draaien vereist veel onderhoud. Aangezien je ze meestal 'voor eigen gebruik' draait doe je er verstandig aan (understatement) om dat achter een VPN te hangen.

Je kunt er vergif op innemen dat het iets op de Synology is (tenzij 24 naar iets anders verwijst). Wellicht zelfs iets van máánden geleden (vorige topic).

@Deadly Knapsack Post eens een volledige process listing van de Synology? ps axfu of ps w naar gelang de shell. En een ping naar 91.190.98.70.22 vanaf de Synology, als je tenminste nog internet hebt?
Ik wilde niet alles hier verklappen, maar dit is exact waar ik op doelde. Vat nog even niet wat je met die ping wil?

vrijdag 20 november 2020 17:33

Acties:
  • 0 Henk 'm!
  • Deadly Knapsack
  • Registratie: Februari 2014
  • Laatst online: 27-01 16:20

Deadly Knapsack

Topicstarter
Ik begrijp wel waarom jullie focussen op inkomend verkeer en de kwetsbaarheid, maar ik probeer erachter te komen welk apparaat nu uitgaande verbindingen legt die geflagged worden. Tuurlijk is het goed om de apparaten te beschermen van buitenaf, maar inmiddels heb ik geen verbinding meer en kan ik pas weer aangesloten worden als het apparaat waar dus blijkbaar malware op draait van het netwerk is. Met 20+ apparaten kan ik niet gewoon ALLES uitschakelen. Ik zou daarom dus van binnenuit willen werken en niet van buiten naar binnen. Het doel van verbonden apparaten gaat een beetje verloren als ik gewoon hun verbinding block zonder intelligentie.

Ik zie nog niet helemaal hoe ik al mijn verkeer kan loggen. Er worden suggesties gedaan van firewalls en ik snap dat dat me informatie op gaat leveren. Maar het is een beetje ver van mijn bed en zou eerlijk gezegd niet weten waar ik moet beginnen.

Ik ben redelijk radeloos, want ik heb gewoon internet nodig voor mijn werk.

vrijdag 20 november 2020 17:39

Acties:
  • +4 Henk 'm!
  • Juup
  • Registratie: Februari 2000
  • Niet online

Juup

Je pakt het verkeerd aan.
Haal ALLES van je netwerk af, zet je wifi uit, steek 1 (werk)laptop in je netwerk en vraag heel lief aan ziggo of ze je weer aan willen sluiten.
Test daarna 1 voor 1 je apparaten intern, zonder ze op internet aan te sluiten.

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

vrijdag 20 november 2020 17:40

Acties:
  • 0 Henk 'm!
  • hostname
  • Registratie: April 2009
  • Laatst online: 09-09 20:06

hostname

Logging van al je verkeer moet je op de router doen, maar met zo'n consumenten Netgear gaat dat niet lukken, al is het maar omdat die niet genoeg CPU power en opslag heeft om de logs te verwerken.

Je beste mogelijkheid is toch echt om te gaan kijken naar wat je open hebt staan voor de wereld. Ergens is iets binnengekomen in je netwerk, en via de voordeur is toch het meest logisch.

vrijdag 20 november 2020 17:42

Acties:
  • 0 Henk 'm!
  • tagican
  • Registratie: December 2012
  • Laatst online: 10-09 20:57

tagican

Deadly Knapsack schreef op vrijdag 20 november 2020 @ 17:33:
Ik begrijp wel waarom jullie focussen op inkomend verkeer en de kwetsbaarheid, maar ik probeer erachter te komen welk apparaat nu uitgaande verbindingen legt die geflagged worden. Tuurlijk is het goed om de apparaten te beschermen van buitenaf, maar inmiddels heb ik geen verbinding meer en kan ik pas weer aangesloten worden als het apparaat waar dus blijkbaar malware op draait van het netwerk is. Met 20+ apparaten kan ik niet gewoon ALLES uitschakelen. Ik zou daarom dus van binnenuit willen werken en niet van buiten naar binnen. Het doel van verbonden apparaten gaat een beetje verloren als ik gewoon hun verbinding block zonder intelligentie.

Ik zie nog niet helemaal hoe ik al mijn verkeer kan loggen. Er worden suggesties gedaan van firewalls en ik snap dat dat me informatie op gaat leveren. Maar het is een beetje ver van mijn bed en zou eerlijk gezegd niet weten waar ik moet beginnen.

Ik ben redelijk radeloos, want ik heb gewoon internet nodig voor mijn werk.
Dat verklaart ook waarom een portscan nu geen resultaat gaf, maar Shodan wel :+

Kun je op de NAS ook een terminal openen? Zo ja, kijk of het commando "tcpdump" beschikbaar is. Als dat zo is, het volgende uitvoeren:

code:
1

tcpdump "dst port 22"


Als het goed is, zie je nu het verkeer naar voren komen. Het kan even duren, want de scanner zal niet altijd actief zijn.

vrijdag 20 november 2020 17:42

Acties:
  • 0 Henk 'm!
  • Deadly Knapsack
  • Registratie: Februari 2014
  • Laatst online: 27-01 16:20

Deadly Knapsack

Topicstarter
Juup schreef op vrijdag 20 november 2020 @ 17:39:
Je pakt het verkeerd aan.
Haal ALLES van je netwerk af, zet je wifi uit, steek 1 (werk)laptop in je netwerk en vraag heel lief aan ziggo of ze je weer aan willen sluiten.
Test daarna 1 voor 1 je apparaten intern, zonder ze op internet aan te sluiten.
Prima, maar het geeft mij nog steeds geen inzicht in HOE ik "1 voor 1 m'n apparaten kan testen, zonder ze op internet aan te sluiten". Mijn vraag blijft toch hetzelfde? Hoe kom ik erachter wat die verdachte verbindingen naar buiten legt? Ja, opnieuw laten aansluiten zorgt dat ik online ben, maar dan ben ik er niet. Eén voor één dingen online zetten en wachten tot Ziggo me weer afsluit kan maanden duren. Ik heb bijna een jaar nergens last van gehad.

vrijdag 20 november 2020 17:44

Acties:
  • 0 Henk 'm!
  • Deadly Knapsack
  • Registratie: Februari 2014
  • Laatst online: 27-01 16:20

Deadly Knapsack

Topicstarter
tagican schreef op vrijdag 20 november 2020 @ 17:42:
[...]

Dat verklaart ook waarom een portscan nu geen resultaat gaf, maar Shodan wel :+

Kun je op de NAS ook een terminal openen? Zo ja, kijk of het commando "tcpdump" beschikbaar is. Als dat zo is, het volgende uitvoeren:

code:
1

tcpdump "dst port 22"


Als het goed is, zie je nu het verkeer naar voren komen. Het kan even duren, want de scanner zal niet altijd actief zijn.
Maar hoe kom jij dan aan port 22? De meldingen gaan toch over random uitgaande porten? Ik wil niet zoeken naar dat wat er op 22 binnenkomt, ik wil weten wat er uitgaand is.

vrijdag 20 november 2020 17:47

Acties:
  • 0 Henk 'm!
  • tagican
  • Registratie: December 2012
  • Laatst online: 10-09 20:57

tagican

Deadly Knapsack schreef op vrijdag 20 november 2020 @ 17:44:
[...]


Maar hoe kom jij dan aan port 22? De meldingen gaan toch over random uitgaande porten? Ik wil niet zoeken naar dat wat er op 22 binnenkomt, ik wil weten wat er uitgaand is.
Uit het abuse rapport maak ik op dat vanaf jouw IP wordt gescant náár poort 22.

83.83.10.253 tpc-035.mach3builders.nl 20201106/16:33:32 16:33:14.231718 rule 0/0(match): block in on vmx0: 83.83.10.253.50758 > 91.190.98.70.22: Flags [S], seq 1147425008, win 5840, options [mss 1460,sackOK,TS val 123617871 ecr 0,nop,wscale 6], length 0

vrijdag 20 november 2020 17:58

Acties:
  • +2 Henk 'm!
  • Juup
  • Registratie: Februari 2000
  • Niet online

Juup

Deadly Knapsack schreef op vrijdag 20 november 2020 @ 17:42:
Eén voor één dingen online zetten en wachten tot Ziggo me weer afsluit kan maanden duren. Ik heb bijna een jaar nergens last van gehad.
Nee dat moet je dus precies niet doen.
Je moet een apparaat pas weer aansluiten als je weet dat 'ie schoon is.
Een van je machines is besmet/gehackt, wat niet zo verwonderlijk is als je alles maar open en bloot aan het internet hangt.
Ik zou zelf overal een nieuwe software versie op installeren/flashen en schoon beginnen met nieuwe admin accounts, lange wachtwoorden en alleen op het interne netwerk poorten open zetten.
Alles waar je van buitenaf bij moet => VPN.

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

vrijdag 20 november 2020 17:58

Acties:
  • 0 Henk 'm!
  • Deadly Knapsack
  • Registratie: Februari 2014
  • Laatst online: 27-01 16:20

Deadly Knapsack

Topicstarter
tagican schreef op vrijdag 20 november 2020 @ 17:47:
[...]

Uit het abuse rapport maak ik op dat vanaf jouw IP wordt gescant náár poort 22.

83.83.10.253 tpc-035.mach3builders.nl 20201106/16:33:32 16:33:14.231718 rule 0/0(match): block in on vmx0: 83.83.10.253.50758 > 91.190.98.70.22: Flags [S], seq 1147425008, win 5840, options [mss 1460,sackOK,TS val 123617871 ecr 0,nop,wscale 6], length 0
Ok interessant. Hij draait nu. Maar ik heb geen internet nu. Kan ik deze gewoon laten draaien op de achtergrond en dan, als ik afgesloten wordt, de logs erbij pakken?

vrijdag 20 november 2020 18:02

Acties:
  • 0 Henk 'm!
  • Deadly Knapsack
  • Registratie: Februari 2014
  • Laatst online: 27-01 16:20

Deadly Knapsack

Topicstarter
Juup schreef op vrijdag 20 november 2020 @ 17:58:
[...]

Nee dat moet je dus precies niet doen.
Je moet een apparaat pas weer aansluiten als je weet dat 'ie schoon is.
Een van je machines is besmet/gehackt, wat niet zo verwonderlijk is als je alles maar open en bloot aan het internet hangt.
Ik zou zelf overal een nieuwe software versie op installeren/flashen en schoon beginnen met nieuwe admin accounts, lange wachtwoorden en alleen op het interne netwerk poorten open zetten.
Alles waar je van buitenaf bij moet => VPN.
Ik waardeer echt je hulp, begrijp me niet verkeerd, maar ik heb een handjevol docker containers draaien, een compleet ingericht smart home met tientalle apparaten. Ik kan simpelweg niet ALLES zomaar opnieuw installeren. Daarbij vind ik het een soort bazooka methode. Je killt alles om hopelijk in the process iets te stoppen. Soort van hagel schieten. Ik vertik het. Ik wil gewoon weten wat er gebeurt, niet opnieuw beginnen.

vrijdag 20 november 2020 18:06

Acties:
  • +1 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 24-08 21:46

Thralas

valkenier schreef op vrijdag 20 november 2020 @ 17:04:
Vat nog even niet wat je met die ping wil?
Pogen te achterhalen of het een docker container betreft. Docker voegt vaak een extra router toe, wat de ttl van je packets doet afnemen. Aangezien de ttl van het scanverkeer bekend is (56) heb je een aanwijzing dat het in een docker container moet zoeken als de ttl vanaf de host 57 is. Andersom werkt helaas niet.

En daarnaast werkt aandachtig staren naar een proceslijst natuurlijk goed. Meestal draait er gewoon een extra proces dat er niet hoort. Maargoed, die moet @Deadly Knapsack dan even posten.
Deadly Knapsack schreef op vrijdag 20 november 2020 @ 17:58:
Ok interessant. Hij draait nu. Maar ik heb geen internet nu. Kan ik deze gewoon laten draaien op de achtergrond en dan, als ik afgesloten wordt, de logs erbij pakken?
Je moet nog even een interface specificeren (-i any), anders loop je het risico de verkeerde interface te capturen. Daarnaast: niet je internet heractiveren voordat je het hebt opgelost, dat is nalatig.

Je loopt wel het risico dat je niets capturet omdat het geen internet heeft. Zou je ook nog eens naar de suggesties in mijn eerdere post kunnen kijken? En bevestigen dat poort 24 ook op de Synology uitkomt?

Thralas in "Afgesloten door Ziggo vanwege verdachte activiteiten"

Wellicht pikt iemand hier het er zo uit op basis van een vreemd proces in een proceslijst.

vrijdag 20 november 2020 18:06

Acties:
  • 0 Henk 'm!
  • jsiegmund
  • Registratie: Januari 2002
  • Laatst online: 13:36

jsiegmund

Deadly Knapsack schreef op vrijdag 20 november 2020 @ 17:42:
[...]
Prima, maar het geeft mij nog steeds geen inzicht in HOE ik "1 voor 1 m'n apparaten kan testen, zonder ze op internet aan te sluiten". Mijn vraag blijft toch hetzelfde? Hoe kom ik erachter wat die verdachte verbindingen naar buiten legt? Ja, opnieuw laten aansluiten zorgt dat ik online ben, maar dan ben ik er niet. Eén voor één dingen online zetten en wachten tot Ziggo me weer afsluit kan maanden duren. Ik heb bijna een jaar nergens last van gehad.
Wat is precies je alternatief, want als je het probleem niet oplost ben je na maanden nog altijd niet aangesloten. Je moet het een beetje vergelijken met overlast van muizen. Je kunt wel in je schuurtje op zoek gaan naar alle muizen, maar beter ga je eerst kijken hoe ze binnen zijn gekomen om ervoor te zorgen dat er geen nieuwe meer bijkomen en ga je daarna ervoor zorgen dat je de bestaande muizen opruimt.

Dat eerste doe je door al je apparaten van je netwerk af te halen en dat tweede doe je door te loggen welk apparaat wat doet. Als je die mogelijkheid niet hebt kun je niet heel veel anders dan trial & error. En aangezien enkelen hier al hebben aangegeven dat het probleem redelijk waarschijnlijk bij je Synology zit zou ik die als laatste weer online brengen. Overigens zou je uitgaande verbinding op de synology misschien nog wel in kaart kunnen brengen via de shell, maar hoe dat precies werkt weet ik zelf ook niet. Eerder nog zou ik er voor kiezen om die NAS even te factory resetten en opnieuw in te richten met nieuwe usernames en wachtwoorden. Dat is een klusje, maar dan weet je wel redelijk zeker dat ie op dat moment niet meer compromised is. En mogelijk minder werk dan zoeken naar een speld in een hooiberg. Althans, als je van tevoren ervoor hebt gezorgd dat hij niet meer zo makkelijk benaderbaar is.

vrijdag 20 november 2020 18:16

Acties:
  • 0 Henk 'm!
  • kosz
  • Registratie: Juni 2001
  • Laatst online: 10-09 18:01

kosz

Ik zou gewoon al mn traffic loggen, in de uplink naar je Ziggo modem een simpele switch hangen zoals een https://www.netgear.nl/support/product/gs105ev2.aspx en daar een mirrorport op maken.
Wireshark op een laptop oid en al het verkeer capturen, dan kan je zo uitzoeken waar het vandaan komt.
Desnoods device voor device aansluiten en capture filters aanmaken voor bv outbound port 22.

vrijdag 20 november 2020 18:29

Acties:
  • 0 Henk 'm!
  • Deadly Knapsack
  • Registratie: Februari 2014
  • Laatst online: 27-01 16:20

Deadly Knapsack

Topicstarter
Ik heb nu standaard al het port 22 verkeer geblockt in mijn router. Om mee te beginnen. Inmiddels is ook niets meer bereikbaar van buitenaf, zonder VPN.
kosz schreef op vrijdag 20 november 2020 @ 18:16:
Ik zou gewoon al mn traffic loggen, in de uplink naar je Ziggo modem een simpele switch hangen zoals een https://www.netgear.nl/support/product/gs105ev2.aspx en daar een mirrorport op maken.
Wireshark op een laptop oid en al het verkeer capturen, dan kan je zo uitzoeken waar het vandaan komt.
Desnoods device voor device aansluiten en capture filters aanmaken voor bv outbound port 22.
Ik heb zo'n switch, bedenk ik me net. Wat bedoel je met mirrorport?

vrijdag 20 november 2020 18:50

Acties:
  • 0 Henk 'm!
  • tagican
  • Registratie: December 2012
  • Laatst online: 10-09 20:57

tagican

Deadly Knapsack schreef op vrijdag 20 november 2020 @ 17:58:
[...]


Ok interessant. Hij draait nu. Maar ik heb geen internet nu. Kan ik deze gewoon laten draaien op de achtergrond en dan, als ik afgesloten wordt, de logs erbij pakken?
Nee, dit is echt een tooltje dat enkel in je sessie draait. Wat je wel kunt doen is het volgende commando gebruiken:

code:
1

tcpdump "dst port 22" >> hallo.log


Dan wordt alles naar een bestand in dezelfde directory met de naam hallo.log geschreven. Je ziet alleen niets op je scherm dan.

Dit commando laat alleen verkeer zien dat over de NAS gaat én (hopelijk) het juiste interface. Ik weet niet exact of het nu het juiste interface pakt. Kun je eens laten zien wat de output is zodra je het start?

Het maakt nu niet uit of je wél of geen internet hebt. Wat Ziggo gedaan heeft is óf al het verkeer vanaf jouw IP geblokkeerd óf alles er naar toe (ik denk het laatste). Maar áls het apparaat in je netwerk nu scant, dan zie je het wel - mits je de juiste interface/poort monitort. Het kan ook zijn dat het scriptje dat scant slim genoeg is om te kijken of er een internet verbinding is, en als dat niet het geval is, dat het dan stopt - maar daar ga ik voor nu even niet van uit.

vrijdag 20 november 2020 18:56

Acties:
  • 0 Henk 'm!
  • plizz
  • Registratie: Juni 2009
  • Laatst online: 16:22

plizz

Deadly Knapsack schreef op vrijdag 20 november 2020 @ 18:29:
Ik heb nu standaard al het port 22 verkeer geblockt in mijn router. Om mee te beginnen. Inmiddels is ook niets meer bereikbaar van buitenaf, zonder VPN.


[...]


Ik heb zo'n switch, bedenk ik me net. Wat bedoel je met mirrorport?
Hij bedoelt sniffer port (netwerk poort van switch dat alle verkeer door stuurt naar laptop met wireshark.).

vrijdag 20 november 2020 19:03

Acties:
  • +1 Henk 'm!
  • RobbieT
  • Registratie: Augustus 2007
  • Laatst online: 10-09 21:02

RobbieT

Deadly Knapsack schreef op vrijdag 20 november 2020 @ 18:02:
[...]


Ik waardeer echt je hulp, begrijp me niet verkeerd, maar ik heb een handjevol docker containers draaien, een compleet ingericht smart home met tientalle apparaten. Ik kan simpelweg niet ALLES zomaar opnieuw installeren. Daarbij vind ik het een soort bazooka methode. Je killt alles om hopelijk in the process iets te stoppen. Soort van hagel schieten. Ik vertik het. Ik wil gewoon weten wat er gebeurt, niet opnieuw beginnen.
Ik snap niet dat je het niet rigoureus wilt aanpakken.
Je hebt zelf aangegeven dat je voor je werk afhankelijk bent van je internetverbinding.

Met een hoop van dit soort zooi is het net als met muizen, blijft er ook maar iets achter, dan heb je in no-time de poppen weer aan het dansen.

Waarschijnlijk doe je er daarom beter aan om je verlies te nemen en je dockers opnieuw in te richten om alles uit te sluiten. (Niet oneerbiedig, maar die dockers zijn in hoofdzaak ter vermaak, niet je werk)

Hoe ben je zeker dat je niet iets mist met schoonmaken waardoor je binnen de kortste keren weer aan de beurt bent?

Is misschien grof geschut, maar Ziggo zal ook grover geschut gaan inzetten als het in korte tijd weer gebeurd.

[ Voor 3% gewijzigd door RobbieT op 20-11-2020 19:04 ]

vrijdag 20 november 2020 19:06

Acties:
  • 0 Henk 'm!
  • Deadly Knapsack
  • Registratie: Februari 2014
  • Laatst online: 27-01 16:20

Deadly Knapsack

Topicstarter
tagican schreef op vrijdag 20 november 2020 @ 18:50:
[...]

Nee, dit is echt een tooltje dat enkel in je sessie draait. Wat je wel kunt doen is het volgende commando gebruiken:

code:
1

tcpdump "dst port 22" >> hallo.log


Dan wordt alles naar een bestand in dezelfde directory met de naam hallo.log geschreven. Je ziet alleen niets op je scherm dan.

Dit commando laat alleen verkeer zien dat over de NAS gaat én (hopelijk) het juiste interface. Ik weet niet exact of het nu het juiste interface pakt. Kun je eens laten zien wat de output is zodra je het start?
Ik heb het even getest met port 80, vervolgens NAS frontend aanroepen en dan krijg ik inderdaad een regel in hallo.log te zien. Maar dan moet ik terminal window open laten staan vermoed ik. Hoe kan ik het proces in de achtergrond aan zetten en op port 22 laten scannen?

vrijdag 20 november 2020 19:10

Acties:
  • 0 Henk 'm!
  • BluRay
  • Registratie: Maart 2008
  • Nu online

BluRay

Deadly Knapsack schreef op vrijdag 20 november 2020 @ 19:06:
[...]


Ik heb het even getest met port 80, vervolgens NAS frontend aanroepen en dan krijg ik inderdaad een regel in hallo.log te zien. Maar dan moet ik terminal window open laten staan vermoed ik. Hoe kan ik het proces in de achtergrond aan zetten en op port 22 laten scannen?
screen <tcpdump command>

daarna CTRL + A + D om uit screen te gaan.

Om je 'screen' weer te openen: screen -r

[ Voor 4% gewijzigd door BluRay op 20-11-2020 19:10 ]

vrijdag 20 november 2020 19:14

Acties:
  • 0 Henk 'm!
  • Deadly Knapsack
  • Registratie: Februari 2014
  • Laatst online: 27-01 16:20

Deadly Knapsack

Topicstarter
Hij loopt toch door, dus nu maar afwachten. Ik heb alle containers weer gestart. Ben toch offline. Ik ga nu ook even die switch optie bekijken.

vrijdag 20 november 2020 19:14

Acties:
  • +1 Henk 'm!
  • kosz
  • Registratie: Juni 2001
  • Laatst online: 10-09 18:01

kosz

Deadly Knapsack schreef op vrijdag 20 november 2020 @ 18:29:
Ik heb zo'n switch, bedenk ik me net. Wat bedoel je met mirrorport?
Die switch moet je zien als een tap in een ethernet verbinding, je dupliceert al het verkeer wat passert en dump je op een andere interface. Hier hang je je laptop aan en laat je wireshark al je verkeer capturen.
Ik heb zo'n ding standaard in mn auto liggen en komt nog wel eens van pas met troubleshooten.
Afbeeldingslocatie: https://tweakers.net/i/d-Xc2lVMfd4JYd41aVxP-qaKXuk=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/o4dB6dMVSmdWpPvgiIC2Ygz8.jpg?f=user_large
Als je alleen je Synology wilt capturen dan sluit je deze aan op poort 1, en poort 2 naar je netwerk en op poort 5 je laptop met wireshark. Al het verkeeer wat via poort 1 of 2 komt wordt gekopeerd naar poort 5.
Gebruik een capture filter om niet je eigen zooi van je laptop in je trace te krijgen door je mac-adres van je laptop uit te sluiten :
Afbeeldingslocatie: https://tweakers.net/i/DRM8A_JA4zvjSVvd3xajzYXlcUo=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/owbfGjveU1B8s4lX6pl5Ju11.jpg?f=user_large
Uiteraard met je eigen mac-address van je laptop :+

vrijdag 20 november 2020 19:14

Acties:
  • 0 Henk 'm!
  • laurens0619
  • Registratie: Mei 2002
  • Nu online

laurens0619

Kun je pakketjes installeren?
Zo ja installeer dan iptraf, super makkelijk tooltje om deze inzichten te krijgen

Of iftop

https://hub.docker.com/r/janten/iftop/

Of een laptop op de mirror port icm monitor mode en wireshark statistics/iptraf

[ Voor 12% gewijzigd door laurens0619 op 20-11-2020 19:16 ]

CISSP! Drop your encryption keys!

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq