firewall vanwege veel xs4all abuse meldingen - Privacy en beveiliging

vrijdag 27 augustus 2004 19:05

Acties:

Verwijderd

Topicstarter

Hallo,

Ik weet niet of ik de enige ben maar wij zijn hier al vele malen afgesloten door xs4all omdat we voor overlast zorgen dmv een trojan/virus/worm...
De eerste maand viel hier nog mee te leven maar het is nu al ruim drie maanden aan de gang en tot op heden zijn we al 2 weken achter elkaar afgesloten.

Om deze reden heb ik een firewall gemaakt die zorgt dat er niet zoveel poorten naar buiten toe open staan. maar aangezien iptables niet mijn sterkste kant is was ik benieuwd of iemand een kijkje (durft) te leggen op de regels die ik heb gemaakt.

ik heb het volgende gemaakt :

code:

#enable packetforwarding door kernel
echo 1 > /proc/sys/net/ipv4/ip_forward

#Lokaal willen we gewoon het eigen ip kunnen resolven :)
#iptables -t nat -A PREROUTING -d 213.84.xxx.xxx -j DNAT --to 10.0.0.1

#flushen

iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -t filter -F

#wat mag dan wel!?!?

iptables -A FORWARD -p tcp -s 0/0 -d 0/0 --dport 80 -j ACCEPT        
iptables -A FORWARD -p udp -s 0/0 -d 0/0 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -d 0/0 --dport 21 -j ACCEPT        
iptables -A FORWARD -p udp -s 0/0 -d 0/0 --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -d 0/0 --dport 20 -j ACCEPT        
iptables -A FORWARD -p udp -s 0/0 -d 0/0 --dport 20 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -d 0/0 --dport 25 -j ACCEPT        
iptables -A FORWARD -p udp -s 0/0 -d 0/0 --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -d 0/0 --dport 110 -j ACCEPT
iptables -A FORWARD -p udp -s 0/0 -d 0/0 --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -d 0/0 --dport 443 -j ACCEPT        
iptables -A FORWARD -p udp -s 0/0 -d 0/0 --dport 443 -j ACCEPT
#msn messenger
iptables -A FORWARD -p tcp -s 0/0 -d 0/0 --dport 1863 -j ACCEPT        
iptables -A FORWARD -p udp -s 0/0 -d 0/0 --dport 1863 -j ACCEPT

#policies

iptables -P FORWARD DROP

Ik ben benieuwd of dit uberhaupt iets tegen de verspreiding van trojans/etc... doet. intern zal het niet veel uitmaken want ik heb alleen regels voor de forward(naar internet) gemaakt.

(misschien handig)
eth0 = lokaal
eth1 = verbonden met router
(/misschien handig)

Alle suggesties zijn welkom $_/-\o_$

(p.s search al gebruikt maar ik kwam niet echt gerichte problemen tegen mbt xs4all abuse-centre)

vrijdag 27 augustus 2004 19:36

Acties:

Verwijderd

Ik zit zelf ook bij Xs4all en ik ben nog nooit afgesloten. Ik zou eerst eens gaan uitzoeken hoe het komt dat je zo vaak besmet raakt.

Een firewall kan hierbij helpen maar het is geen totale beveiliging.

Ik gebruik zelf deze firewall. Deze is een stuk uitgebreider als die van jou maar op basis hiervan zou je wel een idee moeten krijgen.

vrijdag 27 augustus 2004 19:38

Acties:

Roamor

Waarom ga je hem eigenlijk zelf maken? Er zijn toch prima kant-en-klare oplossingen?

vrijdag 27 augustus 2004 19:38

Acties:

Verwijderd

de bais is natuurlijk het voorkomen van besmettingen. dweilen ok, maar eerst de kraan dicht.

nok de windows users eens een tijd van je connectie af. voed ze op.

vrijdag 27 augustus 2004 19:43

Acties:

Verwijderd

Topicstarter

het netwerk hier is nogal uitgebreid in totaal zo een 15 pcs (meerdere netwerken via wifi verbonden). De merendeel van de gebruikers heeft natuurlijk windows, omdat het zo erg irritant werd hebben we al deze pcs voorzien van mcaffee om de besmetting eigenlijk te voorkomen maar hierna werden we gewoon weer vrolijk afgesloten. De reden voor deze firewall is omdat we niets meer kunnen ontdekken met mcaffee/stinger/etc.... dus ik dacht als ik gewoon die ports blokkeer kunnen de virussen er niet zo snel uit. Of is dit te simpel gedacht?

alvast bedankt voor de reacties

vrijdag 27 augustus 2004 19:46

Acties:

arikkert

iptable syntax ken ik niet, maar het lijkt dat je niet logt.
wel zo handig vaak, en dan heb je nog pakketten als mrtg en snmpd om traffic visueel weer te geven. wifi ook beveiligd ?
je topic titel doet me vermoeden dat je beveiliging op zich eigenlijk niet zo belangrijk vindt

[ Voor 29% gewijzigd door arikkert op 27-08-2004 19:53 . Reden: wifi ]

vrijdag 27 augustus 2004 19:48

Acties:

nachtnet

stap1: verbreek alle netwerkverbindingen, alle utp kabels uit je switch en routers

stap2:scan alle pc's met anti trojanprogramma's. in de afsluit email van xs4all staat welke je moet gebruiken. ga dan eerst eens alle pc's af en zorg ervoor dat je de trojans kwijt raakt, (denk ook aan windows system restore)

stap3: zet dan met een gebrande cd de virusscanner van xs4all op alle systemen, en doe een update die je ook op cd gebrand hebt.

stap4: sluit dan de gescande pc's weer aan en ga pas weer het internet op als je ook de besmette pc hebt gevonden. (JE MOET NATUURLIJK WEL ALLE PC'S SCANNEN)

stap5: bel daarna met de xs4all helpdesk om weer aangesloten te worden en zorg er dan ook voor dat je eventueel via log bestanden kan laten zien wat je gevonden hebt.

edit: met stinger alleen zul je niet alle trojans kunnen vinden! Stinger is alleen voor recente VIRUSSEN, trojans zijn volgens McAfee GEEN virus en worden door stinger vaak niet herkend!

edit: ook je wifi accesspoint uitzetten
*********
mocht je de mail van xs4all niet hebben gelezen:

[If you need a translation, please contact abuse-relay@xs4all.nl]

XS4ALL Abuse heeft geconstateerd dat er vanaf uw systeem spam wordt
verstuurd. Dit veroorzaakt overlast en is een overtreding van de
Algemene Voorwaarden. XS4ALL heeft dan ook maatregelen genomen om dit te
voorkomen. Uw systeem is nu tijdelijk gefilterd tot u de nodige acties
heeft ondernomen om te voorkomen dat uw systeem spam verstuurt. De
filtering betekent dat uw systeem een beperkte toegang tot Internet
heeft, en dat het onbereikbaar is vanaf het Internet.

Vermoedelijk wordt de spam vanaf uw systeem verstuurd door derden door
middel van een zogenaamde 'Trojan horse'. Dit is software die
waarschijnlijk zonder uw medeweten geinstalleerd is op uw systeem met
de intentie dit systeem te misbruiken en spam te versturen.

U dient de volgende maatregelen te nemen:

- Het scannen van alle via ipadres verbonden systemen met een
recente, up-to-date virusscanner, met de meest recente updates van de
leverancier, en het verwijderen van enige gevonden ongerijmdheden.
- Het scannen van alle via ipadres verbonden systemen met de
trojan-scanner van SwatIt: http://www.swatit.org en TrojanHunter:
http://www.misec.net/trojanhunter/ en TDS-3:
http://tds.diamondcs.com.au .
Let u er bij het scannen op dat de meest recente data-files voor de
scanners worden gebruikt, zodat ook nieuwe trojans ontdekt worden.

Na het verwijderen van de trojans dient uw systeem herstart te worden,
en de scans opnieuw uitgevoerd; pas daarna zijn de trojans daadwerkelijk
verwijderd.

Wanneer u deze scans uitvoert en trojansoftware en/of virussen worden
aangetroffen door de scanners, gaarne daarvan een aantekening maken en
deze sturen in een e-mail aan abuse-relay@xs4all.nl.

Het is mogelijk dat de maatregelen die wij genomen hebben ervoor zorgen
dat u geen websites op de normale wijze kunt bereiken. In dat geval
dient u uw webbrowser zo te configureren dat gebruik gemaakt wordt van
de WWW-proxy van XS4ALL. Zie daarvoor onderaan deze mail. Het is ook
mogelijk dat servers die op uw systeem draaien, zoals een webserver of
mailserver, nu onbereikbaar zijn vanaf het Internet.

Wanneer u de benodigde maatregelen heeft getroffen en de betreffende
systemen zijn geschoond, gelieve een antwoord op deze e-mail sturen aan
abuse-relay@xs4all.nl via XS4ALL Secure Webmail:
https://webmail.xs4all.nl

Vermeld in deze e-mail de genomen maatregelen en de eventueel
ondervonden problemen alsmede de aantekeningen van de virussen en/of
trojansoftware die de scanners hebben gevonden.
Afhankelijk van wat er door u gemeld wordt over de genomen acties zal
XS4ALL het filter verwijderen. Telefonisch contact zal niet tot een
snellere verwijdering van het filter leiden dan een e-mail.

Instructies voor het instellen van de XS4ALL WWW-proxy in uw browser:
https://www.xs4all.nl/helpdesk/software/browsers/index.html

De relevante artikelen in de Algemene Voorwaarden met betrekking tot
deze waarschuwing zijn de artikelen 4.2, 4.3., 5.4. en 11.2.
https://www.xs4all.nl/voorwaarden/index.html

Informatie over spam kunt u vinden op:
https://www.xs4all.nl/helpdesk/mail/spam_faq.html

Informatie over veilig internetgebruik kunt u lezen op:
https://www.xs4all.nl/helpdesk/beveiliging/veiligheid.html
--
XS4ALL Abuse

[ Voor 4% gewijzigd door nachtnet op 27-08-2004 19:51 ]

vrijdag 27 augustus 2004 19:51

Acties:

Verwijderd

Alle kabels eruit (van netwerk) en dan op ALLE PC's een goeie firewall + virusscanner zetten. Bijvoorbeeld Sygate en Kaspersky. Dan updaten en je hoort wel al redelijk veilig te zitten.

vrijdag 27 augustus 2004 19:52

Acties:

Verwijderd

Topicstarter

dat is dus allemaal al gedaan vandaar dat er ook overal mcaffee op staat (verkregen van xs4all).

vrijdag 27 augustus 2004 19:53

Acties:

nachtnet

ook gescanned met trojanhunter en tds-3?

vrijdag 27 augustus 2004 19:55

Acties:

Verwijderd

En weet je ook precies wat alle mensen op die PC's doen?

vrijdag 27 augustus 2004 19:56

Acties:

Verwijderd

http://www.snt.utwente.nl...windowsgebruik_xp_nl.html

zorg maar es dat je clients dat allemaal goed doen, (eventueel met een andere virusscanner), en dan ben je al een heel eind op weg

(NA een veilige reinstall that is)

[ Voor 22% gewijzigd door Verwijderd op 27-08-2004 19:57 ]

vrijdag 27 augustus 2004 19:59

Acties:

Icey

Ff een hersenspinseltje... je laat poort 25 open staan, omdat er anders zo moeilijk gemailed kan worden, logisch.

Maar een geinfecteerde pc kan toch zijn spammailtjes versturen via poort 25? Dat lijkt me namelijk het meest logische op te doen (dat zou ik als programmeur doen zegmaar...).

vrijdag 27 augustus 2004 19:59

Acties:

Verwijderd

Topicstarter

@Kevin D.

Ja het is allemaal familie dus er gebeuren geen rare dingen. Maar de kennis over pc's en internet is vaak ver te zoeken dus het gebeurt al snel dat er een mailtje wordt geopend die besmet is.

Natuurlijk kan ik op iedere pc een firewall instaleren maar ik wil eerste even kijken of het op deze manier lukt. Als het goed is moet het al genoeg zijn om alleen een firewall te zetten op de pc vanwaaruit de verbinding gedeeld wordt toch?

Maar niemand heeft een idee of de iptable rules die ik nu heb gemaakt enige invloed hebben?

vrijdag 27 augustus 2004 20:02

Acties:

Verwijderd

Verwijderd schreef op 27 augustus 2004 @ 19:59:
@Kevin D.

Ja het is allemaal familie dus er gebeuren geen rare dingen. Maar de kennis over pc's en internet is vaak ver te zoeken dus het gebeurt al snel dat er een mailtje wordt geopend die besmet is.

Natuurlijk kan ik op iedere pc een firewall instaleren maar ik wil eerste even kijken of het op deze manier lukt. Als het goed is moet het al genoeg zijn om alleen een firewall te zetten op de pc vanwaaruit de verbinding gedeeld wordt toch?

Maar niemand heeft een idee of de iptable rules die ik nu heb gemaakt enige invloed hebben?

geen f*cking idea. dat wifi is ook al zo'n drama. als je bang bent dta er te snel mails geopend worden, dan zoek je alvast andere mail clients dan foutlook; en IE de deur uit, spijker die dozen dicht OF laat ze niet toe. als mijn oma geen verstand heeft van auto rijden, laat ik haar ook niet op de weg....

vrijdag 27 augustus 2004 20:06

Acties:

bogy

Show me what u got!

ik zie da je spreekt over spam en dat poort 25 openstaat.

misschien een handigheidje:
beveilig de mailserver eens zodat men er moet op inloggen voor men mails kan versturen.

dit zal wschl al een hele boel helpen (mss heb je je mailserver wel ingesteld als open relay?)

Volg BoGy's Visie op http://dcnet.be/praten. Op deze blog kan je eens wat anders lezen als op een ander...

vrijdag 27 augustus 2004 20:08

Acties:

Zwerver

Non-Windows Operating Systems>Beveiliging & Virussen

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

vrijdag 27 augustus 2004 21:18

Acties:

arikkert

Verwijderd schreef op 27 augustus 2004 @ 19:55:
En weet je ook precies wat alle mensen op die PC's doen?

daarom moet er ook gelogd worden op de firewall.

[ Voor 3% gewijzigd door arikkert op 27-08-2004 21:18 ]

vrijdag 27 augustus 2004 22:27

Acties:

Verwijderd

Verwijderd schreef op 27 augustus 2004 @ 19:05:
Hallo,
Ik weet niet of ik de enige ben maar wij zijn hier al vele malen afgesloten door xs4all omdat we voor overlast zorgen dmv een trojan/virus/worm...
etc., etc.,...

Ik heb precies hetzelfde meegemaakt, en heb de oplossing voor je.
(Denk ik,

)
Hoogstwaarschijnlijk ben je besmet met (bijv.) een Afcore/Coreflood variant, en zeker de recente versies daarvan worden (nog) niet gedetecteerd door McAfee. Ik heb het allemaal beschreven, hiero: [rml][ Malware] Nieuwe Afcore installeert zich als BHO *[/rml]
Je moet echt ff a/d slag met TDS-3 of KAV; ik heb evt. ook een nood-dat voor je van McAfee, die ik binnen een paar uur toegezonden kreeg, toen ik ze mijn trojaantje toezond.

(hoewel het de vraag is of jij dezelfde boosdoener hebt als ik).
Bij mij was 'ie voor remote access aant luisteren op TCP 59808. Kijk's of daar bij jou ook iets verdachts gebeurt. Heeft geen zin, want die poort is random. Rundll32 die aan een TCP-poort gaat liggen luisteren is wèl verdacht...
Ik hoor het wel.

Btw.: volgens mij kun je echt beter met een Tiny of ZoneAlarm ofzo gaan firewallen.

[ Voor 6% gewijzigd door Verwijderd op 29-08-2004 03:06 ]

zondag 29 augustus 2004 00:00

Acties:

Verwijderd

Aannemende dat xs4all gelijk heeft dat je spammed (check even je ip op www.openrbl.org), en dat het niet je linux is met een open realy MTA of iets dergelijks maar een windows machine, dan vraag ik mij het volgende af.

Deze windows machine is dus genat.
Ik neem aan dat spammer de getrojande machine rechtsreeks willen bereiken, om zo spam te versturen.
Ik ken in ieder geval geen autonome spamzombies

Als al mijn aannames tot zover nog kloppen, dan moet die machine dus rechtsreeks te bereiken zijn vanaf het internet (port forwards dus).

Aangezien de meest waarschijnlijke oorzaak meestal de echte oorzaak is, zou het wel eens kunnen zijn dat je linux machine wordt gebruikt om te spammen.
Veelal worden insecure web mailforms (die draaien op je webserver) gebruikt door spammers, of de mailserver die open relay is, of in het ergste geval een compromiteerde linuxbak.

Succes ermee.

zondag 29 augustus 2004 00:07

Acties:

Verwijderd

Deze windows machine is dus genat.
Ik neem aan dat spammer de getrojande machine rechtsreeks willen bereiken, om zo spam te versturen.
Ik ken in ieder geval geen autonome spamzombies

Reverse connection backdoors zijn redelijk populair - hoewel ze gelukkig nog niet mainstream zijn.

weg NAT 'protection'....

Dus al die tweakers en andere mensen die zich veilig wanen achter hun NAT mochten wel eens bedrogen uitkomen.

zondag 29 augustus 2004 00:22

Acties:

Verwijderd

Nat is helaas een bijproduct van zogenaamde ipv4 adres schaarste.
(dat ipv4 adressen schaars zijn is een beetje bullshit, kijk even hier http://www.cidr-report.org en dan op Ipv4 Reports klikken)
NAT kan gelukkig weer weg als ipv6 gemeengoed wordt (als Pasen en Pinksteren op 1 dag vallen?)

Wist niet dat er al backdoors/trojans zijn die aan reverse nat traversal doen.
Zoals ik al zij, is het waarschijnlijker dat de TS' linux machine de oorzaak van de spammeldingen is.
Als je ip gelist is, dan kunnen www.openrbl.org en www.dnsstuff.com (Spam database lookup) misschien uitkomst bieden. Als je gelist bent, dan willen de meeste rbls nog wel vermelden waarom (open relay, proxy, ect).

Success

[ Voor 3% gewijzigd door Verwijderd op 29-08-2004 00:23 ]

zondag 29 augustus 2004 15:27

Acties:

Verwijderd

Een hardware-firewall (waartoe ik een aparte Linux-box ook reken) kan alleen maar op poorten filteren, en heeft geen idee welke applicatie (Outlook, worm?) het verkeer stuurt. Daarom denk ik dat een software-firewall op je Windows-machines echt een betere oplossing is. En dan niet een regel aanmaken voor Outlook, maar gewoon iedere keer dat je mail verstuurt (en alleen dan) handmatig toestemming geven...

Een andere oplossing om in elk geval de mail dicht te gooien, is om op je NAT-box een mailserver te draaien die mail van het interne netwerk accepteert en doorstuurt. Zodat niemand rechtstreeks naar poort 25 extern hoeft (of mag). Maar die oplossing kan nog best ingewikkeld zijn...

En tot slot, zoals andere posters al hebben gezegd, moet je natuurlijk ook uitsluiten dat het niet de NAT-box zelf is die verantwoordelijk is voor de spam.

zondag 29 augustus 2004 15:50

Acties:

Verwijderd

Ik weet niet dichtgespijkerd wifi connecties zijn.
Maar zou het niet gewoon de buurman kunnen zijn, die via jouw wifi loopt te internetten? (En dus loopt te spammen/virussen loopt te versturen?)

maandag 30 augustus 2004 00:14

Acties:

nachtnet

@ TS: met welke programma's heb je je pc's gescanned? en wat heb je if any gevonden?

Je kan wel beginnen aan een firewall policy maar als je de spy/spam/malware waarom je wordt afgesloten niet kan vinden/vindt houdt het al snel op.

Je kan iig in XS4ALL service center email virus bescherming inschakellen. Alle mail die je dan via smtp.xs4all.nl stuurt wordt dan gechecked op virussen, evenals binnenkomende.

Ik heb na een afsluiting van xs4all alle pc's in ons huisnetwerk voorzien van zowel netlimiter, mcafee met de instellingen beveiligd met een wachtwoord(gebruikers kunnen daardoor mcafee niet meer afsluiten) en op een aantal pc's (van de mensen die bewezen hebben minder nauwkeurig om te gaan met vreemde programma;s: lees: mensen die spy/mal/spam/virusware hadden) een softwarematige firewall gezet, met de logbestanden in een netwerk map.

*** lees in een ander topic van ts het volgende:

....Hallo,

Ik heb hier thuis een heel aardig netwerk staan (ongeveer 8 ofzo) en deze heb ik wireless verbonden met nog 2 netwerken die beide 4 pc's tellen ongeveer 500 meter verder.. maar nu zat ik te denken of er iets bestaat bijvoorbeeld iets in php dat een bestand kan zoeken in het netwerk dus hij kijkt in alle gedeelde mappen en zet dat mooi neer op een web pagina... ik weet dat het al via de zoekfunctie kan van windows maar ik wil het via een webserver doen...

nu ben ik net als anderen erg benieuwd hoe de beveiliging op deze verbinding gedaan is? als ik hier 500meter om me heen zou kunnen kijken met wlan (heb ik niet... maar als...) dan zou ik zeker 40-50 andere wireless pc's kunnen tegenkomen.

[ Voor 33% gewijzigd door nachtnet op 30-08-2004 00:20 . Reden: extra info ]