Een mogelijkheid is dat er iemand een abuse melding heeft gedaan.

Da's vrij gemakkelijk. Je provider kan zien dat jouw PC probeert verbinding te maken met een command & control server van de malware maker, of andere gerelateerde activiteit. Ik werk bij een provider en zie dagelijks in onze logfiles verkeer van besmette systemen van klanten.

Indien je provider gebruik maakt van bijvoorbeeld intrusion detection, dan wordt er automatisch een melding gegenereert wanneer jouw systeem probeert om een command & control server te bereiken, of indien er andere informatie in je traffic zit die overeenkomstig is met de kenmerken van bekende malware.

Verder zijn er systemen om op basis van automatische detectie je PC in quarantaine te zetten, zowel om de gebruiker zelf te beschermen, als ook anderen wanneer de malware zich verder probeert te verspreiden.

Zo'n quarantaine kan even ongemakkelijk zijn, maar voorkomt bijvoorbeeld wel dat criminelen je bankgegevens of andere gevoelige informatie in handen kunnen krijgen t.g.v. aanwezige malware, en is wat dat betreft m.i. nuttig.

Of omdat de PC verbinding zoekt/maakt met bekende malware-servers ?
Dat men ziet dat zijn PC aktief aan het scannen is naar andere slachtoffers ?

Bij ons op het werkt heb ik een keer gezien dat op een server een script stond dat malware probeerde te starten.
Dat script zat in een applicatie dat vanaf een client (remote share, geen terminal server oid) gestart moest worden.
Ik kwam er toen achter omdat een minuut na het starten van die applicatie opeens honderden dns requests naar random gegenereerde adressen (leek het op) gedaan werden.

Ik ken weinig programma's die zoveel dns requests doen in zo'n korte tijd (anders dat bulkmailing).

Nou zo'n botnet wordt meestal voor iets gebruikt, bijvoorbeeld spammen of portscannen.
Daar kan best iemand een melding van doen.

Het kan zijn dat je oom een virus te pakken heeft, dit virus kan misbruik maken van zijn internet account, bijvoorbeeld een aanval op websites, en dat de slachtoffers een mail sturen naar de provider, met het IP van je oom.

Als ik jou was zal ik een virus scanner op de computer van je oom zetten.
Zoals:

AVG (gratis versie)
Avira (heeft ook gratis versie)

Succes!

Spam? DoS attack?

Xs4all heeft op 20 augustus mijn internetverbinding"afgesloten" omdat een PC bij mij thuis besmet zou zijn met een Zeus bot.

Effectief had Xs4all mijn internetconnectiviteit drastisch ingeperkt (ik kon nog wel surfen via wwwproxy en m'n webmail benaderen). Xs4all heeft ons ook gebeld en een mailtje gestuurd met algemene "u bent besmet" blabla, en effectief de volgende informatie:
(waarbij x.x.x.x mijn publieke IP adres is).

Sja, wat gebeurde er bij mij in huis 4 dagen daarvoor (donderdag 16 augustus) om 17:47 lokale tijd? Er wordt niet eens verteld met welke server er verbinding zou zijn gemaakt!

Gelukkig houd ik altijd logs bij van malware onderzoekjes die ik doe, en daar ben ik even ingedoken. En inderdaad, ik was zelf de "dader"! Omstreeks dat moment had ik onderzoek gedaan naar een, naar verluidt, gecompromitteerde webserver. Daarbij heb ik zowel DNS als http verbindingen naar die server gemaakt, maar geen malware (meer) aangetroffen en ben leukere dingen gaan doen.

Het moet daarbij om een voormalige ZeuS "Command and Control" server zijn gegaan!

PC's die met een Zeus bot besmet zijn, maken regelmatig verbinding met dat soort servers om opdrachten op te halen en eventuele malware updates te downloaden. Deze betreffende server was echter ondertussen "ontmaskerd" en (met toestemming van de hosting provider naar ik aanneem) overgenomen door de bekende ZeuS bestrijder https://zeustracker.abuse.ch/. Zij hebben deze server opgezet als "sinkhole" (ik ga hostnames en IP adresgegevens van die server hier niet noemen omdat dit deze actie misschien in gevaar brengt).

Dat wil zeggen dat elke PC die daar verbinding mee maakt, als besmet wordt beschouwd! En dit wordt vervolgens aan de ISP van de gebruiker gerapporteerd (xs4all in mijn geval dus). Goede actie natuurlijk, alleen wel jammer dat het dan vervolgens 4 dagen moet duren voordat je word afgesloten...

Gelukkig kon ik aan de hand van mijn logging, screenshots en door te vertellen dat ik als "Bitwiper" op security.nl post, de Xs4all medewerker er snel van overtuigen dat het om vals alarm ging waarna ik weer werd aangesloten.

Ook de PC van jouw oom kan verbinding hebben gemaakt met zo'n "tripwire" of "sinkhole" server, waarschijnlijk zonder dat hijzelf hier iets van wist. De ISP kan ook monitoren op verbindingen met verdachte IP-adressen of alarm geven op DNS requests voor gecompromitteerde botnet controllers.

Het kan ook best dat er spam vanaf de PC van jouw oom is verzonden naar zogenaamde "spamtraps" en/of alerte gebruikers die bij de betreffende ISP klagen over spam vanaf een PC. Ook indien een PC deelneemt aan een DDoS (Distributed Denial of Service) attack is er ook een kans dat er over aanvallende PC's klachten binnenkomen bij de betreffende ISP's.

Ook kan Ziggo zelf uitgaande e-mail op spam en/of malware bijlagen checken. Meestal moet er sprake zijn van meerdere meldingen in korte tijd voordat een ISP medewerker een alarmmelding ontvangt, en actie onderneemt (het is niet gebruikelijk dat een thuisgebruiker in een paar uur tijd duizenden e-mails verstuurt). Ten slotte zou de ISP middels DPI (Deep Packet Inspection) kunnen vaststellen dat de PC van jouw oom "rare dingen" doet, maar dat soort detectiemethodes zijn nogal controversieel.

Tenzij jouw oom net zo'n vreemde hobby heeft als ik ;) zou ik er maar vanuit gaan dat zijn PC gecompromitteerd is. Zie mijn reactie van 12-08-2012, 22:50 in http://www.security.nl/artikel/42635/1/FBI%3A_alleen_professional_kan_Citadel_verwijderen.html voor wat je dan het beste kunt doen.

Xs4all logt inderdaad preventief (vind ik een goede zaak). Heb zelf ook het probleem gehad door onderzoek te doen naar een C&C-server. Bijvoorbeeld met w3m. Een provider kan niet het onderscheid maken en blokkeert de internet-toegang. In de meeste gevallen is dat ook gewenst. Deze situatie gewoon uitleggen aan de provider en de verbinding wordt hersteld.

Advies om in het vervolg het onderzoek via Tor te doen (en natuurlijk geen scripts toestaan).

@Bitwiper 01.07

Mooi leesbare uitleg!
Bedankt daarvoor.

... gewoon; veel meer traffic naar, als van het Internet, that's all folks, groeten van Ziggo ;)

Da's niet erg aardig. Dan loopt de TOR endpoint het risico te worden afgesloten door zijn ISP! Bovendien, als de remote site nog gecompromitteerd is, maak je IP-adressen van TOR endpoints bekend bij kwaadwillenden. Hoewel TOR veel wordt misbruikt (o.a. door scheiterige downloaders en pedo's) is het doel van TOR vrijheid van meningsuiting voor mensen die gecensureerd worden. Ik ga dat zeker niet voor mijn gepruts misbruiken.

Ik neem het risico wel dat xs4all mij afsluit (en/of kwaadwillenden mijn IP-adres te weten komen). Ik doe al vele jaren dit soort dingen, en bovenstaand incident was de 1e keer dat ik ben afgesloten sinds ik klant ben van xs4all (ca. 10 jaar). En feitelijk was dat een interessante en leerzame ervaring!

Gebeurt dit (afsluiten) in de toekomst vaker, dan kan ik altijd een tweede internet aansluiting nemen (kabel o.i.d.) en die voor normale dingen gebruiken. Als mijn vaste Xs4all IP adres op blacklists belandt, dan heb ik dat helemaal aan mezelf te danken en zadel anderen niet op met de problemen die het gevolg zijn van mijn gepruts (nou ja, behalve mijn huisgenoten dan - die flink pissed waren ;)

@S-q: graag gedaan!

"Da's niet erg aardig. Dan loopt de TOR endpoint het risico te worden afgesloten door zijn ISP! Bovendien, als de remote site nog gecompromitteerd is, maak je IP-adressen van TOR endpoints bekend bij kwaadwillenden."

Hoe bedoel je, lijsten met de TOR exit nodes kan je zonder enkel probleem opvragen.

"Dat zal niet het geval zijn. Wie zou dan een melding moeten maken en vanwege wat?"

Gevolg van een malware besmetting kan zijn dat je systeem probeert anderen te infecteren, dat je spam verstuurt, dat je meedoet in denial of service attacks, dat je computer gebruikt wordt om andere systemen binnen te dringen, en ga zo maar door. Dergelijke meldingen zijn dagelijkse kost op abuse desks. Op basis waarvan stel jij dat dit niet het geval zou zijn ?

Ook niet een IPhone/Ipad/Draadloze netwerk wat niet goed beveiligd is/vriendje-vriendinnetje wat een mac bij zich had en gebruik maakte van je internet verbinding?

Dat wist ik niet, weer wat geleerd! Waar kun je die opvragen?

@Bitwiper tz 10.25

Ok; je bent 10 jaar abbo van de ISP en het voor het eerst in vele jaren dat je een afsluiting overkomt.
Huisgenoten erg boos op je;-))

Zou het kunnen zijn dat "men" een aantal jaren geleden nog niet goed wist hoe met dergelijke gebeurtenissen/hobby's en haar gevolgen om te gaan? -->Nu wel dus. Op gevoel af, kan het zijn dat je nu geconfronteerd wordt met een soort van evolutie/ontwikkeling?

Dan kan je in dat geval meer afsluitingen verwachten.
Nu heb je daar wel een soort van oplossing voor om je huisgenoten te plezieren, maar jij kunt dan steeds weer gaan bellen naar je ISP en uitleggen.

Een naive vraag; hoe doen veiligheidsbedrijven dat dan? Zijn die hun eigen ISP? Zou het helpen als je met je ISP omtrent je hobby een soort overeenkomst sluit?

Spammelding is normaal gesproken een geautomatiseerd proces. Het gaat hier eerder om een 'bankstealer' trojaan. Moderne varianten zijn vaak moeilijk te vinden, dus als je ISP je waarschuwt is dat op zichzelf al winst.

Meestal sluiten ze af als de computer verbinding maakt met de C&C-botnet van een banking-trojan (Zeus of zo). Veel gebruikers zullen dat op prijs stellen.

Het gebruik van Tor is inderdaad niet helemaal netjes. Niet doen dus.

Beter om een site te laten testen via urlquery.net.

Bedankt allemaal voor de reacties, ik snap het nu.

@Hugo, zoals ik in dit topic geschreven heb, belde mijn oom mij op dat hij een brief van Ziggo heeft gehad dat zijn pc waarschijnlijk besmet was, en als hij niet zou ingrijpen dat zijn internet zou worden geblokkeerd.
Toen starten ik dus dit topic, omdat ik niet wist hoe Ziggo aan de conclusie kwam dat hij een virus of iets dergelijks had.

Bedankt allemaal voor de reacties, ik snap het nu.

@Hugo, zoals ik in dit topic geschreven heb, belde mijn oom mij op dat hij een brief van Ziggo heeft gehad dat zijn pc waarschijnlijk besmet was, en als hij niet zou ingrijpen dat zijn internet zou worden geblokkeerd.
Toen starten ik dus dit topic, omdat ik niet wist hoe Ziggo aan de conclusie kwam dat hij een virus of iets dergelijks had.

P.S. Ziggo sluit je ook af als je meer dan 600 mails per dag verstuurd.

ISP's zoals Ziggo maken gebruik van verschillende abuse feeds van bep. sources..

Denk hierbij aan de dagelijkse reports van ShadowServer.org.
Zo zijn er ook nog andere partijen die sinkhole's hebben draaien en op basis daarvan abuse meldingen versturen.

Shadowserver.org heeft een aantal feeds (Grum bot besmettingen, DNS Changer, Zeus tracker sinkhole en nog een aantal), welke geclassificeerd zijn als betrouwbaar.

Hierbij wordt voor iedere hit op de sinkhole met een bep. patroon door Shadowserver.org de betreffende ISP en hun abuse desk gezocht.. En iedere netblock owner die zich heeft aangemeld voor de Shadowserver reports, krijgt dan direct informatie over wat de IP's in hun netwerk uitspoken ... Zonder dat ze zelf dingen als IDS systemen hoeven te installeren ...

De ISP in kwestie (zoals Ziggo) kan dan vervolgens kijken welke abonnee op datum/tijdstip X het IP had .. en die krijgt een email dat hij/zij zijn netwerk moet gaan opschonen.

Dat is een redelijk ge-accepteerde manier van werken van een abuse desk bij een ISP.

Geen idee, en dit zullen ze ook niet aan de grote klok hangen. Echter, reken maar dat professionele cybercrime onderzoekers, d.w.z. met een budget daarvoor (denk aan AV boeren maar ook politie) beschikken over IP-adressen die niet op "blacklists" van cybercriminelen staan (het zou kunnen dat cybercriminelen de termen whitelist en blacklist verwisselen ;)

Dat zal wellicht kunnen met een business account, maar dat heb ik niet (met mijn account kan het niet is mij verteld). Maar dat hoeft ook niet voor mij, ik vind het niet erg als ik sporadisch word afgesloten; ikzelf ben absoluut niet feilloos en heb ook huisgenoten die ergens in kunnen trappen. En, zoals ik in mijn vorige bijdrage aangaf, er is altijd een plan B denkbaar.

@Bitwiper;
Ah, dat had ik zelf ook kunnen bedenken, soort van "geheime"IP adressen, in iedergeval niet bekend bij criminelen.

(AV bedrijven, Politie, Inlichtingendiensten, ......ik snap het, zijn dus zelf ook ISP, maar dan alleen voor zich zelf.)

Bedankt.

De meeste ISP's zijn aangesloten bij het shadowserver project ( www.shadowserver.org ). Dit project monitort botnets en stuurt rapportages over verkeer voor die botnets naar ISP's waar dat verkeer vandaan komt. De ISP kan dan aan de hand van het adres de betreffende gebruiker waarschuwen of afsluiten.

"De kans dat daar een melding van komt is nagenoeg nul. En helemaal dat providers actie daarop ondernemen, dat zou echt te kansloos zijn. Als ze op elke spammail actie moeten ondernemen, dan zullen ze hun aantal medewerkers minstens moeten verdubbelen."

Heb jij ooit op een abuse desk gewerkt ? Ik wel, en de zaken die je beschrijft zijn mijn dagelijkse werk.

Heb je ook een naam van deze malware variant?

Ik heb meegemaakt dat mijn buurman niet meer kon internetten, wel over proxy van desbetreffende SP. hij kreeg een E-mail melding en brief dat zijn internet was geblokkeerd vanwege abuse van verdachte software er werd spam van af zijn IP adres gestuurd. Wilde hij wel weer kunnen internetten dan zou hij of contact opnemen met SP of zijn PC moeten scannen of herinstalleren, dat laatste heb ik gedaan omdat ik wel de PC heb opgeschoond maar het toch niet helemaal vertrouwde! helaas moest ik voordien en er nadien regelmatig langs komen omdat zijn PC besmet was met dergelijk virus of adware! heb zijn log bestanden nagekeken en zag dat hij regelmatig seks sites bezocht en dan ook nog eens child-porn sites! helaas heb ik geen verdere bewijs kunnen vinden hij had geen documenten of dergelijke op zijn pc, hij bezocht alleen bepaalde sites. Ik heb hem duidelijk gemaakt dat ik weet van zijn (zoek) acties en hem verteld dat ik hem van af dat moment niet meer verder wil en kan helpen dergelijke problemen op te lossen, ik had melding kunnen maken maar hij bezocht voor zo ver ik weet alleen deze sites tja wat kan ik dan nog doen, iedereen is vrij op de manier hoe hij zijn pc gebruikt toch? maar ik help hem niet meer, en hij woont nu ook niet meer op dit adres.

Dat is de enige goede oplossing.

Weet je zeker dat XS4All logt? Wettelijk moet een ISP namelijk alles wat ze loggen ook een jaar bewaren. Bedoel je niet monitored? Als XS4All alles waar jij mee verbindt logt is er dus een volledige historie van je Internetgebruik een jaar lang op hun servers te vinden. Dat lijkt me niet wat XS4All of haar klanten willen.

Ik vind het prima als mensen een opt-in kunnen krijgen voor zo'n beveliging, ik kan me zelfs nog voorstellen dat een opt-uit nuttiger is omdat het een boel gedonder voorkomt, maar het feit dat een ISP zich ongevraagd en verplicht met jouw verkeer bemoeit terwijl ze wettelijk alleen de verbinding mogen leveren vind ik fout. Ik ben zelf groot en sterk genoeg om m'n verbinding te beheren en die kans krijg ik niet meer. Een reli-filter mag niet van de wet, maar dit mag wel? Ik vind het twijfelachtig, misschien moeten we poort 25, 139, virussen en spam in een religie stoppen voordat er weer ongefilterd internet mogelijk is in dit land....

Waarschijnlijk zullen ze niet loggen, maar het verdachte ip-adres routen naar een eigen systeem (net als piratebay of ip-adres 194.71.107.80). De computers die met dat systeem verbinden, zijn dan verdacht.

"Weet je zeker dat XS4All logt? Wettelijk moet een ISP namelijk alles wat ze loggen ook een jaar bewaren. Bedoel je niet monitored? Als XS4All alles waar jij mee verbindt logt is er dus een volledige historie van je Internetgebruik een jaar lang op hun servers te vinden. Dat lijkt me niet wat XS4All of haar klanten willen."

Er is een verschil tussen alles loggen, en loggen van verkeer met bekende malware command & control servers via bijvoorbeeld intrusion detection of firewall/router access control lists. Die logs vallen verder niet onder de bewaarplicht.

Weet je wel zeker dat de brief/e-mail van de provider afkomstig is?