Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Quarantaine net KPN
31-07-2019, 20:52 door Anoniem, 12 reacties
Beste, forum leden
Onlangs kwam ik in het Quarantaine net van KPN, er worden spam mails verstuurd vanaf mijn ip
Ik mijn computers gescand met Malwarebytes op verzoek van KPN, helaas heb ik niks kunnen vinden, enkeld wat pup bestanden maar die konden de oorzaak niet zijn
Nu is mij geadviseerd om logs bij te houden welke apparaten waarneer online zijn, zodat er bij een volgende spam mailing misschien dat zo kan worden achterhaald om welk apparaat het gaat
Ik zou toch graag weten waar het probleem nou vandaan is gekomen en/of hoe het is ontstaan, afwachten is niet mijn sterkste punt
Buiten dat ik wil voorkomen dat ik weer in het Quarantaine net van KPN terecht kom
Misschien kan iemand mij advies geven over
1. Hoe te zoeken naar de oorzaak
2. Netwerk monitoren zodat als er toch een spam mailing verstuurd word, ik direct kan reageren
Mvg Michel
Onlangs kwam ik in het Quarantaine net van KPN, er worden spam mails verstuurd vanaf mijn ip
Ik mijn computers gescand met Malwarebytes op verzoek van KPN, helaas heb ik niks kunnen vinden, enkeld wat pup bestanden maar die konden de oorzaak niet zijn
Nu is mij geadviseerd om logs bij te houden welke apparaten waarneer online zijn, zodat er bij een volgende spam mailing misschien dat zo kan worden achterhaald om welk apparaat het gaat
Ik zou toch graag weten waar het probleem nou vandaan is gekomen en/of hoe het is ontstaan, afwachten is niet mijn sterkste punt
Buiten dat ik wil voorkomen dat ik weer in het Quarantaine net van KPN terecht kom
Misschien kan iemand mij advies geven over
1. Hoe te zoeken naar de oorzaak
2. Netwerk monitoren zodat als er toch een spam mailing verstuurd word, ik direct kan reageren
Mvg Michel
Reacties (12)
Poort 25 uitgaand dicht zetten. Desnoods met een (tijdelijke) router geschakeld voor het gedrocht van KPN.
31-07-2019, 23:20 door
MathFox
Hallo Michel,
Hier op dit forum zitten mensen die betaald krijgen voor het soort onderzoek waar jij om vraagt. Een paar vragen: Heb je de wifi van je modem aanstaan? Zo ja, heb je een wachtwoord ingesteld? Welk beveiligingsprotocol is ingeschakeld? Aan wie heb je allemaal je wifi wachtwoord gegeven?
Mijn eerste advies is het sterkste beveiligingsprotocol voor je wifi (WPA3) in te stellen en een nieuw (sterk!) wifi wachtwoord te kiezen.
Hier op dit forum zitten mensen die betaald krijgen voor het soort onderzoek waar jij om vraagt. Een paar vragen: Heb je de wifi van je modem aanstaan? Zo ja, heb je een wachtwoord ingesteld? Welk beveiligingsprotocol is ingeschakeld? Aan wie heb je allemaal je wifi wachtwoord gegeven?
Mijn eerste advies is het sterkste beveiligingsprotocol voor je wifi (WPA3) in te stellen en een nieuw (sterk!) wifi wachtwoord te kiezen.
Door MathFox: Hallo Michel,
Hier op dit forum zitten mensen die betaald krijgen voor het soort onderzoek waar jij om vraagt. Een paar vragen: Heb je de wifi van je modem aanstaan? Zo ja, heb je een wachtwoord ingesteld? Welk beveiligingsprotocol is ingeschakeld? Aan wie heb je allemaal je wifi wachtwoord gegeven?
Mijn eerste advies is het sterkste beveiligingsprotocol voor je wifi (WPA3) in te stellen en een nieuw (sterk!) wifi wachtwoord te kiezen.
Hier op dit forum zitten mensen die betaald krijgen voor het soort onderzoek waar jij om vraagt. Een paar vragen: Heb je de wifi van je modem aanstaan? Zo ja, heb je een wachtwoord ingesteld? Welk beveiligingsprotocol is ingeschakeld? Aan wie heb je allemaal je wifi wachtwoord gegeven?
Mijn eerste advies is het sterkste beveiligingsprotocol voor je wifi (WPA3) in te stellen en een nieuw (sterk!) wifi wachtwoord te kiezen.
Hey MathFox, bedankt voor je reactie
Ok geen makkelijke klus dus, ja wifi staat aan
Wachtwoorden zijn gelijk gewijzigd en werden worden nooit gedeelt
WPA/WPA2, WPA3 zie ik er niet tussen staan
Hallo Michel,
Een beter advies is helemaal geen wifi te gebruiken en zeker als je internet bekijkt op een vaste plek,
gewoon internet via de lan,ook geen wifi delen met de buren etc, (WifiSpots)(Hotspots)
zet je kpn modem bijvoorbeeld in de bridge-modus als deze optie er bij jou is en gebruik je eigen router,en niet die van je isp/kpn alleen als doorgifte voor je internet naar jou eigen router (configuratie kpn router ) via de bridge-modus.
Je eigen router vervolgens updaten met de nieuwste firmware,en natuurlijk een eigen wachtwoord,
en check al jou beveiligings-configuraties opties zodat je voldoende beveiligt bent,
het is ook niet nodig dat wifi 24/7 aan staat,sommige routers hebben de opties met een ingebouwde timer
zodat je zelf kunt bepalen waneer je je wifi aan wilt hebben of juist uit wilt hebben op jou zelf gekozen tijdstippen.
Check of je alle updates heb gedownload en geinstalleerd mocht je windows gebruiken,
en blijf up to date,het zelfde geldt voor al je software op je pc.
Check je firewall,staat deze aan.
Heb je de nieuwste browser geinstalleerd firefox,google of een andere browser
Scan je pc op bots,wellicht ben je onderdeel van een botnet,er zijn genoeg tools op het internet
die jou pc/device op malware/bots/rootkits etc kan controleren,focus niet alleen op malwarebytes.
Scan ook met je antivirusprogramma.
Eventueel je pc/device herstellen naar een punt,nog voor je in Quarantaine net van KPN terecht kwam
met system-herstel opties,
Check je netwerk-adapter en eigenschappen van wifi en of lan
Internet-Protocol Tcp/IPv4
Voor jou ISP Automatisch een ip-adres laten toewijzen
Automatisch een dns-serveradres laten toewijzen
Succes!
Een beter advies is helemaal geen wifi te gebruiken en zeker als je internet bekijkt op een vaste plek,
gewoon internet via de lan,ook geen wifi delen met de buren etc, (WifiSpots)(Hotspots)
zet je kpn modem bijvoorbeeld in de bridge-modus als deze optie er bij jou is en gebruik je eigen router,en niet die van je isp/kpn alleen als doorgifte voor je internet naar jou eigen router (configuratie kpn router ) via de bridge-modus.
Je eigen router vervolgens updaten met de nieuwste firmware,en natuurlijk een eigen wachtwoord,
en check al jou beveiligings-configuraties opties zodat je voldoende beveiligt bent,
het is ook niet nodig dat wifi 24/7 aan staat,sommige routers hebben de opties met een ingebouwde timer
zodat je zelf kunt bepalen waneer je je wifi aan wilt hebben of juist uit wilt hebben op jou zelf gekozen tijdstippen.
Check of je alle updates heb gedownload en geinstalleerd mocht je windows gebruiken,
en blijf up to date,het zelfde geldt voor al je software op je pc.
Check je firewall,staat deze aan.
Heb je de nieuwste browser geinstalleerd firefox,google of een andere browser
Scan je pc op bots,wellicht ben je onderdeel van een botnet,er zijn genoeg tools op het internet
die jou pc/device op malware/bots/rootkits etc kan controleren,focus niet alleen op malwarebytes.
Scan ook met je antivirusprogramma.
Eventueel je pc/device herstellen naar een punt,nog voor je in Quarantaine net van KPN terecht kwam
met system-herstel opties,
Check je netwerk-adapter en eigenschappen van wifi en of lan
Internet-Protocol Tcp/IPv4
Voor jou ISP Automatisch een ip-adres laten toewijzen
Automatisch een dns-serveradres laten toewijzen
Succes!
Door MathFox:
Mijn eerste advies is het sterkste beveiligingsprotocol voor je wifi (WPA3) in te stellen en een nieuw (sterk!) wifi wachtwoord te kiezen.
wpa3 wordt eigenlijk nog nergens ondersteund. Mijn eerste advies is het sterkste beveiligingsprotocol voor je wifi (WPA3) in te stellen en een nieuw (sterk!) wifi wachtwoord te kiezen.
De kans dat het ook werkelijk via wifi spam runs krijgt is erg klein. Veel te veel moeite voor een spam run.
01-08-2019, 09:33 door
MathFox
Door Anoniem:
De kans dat het ook werkelijk via wifi spam runs krijgt is erg klein. Veel te veel moeite voor een spam run.
De kans dat het ook werkelijk via wifi spam runs krijgt is erg klein. Veel te veel moeite voor een spam run.
Ik dacht aan een besmette telefoon of laptop van een gastgebruiker... Vooral omdat de topic-starter op zijn eigen computers geen malware aangetroffen heeft.
Ik gok dat UPNP in je router aanstaat en dat 1 van je webcams of andere IOT devices getroffen is door 1 van de vele botnet exploits die ze hebben.
Met UPNP staan ze gewoon netjes open naar en voor heel het internet en staan nu de opdrachten voor het botnet te doen zoals het versturen van SPAM en het hacken van andere devices die ze op het internet kunnen vinden.
Je kan natuurlijk ook gewoon zelf een port forward hebben aangemaakt voor zo'n device. Heb je bijvoorbeeld iets beschikbaar gemaakt binnen je huis vanaf het internet. Webcam, Ali express ding, Cameraserver , etc
Met UPNP staan ze gewoon netjes open naar en voor heel het internet en staan nu de opdrachten voor het botnet te doen zoals het versturen van SPAM en het hacken van andere devices die ze op het internet kunnen vinden.
Je kan natuurlijk ook gewoon zelf een port forward hebben aangemaakt voor zo'n device. Heb je bijvoorbeeld iets beschikbaar gemaakt binnen je huis vanaf het internet. Webcam, Ali express ding, Cameraserver , etc
Een of meerdere devices in je netwerken versturen dus spam. Als Malwarebytes niks vindt, probeer dan een andere optie om je pc/laptop op te schonen: maak een usb opstartstick met bijv. Kaspersky offline scanner. Mijn ervaring is dat deze wel wat vind (en Malwarebytes is wel ok, maar niet bepaald een testwinnaar). Lukt dit allemaal niet, breng je computer dan naar een professioneel bedrijf om deze op te schonen of beter nog een herinstallatie van Windows. Na afloop installeer je een betere virusscanner, bijvoorbeeld de scanner die je gratis van KPN krijgt.
Andere tips:
https://www.f-secure.com/nl_NL/web/home_nl/online-scanner
https://www.kaspersky.nl/downloads/thank-you/free-virus-removal-tool
Succes!
Andere tips:
https://www.f-secure.com/nl_NL/web/home_nl/online-scanner
https://www.kaspersky.nl/downloads/thank-you/free-virus-removal-tool
Succes!
kijk even met onderstaand tooltje op je Windows machine of... en welke applicatie/proces remote poort 25, 2525, 465 of 587 gebruikt.
https://www.nirsoft.net/utils/cports.html
Mogelijk is een ander (upnp) apparaat in je netwerk verantwoordelijk.
Dat kun je met bovenstaande tool dan weer niet achterhalen.
Vraag daarom een handige buurman/neefje om sowieso UPNP uit te zetten in je router. Wellicht kan KPN je daar ook mee helpen, wanneer het een router/modem betreft die door KPN is geleverd.
Werken bepaalde apparaten na het uitzetten van UPNP niet meer, dan zou ik adviseren om vooral die apparaten
los te koppelen en een tijdje niet te gebruiken.
Heb je na die actie geen issues meer, dan weet je dat het 1 van je UPNP ('smart') apparaten betreft
die mogelijk onderdeel van een spam botnet is geworden.
Succes!
https://www.nirsoft.net/utils/cports.html
Mogelijk is een ander (upnp) apparaat in je netwerk verantwoordelijk.
Dat kun je met bovenstaande tool dan weer niet achterhalen.
Vraag daarom een handige buurman/neefje om sowieso UPNP uit te zetten in je router. Wellicht kan KPN je daar ook mee helpen, wanneer het een router/modem betreft die door KPN is geleverd.
Werken bepaalde apparaten na het uitzetten van UPNP niet meer, dan zou ik adviseren om vooral die apparaten
los te koppelen en een tijdje niet te gebruiken.
Heb je na die actie geen issues meer, dan weet je dat het 1 van je UPNP ('smart') apparaten betreft
die mogelijk onderdeel van een spam botnet is geworden.
Succes!
Het uitzetten van UPNP is niet moeilijk op een H220N en wordt altijd aangeraden.
Zie hier hoe dat moet: https://i.imgur.com/TNDKoXX.png
Zie hier hoe dat moet: https://i.imgur.com/TNDKoXX.png
@ TS
Wat mij veel meer benieuwd: heeft kpn bewijs geleverd (log bestanden dat vanuit jou IP over port 25 spammend is) of alleen een mail van: Uw computer spammend?
Ik heb dit namelijk al eens mee gemaakt met XS4ALL, in 1 van onze 26 panden. In dit pand stonden 6 computer. 5 (internet café) computers die beveiligd waren met Faronics Deep Freeze (starten vanaf een beveiligde Image), en 1 medewerker pc. De ene medewerker pc gecontroleerd en uit voorzorg toch maar geformatteerd. Volgens XS4SOME bleven we spammen. Er een eBox firewall / logger tussen gezet, maar niks kunnen vinden. Na een heleboel hen en weer gemail, kregen we een log bestand. Wat bleek: Was niet eens ons IP nummer. Na dat terug gemaild te hebben was binnen 1 uur de blokkade weg, maar nooit 1 excuses gehad te hebben.
Gelukkig lopen nu bijna alle internet verbindingen via Fiber & Ziggo zakelijk , zodat wij van XS4NOT4US verlost zijn.
mvg HaSo
Wat mij veel meer benieuwd: heeft kpn bewijs geleverd (log bestanden dat vanuit jou IP over port 25 spammend is) of alleen een mail van: Uw computer spammend?
Ik heb dit namelijk al eens mee gemaakt met XS4ALL, in 1 van onze 26 panden. In dit pand stonden 6 computer. 5 (internet café) computers die beveiligd waren met Faronics Deep Freeze (starten vanaf een beveiligde Image), en 1 medewerker pc. De ene medewerker pc gecontroleerd en uit voorzorg toch maar geformatteerd. Volgens XS4SOME bleven we spammen. Er een eBox firewall / logger tussen gezet, maar niks kunnen vinden. Na een heleboel hen en weer gemail, kregen we een log bestand. Wat bleek: Was niet eens ons IP nummer. Na dat terug gemaild te hebben was binnen 1 uur de blokkade weg, maar nooit 1 excuses gehad te hebben.
Gelukkig lopen nu bijna alle internet verbindingen via Fiber & Ziggo zakelijk , zodat wij van XS4NOT4US verlost zijn.
mvg HaSo
Door Anoniem: @ TS
Wat mij veel meer benieuwd: heeft kpn bewijs geleverd (log bestanden dat vanuit jou IP over port 25 spammend is) of alleen een mail van: Uw computer spammend?
Ik heb dit namelijk al eens mee gemaakt met XS4ALL, in 1 van onze 26 panden. In dit pand stonden 6 computer. 5 (internet café) computers die beveiligd waren met Faronics Deep Freeze (starten vanaf een beveiligde Image), en 1 medewerker pc. De ene medewerker pc gecontroleerd en uit voorzorg toch maar geformatteerd. Volgens XS4SOME bleven we spammen. Er een eBox firewall / logger tussen gezet, maar niks kunnen vinden. Na een heleboel hen en weer gemail, kregen we een log bestand. Wat bleek: Was niet eens ons IP nummer. Na dat terug gemaild te hebben was binnen 1 uur de blokkade weg, maar nooit 1 excuses gehad te hebben.
Gelukkig lopen nu bijna alle internet verbindingen via Fiber & Ziggo zakelijk , zodat wij van XS4NOT4US verlost zijn.
mvg HaSo
Mooi dat jij een uitzondering te pakken hebt. Maar 99% klopt de informatie gewoon, ofwel dat er een besmette PC op je netwerk aanwezig is. Wat mij veel meer benieuwd: heeft kpn bewijs geleverd (log bestanden dat vanuit jou IP over port 25 spammend is) of alleen een mail van: Uw computer spammend?
Ik heb dit namelijk al eens mee gemaakt met XS4ALL, in 1 van onze 26 panden. In dit pand stonden 6 computer. 5 (internet café) computers die beveiligd waren met Faronics Deep Freeze (starten vanaf een beveiligde Image), en 1 medewerker pc. De ene medewerker pc gecontroleerd en uit voorzorg toch maar geformatteerd. Volgens XS4SOME bleven we spammen. Er een eBox firewall / logger tussen gezet, maar niks kunnen vinden. Na een heleboel hen en weer gemail, kregen we een log bestand. Wat bleek: Was niet eens ons IP nummer. Na dat terug gemaild te hebben was binnen 1 uur de blokkade weg, maar nooit 1 excuses gehad te hebben.
Gelukkig lopen nu bijna alle internet verbindingen via Fiber & Ziggo zakelijk , zodat wij van XS4NOT4US verlost zijn.
mvg HaSo
Daar kun je het beste van uitgaan, en niet de theoretische mogelijkheid bla bla bla uitzonderingen die allemaal mogelijk zijn.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
