1
Vraag
2
Reacties
3
Oplossing
Random

Level 16
  • 2168Posts
  • 102Oplossingen
  • 1114Likes

Port scan van ziggo klant

Ik zie sinds paar dagen port scans van een Ziggo klant binnen komen. Dat lijkt me toch niet de bedoeling kan/moet je hier iets mee? Kan je dat melden? Moet je dat melden?

Vooral de poorten
23 (telnet)
8291 (Winbox)
7547 (TR-069)

Ik wil hier niet meteen het bron IP melden want evengoed is het iemand waarvan een pc besmet is en er dus zelf niets aan kan doen.
Oplossing
130 Reacties 130
Meldingen
Aan Uit
Sparco1955

Level 16
  • 1781Posts
  • 171Oplossingen
  • 455Likes
gebruikers-naam,

Op dat IP-adres draait een webserver, heb hem hier ook al een paar keer in het log gezien. Sinds ik mijn modem in bridge modus heb met een ander IP-adres heb ik hem niet meer gezien.
gebruikers-naam

Level 1
  • 574Posts
  • 15Oplossingen
  • 55Likes
Sparco©1963 wrote:
gebruikers-naam,

Op dat IP-adres draait een webserver, heb hem hier ook al een paar keer in het log gezien. Sinds ik mijn modem in bridge modus heb met een ander IP-adres heb ik hem niet meer gezien.


Ja onder andere een of ander javascript op die server, maar ook veel andere zaken!
gebruikers-naam

Level 1
  • 574Posts
  • 15Oplossingen
  • 55Likes
gebruikers-naam

Level 1
  • 574Posts
  • 15Oplossingen
  • 55Likes
Sparco1955

Level 16
  • 1781Posts
  • 171Oplossingen
  • 455Likes
gebruikers-naam,

Wordt dus hoog tijd dat Ziggo hier iets aan gaat doen. Dus hierbij nogmaals een oproep voor Serkan Ziggo
Ronald Z
Oud Community Moderator
Oud Community Moderator
  • 5201Posts
  • 278Oplossingen
  • 358Likes
Hallo Gebruikers-naam,

Serkan is heel druk met het besloten deel van de Community, ik neem hem even over.
Maar ik snap ook niet waarom Abuse niet heeft gereageerd...

Heb je de eerste mail nog die je naar Abuse hebt gestuurd? Zou je die onder attentie van Ronald naar community@vodafoneziggo.com kunnen sturen?
Dan ga ik achter Abuse aan.

Gr,
Ronald Z
Oud Community Moderator
Oud Community Moderator
  • 5201Posts
  • 278Oplossingen
  • 358Likes
Bedankt voor de mail.

Ik heb antwoord antwoord terug van Abuse, ze hebben toen een waarschuwing gestuurd.
Maar koppelen blijkbaar niet al hun acties terug. In ieder geval begrijp ik dat het niet opgehouden is en heb ik gevraagd of ze aan de honeypot data genoeg hebben.
Mocht dat niet zo zijn dan hoor je me hier weer.

Gr,
Ronald Z
Oud Community Moderator
Oud Community Moderator
  • 5201Posts
  • 278Oplossingen
  • 358Likes
Iniddels weer antwoord,
Screens is toch niet voldoende. Zou je een nieuwe log via de mail naar me kunnen sturen?

Gr,
gebruikers-naam

Level 1
  • 574Posts
  • 15Oplossingen
  • 55Likes
Ronald Ziggo wrote:
Iniddels weer antwoord,
Screens is toch niet voldoende. Zou je een nieuwe log via de mail naar me kunnen sturen?

Gr,


Dan moet ik mijn honeypot weer uitzetten en alles weer via de router laten afvangen. Dus nee, ik neem aan dat Ziggo abuse zijn eigen netwerk ook kan monitoren en dat dan ook maar moet doen.
Abuse geeft ook mij de logfiles niet op het moment dat ze mij onterecht blokkeren, en ik kan aantonen dat ik geen spam heb verzonden, het enige wat ik dan mag doen is aantonen dat ik geen virus heb omdat mijn server of router logfiles via smtp@ziggo.nl verzend.
En niet terugkoppelen richting klant maar wel om meer info vragen als de klant weer gaat klagen......

https://secure.dshield.org/ipdetails.html?ip=84.105.81.213
gebruikers-naam

Level 1
  • 574Posts
  • 15Oplossingen
  • 55Likes
Wie het weet mag het zeggen, nu moet de klant al gaan aantonen en aan het werk voor ZIGGO, het moet niet gekker worden....

Dus even op een rijtje......

1: Zoals ik het nu begrijp, is een Ziggo klant verantwoordelijk voor hack/bruteforce op het Ziggo netwerk. (dit is strafbaar)
2: De klant die er last van heeft moet nog meer logfiles gaan produceren voor de heren van abuse@ziggo.nl die het Ziggo netwerk beheren. (meerdere logfiles aangeleverd, moet genoeg zijn)
3: De klagende klant krijgt geen reactie van abuse@ziggo.nl.... (dat is zeer frustrerend als de crimineel gewoon blijft doorgaan)
4: De overlast bezorgende klant blijft gewoon doorgaan met zijn bij wet verboden activiteiten. (Ziggo onderneemt dus geen actie)
5: Ziggo faciliteert dus bewust een crimineel met zijn activiteiten! (Dit loopt al even, is Ziggo nu strafbaar?)

Ter info: De bekendste vorm van computercriminaliteit is het opzettelijk en wederrechtelijk binnendringen in een computersysteem of netwerk. Dit heet computervredebreuk (soms ook wel computerinbraak of hacken) en is een misdrijf. Hierop staat een straf van maximaal 1 jaar cel of geldboete van 16.750 euro (art. 138ab lid 1).

Onder de oude wetgeving was computervredebreuk alleen strafbaar wanneer een beveiliging werd doorbroken. Deze eis is komen te vervallen. Computerinbraak is nu strafbaar wanneer de dader wist dat hij op verboden terrein was.

Verwijderd account
Niet van toepassing
Heb je ShieldsUp van www.grc.com al eens gedraaid, wat komt daar dan uit?
Bij mij is alles groen, dus stealth, beter kan niet.
gebruikers-naam

Level 1
  • 574Posts
  • 15Oplossingen
  • 55Likes
N.N. wrote:
Heb je ShieldsUp van www.grc.com al eens gedraaid, wat komt daar dan uit?
Bij mij is alles groen, dus stealth, beter kan niet.

Heb thuis een rack met servers draaien met al hun verschillende services, dus dat gaat hem niet worden, ik heb die poorten nodig.

Het probleem is dat Ziggo niets doet aan een hackende klant, wat vreemd is want bij een melding aan VS, Brazilië, of China is het meestal zo geregeld en gaan ze offline.....

Heb al aangifte gedaan bij justitie, met het verhaal uit dit forum, misschien dat het nu wel lukt
gebruikers-naam

Level 1
  • 574Posts
  • 15Oplossingen
  • 55Likes
https://dshield.org/ipdetails.html?ip=84.105.81.213
gebruikers-naam

Level 1
  • 574Posts
  • 15Oplossingen
  • 55Likes
IP: 84.105.81.213
Hostname: 546951D5.cm-12-2b.dynamic.ziggo.nl
Random
Topicstarter
Level 16
  • 2168Posts
  • 102Oplossingen
  • 1114Likes
Eerder liet ik weten dat de portscan waar ik dit draadje mee begon (https://community.ziggo.nl/internetverbinding-102/port-scan-van-ziggo-klant-29470) gestopt was. Vandaag heb ik zomaar een willekeurige controle gedaan wat mijn firewall allemaal tegenhoud. Blijkt dat de portscan nog steeds gaande is van hetzelfde IP adres dus. Het Abuse team heeft er dus niets aan gedaan.
gebruikers-naam

Level 1
  • 574Posts
  • 15Oplossingen
  • 55Likes
Guido64 wrote:
Eerder liet ik weten dat de portscan waar ik dit draadje mee begon (https://community.ziggo.nl/internetverbinding-102/port-scan-van-ziggo-klant-29470) gestopt was. Vandaag heb ik zomaar een willekeurige controle gedaan wat mijn firewall allemaal tegenhoud. Blijkt dat de portscan nog steeds gaande is van hetzelfde IP adres dus. Het Abuse team heeft er dus niets aan gedaan.


Het abuseteam in waarschijnlijk niet meer dan een setje firewall-rules en een paar scripts, de rest wordt afgehandeld in Verweggistan waar de lonen laag zijn, net als het moreel....

Die moeten onze email met google translate gaan vertalen naar steenkolen Engels en denken dan "Fuck You" en lurken verder aan hun blikje bier of waterpijp.....

https://dshield.org/ipdetails.html?ip=84.105.81.213



Gelukkig hebben we het forum waar de Ziggo medewerkers meelezen en 'wel' actie ondernemen......
Random
Topicstarter
Level 16
  • 2168Posts
  • 102Oplossingen
  • 1114Likes
Haha ja daar lijkt het wel op. Grappig omschreven maar wellicht nog waar ook. Ik kreeg thans wel een mail terug in het Nederlands toen ik een screen capture naar abuse zond dat ze niets met plaatjes kunnen maar log files moeten hebben. Waarschijnlijk gewoon ook een geautomatiseerd systeem die dit verzend.

Ik ga zo eens zoeken op die naam die in dat bericht staat kijken of die nog op een andere manier te benaderen is.

Maar ik zat over iets anders na te denken. Wat hier waarschijnlijk gebeurd is dat iemand of een aantal mensen bezig is ghost computers te werven voor een botnet. Wat doet een botnet schade toebrengen aan bedrijven.

Wat ik ga doen zodra een bedrijf in het nieuws komt dat ze last hebben of hebben gehad van een DDOS aanval ga ik dit verhaal hen laten weten dat mensen die er iets aan willen doen niet gehoord worden door de mensen die er iets aan kunnen doen.

Ziggo is nota benen zelf vaak genoeg doelwit van DDOS aanvallen. Hoe kan je hier zo laks mee omgaan?

*** Mod edit: bijlage verwijderd i.v.m. persoonsgegevens ***
gebruikers-naam

Level 1
  • 574Posts
  • 15Oplossingen
  • 55Likes
Guido64 wrote:
Ik ga zo eens zoeken op die naam die in dat bericht staat kijken of die nog op een andere manier te benaderen is.

*** Mod edit: bijlage verwijderd i.v.m. persoonsgegevens ***


Te laat al gevonden :wink:
Random
Topicstarter
Level 16
  • 2168Posts
  • 102Oplossingen
  • 1114Likes
*** Mod edit: bijlage verwijderd i.v.m. persoonsgegevens ***


Oeps foutje sorry.
Kleine brain fart van deze kant.
gebruikers-naam

Level 1
  • 574Posts
  • 15Oplossingen
  • 55Likes
Gelukkig zitten de mods er bovenop en zullen de inlogpogingen wel snel over zijn.....