Vraag
Reacties
Oplossing
Aankondigingen
Random
Level 16

Port scan van ziggo klant

Ik zie sinds paar dagen port scans van een Ziggo klant binnen komen. Dat lijkt me toch niet de bedoeling kan/moet je hier iets mee? Kan je dat melden? Moet je dat melden?

Vooral de poorten
23 (telnet)
8291 (Winbox)
7547 (TR-069)

Ik wil hier niet meteen het bron IP melden want evengoed is het iemand waarvan een pc besmet is en er dus zelf niets aan kan doen.
0 Kudos
Oplossing
130 Reacties 130
Meldingen
Aan Uit
gebruikers-naam
Level 1
Ondertussen in Geertruidenberg..... https://isc.sans.edu/ipdetails.html?ip=84.105.81.213
0 Kudos
gebruikers-naam
Level 1
Ondertussen in Geertruidenberg..... https://isc.sans.edu/ipdetails.html?ip=84.105.81.213
0 Kudos
Gusto
Level 7
gebruikers-naam ,

Waarom blijf je deze nietszeggende logs posten?
0 Kudos
RobertKoopman
Level 7
Nietszeggend?
Iemand heeft al maanden last van portscans en niemand doet er iets aan.
Mag hij hier toch kenbaar maken nietwaar?
0 Kudos
Gusto
Level 7
Het gaat niet om poortscans, gebruikers-naam zet bewust poorten open (honeypot) en vind het gek dat er geprobeert word om in te loggen. 😉

P.S. deze poorten staan standaard dicht op Ziggo-modem/routers, dus geen probleem!
0 Kudos
JamievdD
Level 3
Gusto wrote:
Het gaat niet om poortscans, gebruikers-naam zet bewust poorten open (honeypot) en vind het gek dat er geprobeert word om in te loggen. 😉

P.S. deze poorten staan standaard dicht op Ziggo-modem/routers, dus geen probleem!


Gaat om abuse binnen het ziggo netwerk naar klanten.
Duidelijk dat deze klant geinfecteerd is OF is de dader zelf.
0 Kudos
gebruikers-naam
Level 1
Gusto wrote:
Het gaat niet om poortscans, gebruikers-naam zet bewust poorten open (honeypot) en vind het gek dat er geprobeert word om in te loggen. 😉

P.S. deze poorten staan standaard dicht op Ziggo-modem/routers, dus geen probleem!



  • Ik heb een eigen router en gebruik die hoe ik dat wil of wat voor mij noodzakelijk is, dat begrijp je toch wel Gusto dus die poorten staan niet dicht.
  • Verder is het proberen toegang te verkrijgen tot een systeem door middel van brute force ook nog eens strafbaar en is ziggo abuse niet thuis als ik dat meld, er komt zelfs geen reactie!
  • Ook op mijn vraag of dit mag op het Ziggo netwerk, geen antwoord.
  • Maar stel je nu eens voor dat ik elke dag met andere bos sleutels ga proberen om jouw voordeur open te maken, dat gaat een keer lukken dat weet jij ook, dat mag dan wel?
  • Dat de poorten dicht staan is natuurlijk een dooddoener, alle poorten staan dicht maar kunnen voor functionaliteit worden geopend, ik heb die functies nodig.
  • Dat ziggo dit soort zaken niet aan wil pakken is een slechte zaak, wat nu als er straks weer een DDOS is met overgenomen systemen?
  • Dan weten ze van niets zeker, dus niet oplossen, ik blijf posten en documenteren.
  • Dit is niet de eerste keer dat ik dit hier moet uitleggen, maar daar heb ik geen moeite mee, als er maar iets mee gedaan wordt.

Gusto ik hoop dat je vraag hiermee afdoende is beantwoord, zo niet hoor ik het graag.

PS. als je reageerd, graag op alles en niet een makkelijk antwoord afschieten!
0 Kudos
Sparco1955
Level 16
gebruikers-naam ,

Vond deze info van de week op het internet: https://securelist.com/hajime-the-mysterious-evolving-botnet/78160/ Leuk he al die apparaten die het internet op kunnen. Dus misschien is het wel een gehackte koelkast.
0 Kudos
gebruikers-naam
Level 1
gebruikers-naam ,

Vond deze info van de week op het internet: https://securelist.com/hajime-the-mysterious-evolving-botnet/78160/ Leuk he al die apparaten die het internet op kunnen. Dus misschien is het wel een gehackte koelkast.

Daar ben ik haast van overtuigd dat het een IoT device is wat is overgenomen en zijn botnet aan het vergroten is voor de volgende DDOS.

Daarom is het ook zo vreemd dat Ziggo er niets aan doet.

Ook mijn aangifte bij justitie is onderop de stapel of in de papierversnipperaar gegaan denk ik.
0 Kudos
JamievdD
Level 3
gebruikers-naam wrote:
gebruikers-naam ,

Vond deze info van de week op het internet: https://securelist.com/hajime-the-mysterious-evolving-botnet/78160/ Leuk he al die apparaten die het internet op kunnen. Dus misschien is het wel een gehackte koelkast.

Daar ben ik haast van overtuigd dat het een IoT device is wat is overgenomen en zijn botnet aan het vergroten is voor de volgende DDOS.

Daarom is het ook zo vreemd dat Ziggo er niets aan doet.

Ook mijn aangifte bij justitie is onderop de stapel of in de papierversnipperaar gegaan denk ik.


Je kan niet echt aangiften doen tegenover niemand.
Politie zelf heeft niks aan ip addressen aangezien alles in het network geregeld is via dynamisch systeem. Volgens ziggo krijg je elke 24 uur een nieuwe ip address en dit is ook niet 100% waar aangezien eigen routers via verschillende manieren meerdere ip addressen binnen een uur kan krijgen. dus het is haast onmogelijk voor ziggo om deze informatie te krijgen van mensen.

Vandaar er niet veel gedaan wordt aan de aangiften.
Maar om na een bruteforce/port scan gelijk aangiften te doen lijkt mij wel een beetje overdreven. Dit kan namelijk opgelost worden tussen alle interne partijen.
0 Kudos
Bert
Level 21
T.E.A.M.
JamievdD schreef: "Volgens ziggo krijg je elke 24 uur een nieuwe ip address en dit is ook niet 100% waar aangezien eigen routers via verschillende manieren meerdere ip addressen binnen een uur kan krijgen."

Dan gaat er iets heel erg mis hier in de regio, ik houd meestal jaren hetzelfde IP adres en mijn omgeving ook.
Ik ben benieuwd wie van Ziggo zulke onwaarheden naar buiten brengt.
0 Kudos
efok
Level 17
Be rt wrote:
JamievdD schreef: "Volgens ziggo krijg je elke 24 uur een nieuwe ip address en dit is ook niet 100% waar aangezien eigen routers via verschillende manieren meerdere ip addressen binnen een uur kan krijgen."

Dan gaat er iets heel erg mis hier in de regio, ik houd meestal jaren hetzelfde IP adres en mijn omgeving ook.
Ik ben benieuwd wie van Ziggo zulke onwaarheden naar buiten brengt.


Je IP-adres verandert wanneer je bij een modem in bridge een ander MAC-adres aan het modem hangt en het modem vervolgens reset. MAC-adressen zijn te klonen, dus hier kan wat meegespeeld worden, echter ik meen ergens gelezen te hebben dat er wel een limiet op het aantal malen/24uur dat dit kan ligt. Houd je MAC, dan hou je in principe ook je IP.
Een modem in router-mode krijgt zelden een nieuw ip-adres, zolang het online blijft. Hooguit na werkzaamheden. Het is dus absoluut niet waar dat je elke 24 uur een nieuw ip krijgt.
0 Kudos
gebruikers-naam
Level 1
JamievdD wrote:

gebruikers-naam wrote:
gebruikers-naam ,

Vond deze info van de week op het internet: https://securelist.com/hajime-the-mysterious-evolving-botnet/78160/ Leuk he al die apparaten die het internet op kunnen. Dus misschien is het wel een gehackte koelkast.

Daar ben ik haast van overtuigd dat het een IoT device is wat is overgenomen en zijn botnet aan het vergroten is voor de volgende DDOS.

Daarom is het ook zo vreemd dat Ziggo er niets aan doet.

Ook mijn aangifte bij justitie is onderop de stapel of in de papierversnipperaar gegaan denk ik.
Je kan niet echt aangiften doen tegenover niemand.
Politie zelf heeft niks aan ip addressen aangezien alles in het network geregeld is via dynamisch systeem. Volgens ziggo krijg je elke 24 uur een nieuwe ip address en dit is ook niet 100% waar aangezien eigen routers via verschillende manieren meerdere ip addressen binnen een uur kan krijgen. dus het is haast onmogelijk voor ziggo om deze informatie te krijgen van mensen.

Vandaar er niet veel gedaan wordt aan de aangiften.
Maar om na een bruteforce/port scan gelijk aangiften te doen lijkt mij wel een beetje overdreven. Dit kan namelijk opgelost worden tussen alle interne partijen.



  • Die 24 uur is echt onzin, de lease is vaak al 7 dagen, en een wijziging echt alleen als er een ander MAC-adres op je lijn komt, dus na wijziging modem of router, en na werkzaamheden aan het netwerk kan dit ook als ziggo hardware in een segment zou vervangen. Verder blijft je IP hetzelfde....
  • Ik heb het meerdere malen bij Ziggo aangekaart, dat is dan de interne partij, die doen er niets mee.
  • Er zijn moderators o.a. (https://community.ziggo.nl/members/ronald-ziggo-124) mee bezig, al een hele tijd, die krijgt ook geen reactie van abuse@ziggo.nl dus nog niets opgelost.
  • Een aangifte bij justitie was mijn laatste redmiddel, op een persoonlijke brief/vraag aan minister Grapperhaus na, die is in de maak met alle correspondentie en logfiles erbij wat aan Ziggo en justitie is aangeboden. Natuurlijk in cc naar de andere kamerleden en partijen.
  • Ziggo weet exact wie welk IP in gebruik heeft en wat er op die lijn gebeurt, dat zijn ze zelfs volgens de bewaarplicht wettelijk verplicht. Justitie kan deze NAW gegevens van een IP dus simpel opvragen en de houder/gebruiker een bezoekje brengen.

Dit draadje loopt al even natuurlijk, weet niet je alles wel hebt gelezen, maar aan je reactie te zien dus niet.

We wachten dus de reactie van Ziggo nog maar een paar dagen af, het kan ook zijn dat op het ziggo netwerk dit is toegestaan, maar wettelijk mag het niet.

Ik mag ook niet elke dag met een bos sleutels proberen jouw voordeur open te maken, dat is poging tot inbraak en strafbaar.
0 Kudos
efok
Level 17
man man man
wat maak jij hier een heisa van. Gooi dat IP deruit in je firewall en ga over tot de orde van de dag. Of installeer fail2ban, verlost je gelijk van dit soort acties van anderen ook nog. Want na deze komt er nog wel een volgende, en dat weet je zelf ook wel.
Je hebt het inmiddels meerdere malen gemeld, het is nog niet opgelost. Heel vervelend. Maar justitie, Grapperhaus en de hele 2e kamer erbij slepen:astonished:, omdat iemand waarschijnlijk een besmet apparaat in zijn netwerk heeft?
Het zou Ziggo sieren een telefoontje naar de gebruiker op dat IP te doen, dan was het vast al opgelost. Dat ben ik helemaal met je eens. Doen ze dat niet, dan neem je toch je eigen maatregelen? Ik vind dat je echt doordraaft. Stel je voor dat iedereen elk aan zijn poorten rammelend Nederlands IP naar de 2e kamer gaat sturen.......

Ik ben blij dat ik mijn router/firewall op orde heb. Hoef ik hier ook niet wakker van te liggen.

Als het niet kan zoals het moet, dan moet het maar zoals het kan...... zou ik er haast aan toevoegen:yum:
0 Kudos
gebruikers-naam
Level 1
efok wrote:
man man manwat maak jij hier een heisa van. Gooi dat IP deruit in je firewall en ga over tot de orde van de dag. Of installeer fail2ban, verlost je gelijk van dit soort acties van anderen ook nog. Want na deze komt er nog wel een volgende, en dat weet je zelf ook wel.
Je hebt het inmiddels meerdere malen gemeld, het is nog niet opgelost. Heel vervelend. Maar justitie, Grapperhaus en de hele 2e kamer erbij slepen:astonished:, omdat iemand waarschijnlijk een besmet apparaat in zijn netwerk heeft?
Het zou Ziggo sieren een telefoontje naar de gebruiker op dat IP te doen, dan was het vast al opgelost. Dat ben ik helemaal met je eens. Doen ze dat niet, dan neem je toch je eigen maatregelen? Ik vind dat je echt doordraaft. Stel je voor dat iedereen elk aan zijn poorten rammelend Nederlands IP naar de 2e kamer gaat sturen.......

Ik ben blij dat ik mijn router/firewall op orde heb. Hoef ik hier ook niet wakker van te liggen.

Als het niet kan zoals het moet, dan moet het maar zoals het kan...... zou ik er haast aan toevoegen:yum:


Als je denk dat ik er wakker van lig heb je het echt mis, het gaat er gewoon om dat men moet handhaven waar nodig.
Dat is in heel Nederland aan de orde, we maken regels, iedereen heeft er poep aan en er gebeurt niets!
Tot er straks weer een grote DDOS is en Ziggo en de rest van Nederland op zijn kop staat en nergens van weet, dat kan niet de bedoeling zijn.

En mijn firewall voldoet prima, je hebt dus niet gelezen waar het over gaat!
0 Kudos
efok
Level 17
Ik heb het wel gelezen, maar jij hebt toch genoeg gedaan, namelijk het gemeld bij Ziggo. Firewall ingericht. Klaar. Meer kun en hoef jij niet te doen.

Enig "onderzoek" van het IP 84.105.81.213 leert overigens dat het waarschijnlijk uit Rosmalen, komt, een IPcam, en DVR draait en het onderdeel uitmaakt van het Mirai botnet.
Argeloze gebruiker waarschijnlijk.

Daar mag best een telefoontje naar toe van Ziggo. Ronald Ziggo
gebruikers-naam
Level 1
efok wrote:
Daar mag best een telefoontje naar toe van Ziggo. Ronald Ziggo


Dat was ook mijn gedachte en vraag, echter maanden verder is dat nog steeds niet gedaan, en zit Ronald ook op antwoord van abuse@ziggo.nl te wachten....
0 Kudos
Ronald Z
Oud Community Moderator
Oud Community Moderator
Communicatie is schijnbaar een lastig fenomeen, ik heb het nu via andere wegen uitstaan. Maar let wel, stuur eerst een mail naar Abuse voor je iets hier meldt.

Gr,
0 Kudos
Ronald Z
Oud Community Moderator
Oud Community Moderator
Ik heb een goed gesprek met Abuse gehad.

Allereerst komen er zoveel meldingen binnen dat wordt gefilterd op belangrijkere issues. Denk daarbij vooral aan de apparaten die men zo aansluit, voornamelijk een issue voor de gebruiker zijn/haar eigen privacy. Daarnaast zijn er de grotere meldingen zoals bv de portscans die overlast kunnen veroorzaken.

Abuse behoort op elke mail in ieder geval een ontvangstbevestiging te geven, maar mogen niet in de inhoud treden.
Of iets opgepakt wordt is dus ook niet iets wat ze standaard kunnen vermelden.

In het geval van een melding kan je deze het beste in (Abuse Reporting Format) ARF aanleveren.
Ja... ik weet het, Wikipedia 😉 maar het geeft wel de info: LINK

Vanwege de hoeveelheid meldingen die Abuse krijgt hebben ze een filter op de info.
Daarom willen ze graag alles in tekst/log format, omdat een screenshot ook niet veel doet als ze verder moeten doorsturen naar de desbetreffende veroorzaker.
Het wordt juist gewaardeerd door Abuse dat klanten met ze meedenken, maar vanwege de hoeveelheid vragen ze om dit stukje input.

Gr,
RobertKoopman
Level 7
Je moet nogal wat moeite doen om zoiets te melden zeg.
Andersom is het heel makkelijk, één linkje in je uitgaande mail en pats boem je bent geblokt 😉