Vraag
Reacties
Oplossing
Aankondigingen
Random
Level 16

Port scan van ziggo klant

Ik zie sinds paar dagen port scans van een Ziggo klant binnen komen. Dat lijkt me toch niet de bedoeling kan/moet je hier iets mee? Kan je dat melden? Moet je dat melden?

Vooral de poorten
23 (telnet)
8291 (Winbox)
7547 (TR-069)

Ik wil hier niet meteen het bron IP melden want evengoed is het iemand waarvan een pc besmet is en er dus zelf niets aan kan doen.
0 Kudos
Oplossing

Geaccepteerde oplossingen
Sparco1955
Level 16
Guido64,

Kijk eens op:
https://blog.radware.com/security/2018/03/mikrotik-routeros-based-botnet/ en
https://www.security.nl/posting/494199#posting494209

Raadzaam om de abuse afdeling hiervan op de hoogte te stellen.

Bekijk in context

0 Kudos
Ga naar reactie
130 Reacties 130
Meldingen
Aan Uit
Ronihd
Level 18
T.E.A.M.
Guido64

beste te doen is mailto:abuse@ziggo.nl
Sparco1955
Level 16
Guido64,

Kijk eens op:
https://blog.radware.com/security/2018/03/mikrotik-routeros-based-botnet/ en
https://www.security.nl/posting/494199#posting494209

Raadzaam om de abuse afdeling hiervan op de hoogte te stellen.
0 Kudos
Ga naar reactie
Verwijderd account
Niet van toepassing
Hallo Guido64, hoe weet je dat het een Ziggo-klant is?
Ronihd
Level 18
T.E.A.M.
Sparco©1963 wrote:
Guido64,

Kijk eens op:
https://blog.radware.com/security/2018/03/mikrotik-routeros-based-botnet/ en
https://www.security.nl/posting/494199#posting494209

Raadzaam om de abuse afdeling hiervan op de hoogte te stellen.


Dat zeg ik 😉
Random
Level 16
Topicstarter
N.N. wrote:
Hallo Guido64, hoe weet je dat het een Ziggo-klant is?

Reverse DNS lookup

Server: router.mijndomein.tld
Address: 192.168.x.x

Naam: IP in hex.cm-x-x.dynamic.ziggo.nl
Address: x.x.x.x

Bedankt voor jullie reacties ik ga een mail sturen naar abuse@ziggo.nl
0 Kudos
Serkan
Community Testspecialist
Community Testspecialist
Hi Guido,

Ik ben benieuwd welke terugkoppeling de Abuse afdeling gaat geven. Wil je ons op de hoogte houden van de ontwikkelingen en de oplossing? Alvast bedankt!
0 Kudos
Random
Level 16
Topicstarter
Ik had een screenshot gemaakt in pfsense waarin ik het IP had gefilterd zodat ik een mooi overzicht had en dat naar abuse adres gezonden. Ik kreeg bericht terug dat ze niks met jpeg kunnen of ik logs in txt kon zenden. Dat heb ik gisteren en vandaag nog eens gedaan. Daarvan nog niets gehoord. Maar ja het is weekend en wie weet hoor ik er niets meer over. Maar de verbindingen pogingen zijn nog steeds gaande dus daar is nog niets aan gedaan. Wie weet hoeveel systemen ondertussen nog zijn besmet. Ik had een wat daad krachtigere aanpak verwacht.
0 Kudos
Bert
Level 21
T.E.A.M.
Soms wordt er eerst onderzoek gedaan naar de oorzaak, er worden dan geen mededelingen gedaan, dat kan soms even duren.
Mocht je ineens geen port scan meer krijgen, kan het zijn dat de verbinding is afgesloten, maar dit gebeurd alleen als er een duidelijk bewijs is gezien in het netwerk van diegene en voldoende bewijs is verzameld.
0 Kudos
Random
Level 16
Topicstarter
Bedankt Be rt, daar zit wat in natuurlijk. Iedereen kan wel zeggen dat een of ander IP je poorten zit te scannen. Deze port scans komen al dagen elk uur voorbij steeds dezelfde bovenstaande poorten. Mij lijkt dat dat simpel te controleren is en dan bam verbinding dicht. Want ik zal vast niet de enige zijn die die bezoekjes krijgt. Iedereen die na mijn melding besmet raakt was niet nodig geweest en iedereen die besmet is geraakt besmet ook weer anderen dus dit kan zich snel verspreiden. Het is niet voor niets dat doe botnets zo groot worden. Mij lijkt dat je daar daadkrachtiger op moet duiken als provider zijnde. Kan me ook voorstellen dat die techneuten werk zat hebben met zo'n giga netwerk.
0 Kudos
Random
Level 16
Topicstarter
We zitten alweer op de helft van de nieuwe week en de port scans zijn nog steeds gaande. Ook geen reactie meer gekregen van het abuse team na het inzenden van de txt log files.
0 Kudos
gebruikers-naam
Level 1
Heb al weken een Ziggo IP (84.105.81.213) aan de router vervelen, gemeld aan abuse@ziggo.nl met logfile, doen ze niet veel mee zo te zien in mijn log...

Toch wel vreemd, als ik een abuse aan China of Brasilia verstuur is het doorgaans snel over met deze scriptkiddy's, maar Ziggo doet er niets mee, tot ik weer een keer mijn logfiles via SMTP.ZIGGO.NL verzend dan krijg ik weer weekje straf voor 'spammen' van mijn eigen mailbox....

Het zal wel aan mij liggen dat het zo moet........ :cry:

20:06:56 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:06:57 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:06:58 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:06:59 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:07:00 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:01 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:03 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:04 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:05 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:07:06 system,error,critical login failure for user ubnt from 84.105.81.213 via telnet
20:07:07 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:08 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:09 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:07:10 system,error,critical login failure for user Admin from 84.105.81.213 via telnet
20:07:12 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:07:13 system,error,critical login failure for user guest from 84.105.81.213 via telnet
20:07:14 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:15 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:16 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:17 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:07:18 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:20 system,error,critical login failure for user 888888 from 84.105.81.213 via telnet
20:07:21 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:22 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:07:23 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:07:24 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:25 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:26 system,error,critical login failure for user guest from 84.105.81.213 via telnet
20:07:27 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:28 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:30 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:31 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:32 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:07:36 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:37 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:38 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:07:39 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:40 system,error,critical login failure for user Administrator from 84.105.81.213 via telnet
20:07:42 system,error,critical login failure for user support from 84.105.81.213 via telnet
20:07:43 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:07:44 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:45 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:46 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:07:47 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:07:48 system,error,critical login failure for user user from 84.105.81.213 via telnet
20:07:50 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:51 system,error,critical login failure for user admin1 from 84.105.81.213 via telnet
20:07:52 system,error,critical login failure for user mother from 84.105.81.213 via telnet
20:07:53 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:54 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:55 system,error,critical login failure for user administrator from 84.105.81.213 via telnet
20:07:57 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:58 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:59 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:00 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:08:01 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:08:02 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:06 system,error,critical login failure for user supervisor from 84.105.81.213 via telnet
20:08:07 system,error,critical login failure for user default from 84.105.81.213 via telnet
20:08:08 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:10 system,error,critical login failure for user tech from 84.105.81.213 via telnet
20:08:11 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:12 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:08:13 system,error,critical login failure for user service from 84.105.81.213 via telnet
20:08:14 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:08:15 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:08:16 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:18 system,error,critical login failure for user guest from 84.105.81.213 via telnet
20:08:19 system,error,critical login failure for user supervisor from 84.105.81.213 via telnet
20:08:20 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:21 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:08:22 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:08:23 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:24 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:25 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:27 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:28 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:29 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:30 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:31 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:32 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:33 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:34 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:35 system,error,critical login failure for user 666666 from 84.105.81.213 via telnet
20:08:37 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:08:38 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:39 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:40 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:41 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:42 system,error,critical login failure for user root from 84.105.81.213 via telnet
0 Kudos
Random
Level 16
Topicstarter
Bij mij is de port scan opgehouden. Ik heb er niets meer op gehoord van het abuse team. Het IP kan ik wel pingen maar kan evengoed door iemand anders nu in gebruik zijn. Geen idee dus wat ermee gebeurd is maar de port scan is gestopt. Was overigens een ander IP als waar jij last van hebt en bij mij was het niet alleen telnet poort 23 ook nog 2 andere poorten.
0 Kudos
gebruikers-naam
Level 1
Hier nog steeds geen antwoord en geen actie ondernomen door abuse@ziggo.nl, denk dat dit gewoon is toegestaan......

Dit zo in batches meerdere keren per uur....

22:54:14 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:54:15 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:16 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:18 system,error,critical login failure for user 666666 from 84.105.81.213 via telnet
22:54:19 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:54:20 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:21 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:22 system,error,critical login failure for user supervisor from 84.105.81.213 via telnet
22:54:23 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:24 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:25 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:26 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:28 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:29 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:54:30 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:54:31 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:54:32 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:33 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:34 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:35 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:36 system,error,critical login failure for user admin1 from 84.105.81.213 via telnet
22:54:38 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:39 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:40 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:41 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:42 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:43 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:54:45 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:54:46 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:54:47 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:48 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:54:49 system,error,critical login failure for user Administrator from 84.105.81.213 via telnet
22:54:50 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:51 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:53 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:54 system,error,critical login failure for user tech from 84.105.81.213 via telnet
22:54:55 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:56 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:57 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:01 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:55:02 system,error,critical login failure for user 888888 from 84.105.81.213 via telnet
22:55:03 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:05 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:06 system,error,critical login failure for user service from 84.105.81.213 via telnet
22:55:07 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:08 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:09 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:10 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:11 system,error,critical login failure for user administrator from 84.105.81.213 via telnet
22:55:12 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:13 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:55:15 system,error,critical login failure for user guest from 84.105.81.213 via telnet
22:55:16 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:55:17 system,error,critical login failure for user guest from 84.105.81.213 via telnet
22:55:18 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:19 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:55:20 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:55:22 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:55:23 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:24 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:25 system,error,critical login failure for user supervisor from 84.105.81.213 via telnet
22:55:26 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:27 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:55:37 system,error,critical login failure for user guest from 84.105.81.213 via telnet
22:55:38 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:55:39 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:41 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:42 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:43 system,error,critical login failure for user Admin from 84.105.81.213 via telnet
22:55:44 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:45 system,error,critical login failure for user support from 84.105.81.213 via telnet
22:55:46 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:47 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:48 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:50 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:51 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:52 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:53 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:54 system,error,critical login failure for user user from 84.105.81.213 via telnet
22:55:55 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:55:56 system,error,critical login failure for user mother from 84.105.81.213 via telnet
22:55:57 system,error,critical login failure for user default from 84.105.81.213 via telnet
22:55:59 system,error,critical login failure for user ubnt from 84.105.81.213 via telnet
22:56:00 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:56:01 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:56:02 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:56:03 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:56:04 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:56:05 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:56:06 system,error,critical login failure for user admin from 84.105.81.213 via telnet

Enz enz
0 Kudos
RobertKoopman
Level 7
Nadeel van een dynamisch ip adres?
Als je geen DDNS gebruikt maar je maakt wel verbindingen naar andere servers en dan krijgt er eentje een ander ip adres.
Krijgt de nieuwe eigenaar van dat adres opeens vele inlogpogingen om zijn oren.
Misschien is het wel zoiets.
0 Kudos
gebruikers-naam
Level 1
RobertKoopman wrote:
Nadeel van een dynamisch ip adres?
Als je geen DDNS gebruikt maar je maakt wel verbindingen naar andere servers en dan krijgt er eentje een ander ip adres.
Krijgt de nieuwe eigenaar van dat adres opeens vele inlogpogingen om zijn oren.
Misschien is het wel zoiets.


Nee dat is het niet, dit is gewoon een script met een groepje inlognamen en een wachtwoordlijst erachter. Dit gaat zo al weken, kan dat IP zo blokkeren natuurlijk, maar ben van mening als Ziggo streng is voor mijn gedragingen online ze ook dit moeten oppakken, dus ik laat het gewoon doorlopen en laat de logfiles ook naar justitie op meld.nl forwarden door de router, eens kijken wat er gaat gebeuren?
0 Kudos
gebruikers-naam
Level 1
De data van 4 uurtjes honeypot 489 pogingen van 84.105.81.213, met 15 verschillende gebruikersnamen, en 67 verschillende wachtwoorden
Bert
Level 21
T.E.A.M.
Misschien kan Serkan Ziggo met je meekijken, want het lijkt me niet de bedoeling dat Ziggo één van zijn klanten de gelegenheid geeft om uitgebreid te proberen te hacken.
0 Kudos
gebruikers-naam
Level 1
Be rt wrote:
Misschien kan Serkan Ziggo met je meekijken, want het lijkt me niet de bedoeling dat Ziggo één van zijn klanten de gelegenheid geeft om uitgebreid te proberen te hacken.


Het is al een tijdje geleden gemeld aan abuse, maar de pogingen gaan gewoon door. Dus die gelegenheid is er ruimschoots, maar misschien is het ook wel toegestaan?
0 Kudos
gebruikers-naam
Level 1
@Serkan Ziggo,

1: Kun jij zien wat er aan de hand is, heeft deze klant een gehackt systeem of is hij zelf aan het klooien?
2: Waarom krijg ik geen reactie van abuse en ondernemen deze geen aktie?
3: Als ik nu mijn logfiles voor een uur via smtp.ziggo.nl verzend krijg ik gelijk een blokkade van alle diensten, waarom heeft het ziggo netwerk wel prioriteit, en dat van klanten niet?

Alvast bedankt
https://dshield.org/ipdetails.html?ip=84.105.81.213&183
0 Kudos