Guido64
Gedreven Raadgever
  • 262Posts
  • 10Oplossingen
  • 36Likes

Port scan van ziggo klant

Ik zie sinds paar dagen port scans van een Ziggo klant binnen komen. Dat lijkt me toch niet de bedoeling kan/moet je hier iets mee? Kan je dat melden? Moet je dat melden?

Vooral de poorten
23 (telnet)
8291 (Winbox)
7547 (TR-069)

Ik wil hier niet meteen het bron IP melden want evengoed is het iemand waarvan een pc besmet is en er dus zelf niets aan kan doen.
1 Geaccepteerde oplossing

Geaccepteerde oplossingen
Sparco1955
Expert
Expert
  • 1704Posts
  • 162Oplossingen
  • 419Likes
Guido64,

Kijk eens op:
https://blog.radware.com/security/2018/03/mikrotik-routeros-based-botnet/ en
https://www.security.nl/posting/494199#posting494209

Raadzaam om de abuse afdeling hiervan op de hoogte te stellen.

Bekijk in context

130 Reacties 130
Ronihd
Super Expert
Super Expert
  • 7496Posts
  • 277Oplossingen
  • 2423Likes
Guido64

beste te doen is mailto:abuse@ziggo.nl
Sparco1955
Expert
Expert
  • 1704Posts
  • 162Oplossingen
  • 419Likes
Guido64,

Kijk eens op:
https://blog.radware.com/security/2018/03/mikrotik-routeros-based-botnet/ en
https://www.security.nl/posting/494199#posting494209

Raadzaam om de abuse afdeling hiervan op de hoogte te stellen.

Bekijk in context

N.N.
Expert
Expert
  • 12986Posts
  • 818Oplossingen
  • 595Likes
Hallo Guido64, hoe weet je dat het een Ziggo-klant is?
Ronihd
Super Expert
Super Expert
  • 7496Posts
  • 277Oplossingen
  • 2423Likes
Sparco©1963 wrote:
Guido64,

Kijk eens op:
https://blog.radware.com/security/2018/03/mikrotik-routeros-based-botnet/ en
https://www.security.nl/posting/494199#posting494209

Raadzaam om de abuse afdeling hiervan op de hoogte te stellen.


Dat zeg ik 😉
Guido64
topicstarter
Gedreven Raadgever
  • 262Posts
  • 10Oplossingen
  • 36Likes
N.N. wrote:
Hallo Guido64, hoe weet je dat het een Ziggo-klant is?

Reverse DNS lookup

Server: router.mijndomein.tld
Address: 192.168.x.x

Naam: IP in hex.cm-x-x.dynamic.ziggo.nl
Address: x.x.x.x

Bedankt voor jullie reacties ik ga een mail sturen naar abuse@ziggo.nl
Serkan
Community Testspecialist
Community Testspecialist
  • 10587Posts
  • 761Oplossingen
  • 3231Likes
Hi Guido,

Ik ben benieuwd welke terugkoppeling de Abuse afdeling gaat geven. Wil je ons op de hoogte houden van de ontwikkelingen en de oplossing? Alvast bedankt!
Guido64
topicstarter
Gedreven Raadgever
  • 262Posts
  • 10Oplossingen
  • 36Likes
Ik had een screenshot gemaakt in pfsense waarin ik het IP had gefilterd zodat ik een mooi overzicht had en dat naar abuse adres gezonden. Ik kreeg bericht terug dat ze niks met jpeg kunnen of ik logs in txt kon zenden. Dat heb ik gisteren en vandaag nog eens gedaan. Daarvan nog niets gehoord. Maar ja het is weekend en wie weet hoor ik er niets meer over. Maar de verbindingen pogingen zijn nog steeds gaande dus daar is nog niets aan gedaan. Wie weet hoeveel systemen ondertussen nog zijn besmet. Ik had een wat daad krachtigere aanpak verwacht.
Bert
Super Expert
Super Expert
  • 49157Posts
  • 3011Oplossingen
  • 10958Likes
Soms wordt er eerst onderzoek gedaan naar de oorzaak, er worden dan geen mededelingen gedaan, dat kan soms even duren.
Mocht je ineens geen port scan meer krijgen, kan het zijn dat de verbinding is afgesloten, maar dit gebeurd alleen als er een duidelijk bewijs is gezien in het netwerk van diegene en voldoende bewijs is verzameld.
Guido64
topicstarter
Gedreven Raadgever
  • 262Posts
  • 10Oplossingen
  • 36Likes
Bedankt Be rt, daar zit wat in natuurlijk. Iedereen kan wel zeggen dat een of ander IP je poorten zit te scannen. Deze port scans komen al dagen elk uur voorbij steeds dezelfde bovenstaande poorten. Mij lijkt dat dat simpel te controleren is en dan bam verbinding dicht. Want ik zal vast niet de enige zijn die die bezoekjes krijgt. Iedereen die na mijn melding besmet raakt was niet nodig geweest en iedereen die besmet is geraakt besmet ook weer anderen dus dit kan zich snel verspreiden. Het is niet voor niets dat doe botnets zo groot worden. Mij lijkt dat je daar daadkrachtiger op moet duiken als provider zijnde. Kan me ook voorstellen dat die techneuten werk zat hebben met zo'n giga netwerk.
Guido64
topicstarter
Gedreven Raadgever
  • 262Posts
  • 10Oplossingen
  • 36Likes
We zitten alweer op de helft van de nieuwe week en de port scans zijn nog steeds gaande. Ook geen reactie meer gekregen van het abuse team na het inzenden van de txt log files.
gebruikers-naam
Expert
Expert
  • 574Posts
  • 15Oplossingen
  • 55Likes
Heb al weken een Ziggo IP (84.105.81.213) aan de router vervelen, gemeld aan abuse@ziggo.nl met logfile, doen ze niet veel mee zo te zien in mijn log...

Toch wel vreemd, als ik een abuse aan China of Brasilia verstuur is het doorgaans snel over met deze scriptkiddy's, maar Ziggo doet er niets mee, tot ik weer een keer mijn logfiles via SMTP.ZIGGO.NL verzend dan krijg ik weer weekje straf voor 'spammen' van mijn eigen mailbox....

Het zal wel aan mij liggen dat het zo moet........ :cry:

20:06:56 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:06:57 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:06:58 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:06:59 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:07:00 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:01 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:03 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:04 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:05 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:07:06 system,error,critical login failure for user ubnt from 84.105.81.213 via telnet
20:07:07 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:08 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:09 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:07:10 system,error,critical login failure for user Admin from 84.105.81.213 via telnet
20:07:12 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:07:13 system,error,critical login failure for user guest from 84.105.81.213 via telnet
20:07:14 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:15 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:16 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:17 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:07:18 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:20 system,error,critical login failure for user 888888 from 84.105.81.213 via telnet
20:07:21 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:22 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:07:23 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:07:24 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:25 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:26 system,error,critical login failure for user guest from 84.105.81.213 via telnet
20:07:27 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:28 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:30 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:31 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:32 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:07:36 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:37 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:38 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:07:39 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:40 system,error,critical login failure for user Administrator from 84.105.81.213 via telnet
20:07:42 system,error,critical login failure for user support from 84.105.81.213 via telnet
20:07:43 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:07:44 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:45 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:46 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:07:47 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:07:48 system,error,critical login failure for user user from 84.105.81.213 via telnet
20:07:50 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:51 system,error,critical login failure for user admin1 from 84.105.81.213 via telnet
20:07:52 system,error,critical login failure for user mother from 84.105.81.213 via telnet
20:07:53 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:54 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:55 system,error,critical login failure for user administrator from 84.105.81.213 via telnet
20:07:57 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:58 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:07:59 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:00 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:08:01 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:08:02 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:06 system,error,critical login failure for user supervisor from 84.105.81.213 via telnet
20:08:07 system,error,critical login failure for user default from 84.105.81.213 via telnet
20:08:08 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:10 system,error,critical login failure for user tech from 84.105.81.213 via telnet
20:08:11 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:12 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:08:13 system,error,critical login failure for user service from 84.105.81.213 via telnet
20:08:14 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:08:15 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:08:16 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:18 system,error,critical login failure for user guest from 84.105.81.213 via telnet
20:08:19 system,error,critical login failure for user supervisor from 84.105.81.213 via telnet
20:08:20 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:21 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:08:22 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:08:23 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:24 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:25 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:27 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:28 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:29 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:30 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:31 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:32 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:33 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:34 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:35 system,error,critical login failure for user 666666 from 84.105.81.213 via telnet
20:08:37 system,error,critical login failure for user admin from 84.105.81.213 via telnet
20:08:38 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:39 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:40 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:41 system,error,critical login failure for user root from 84.105.81.213 via telnet
20:08:42 system,error,critical login failure for user root from 84.105.81.213 via telnet
Guido64
topicstarter
Gedreven Raadgever
  • 262Posts
  • 10Oplossingen
  • 36Likes
Bij mij is de port scan opgehouden. Ik heb er niets meer op gehoord van het abuse team. Het IP kan ik wel pingen maar kan evengoed door iemand anders nu in gebruik zijn. Geen idee dus wat ermee gebeurd is maar de port scan is gestopt. Was overigens een ander IP als waar jij last van hebt en bij mij was het niet alleen telnet poort 23 ook nog 2 andere poorten.
gebruikers-naam
Expert
Expert
  • 574Posts
  • 15Oplossingen
  • 55Likes
Hier nog steeds geen antwoord en geen actie ondernomen door abuse@ziggo.nl, denk dat dit gewoon is toegestaan......

Dit zo in batches meerdere keren per uur....

22:54:14 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:54:15 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:16 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:18 system,error,critical login failure for user 666666 from 84.105.81.213 via telnet
22:54:19 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:54:20 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:21 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:22 system,error,critical login failure for user supervisor from 84.105.81.213 via telnet
22:54:23 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:24 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:25 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:26 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:28 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:29 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:54:30 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:54:31 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:54:32 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:33 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:34 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:35 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:36 system,error,critical login failure for user admin1 from 84.105.81.213 via telnet
22:54:38 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:39 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:40 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:41 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:42 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:43 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:54:45 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:54:46 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:54:47 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:48 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:54:49 system,error,critical login failure for user Administrator from 84.105.81.213 via telnet
22:54:50 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:51 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:53 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:54 system,error,critical login failure for user tech from 84.105.81.213 via telnet
22:54:55 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:56 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:54:57 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:01 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:55:02 system,error,critical login failure for user 888888 from 84.105.81.213 via telnet
22:55:03 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:05 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:06 system,error,critical login failure for user service from 84.105.81.213 via telnet
22:55:07 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:08 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:09 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:10 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:11 system,error,critical login failure for user administrator from 84.105.81.213 via telnet
22:55:12 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:13 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:55:15 system,error,critical login failure for user guest from 84.105.81.213 via telnet
22:55:16 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:55:17 system,error,critical login failure for user guest from 84.105.81.213 via telnet
22:55:18 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:19 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:55:20 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:55:22 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:55:23 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:24 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:25 system,error,critical login failure for user supervisor from 84.105.81.213 via telnet
22:55:26 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:27 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:55:37 system,error,critical login failure for user guest from 84.105.81.213 via telnet
22:55:38 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:55:39 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:41 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:42 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:43 system,error,critical login failure for user Admin from 84.105.81.213 via telnet
22:55:44 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:45 system,error,critical login failure for user support from 84.105.81.213 via telnet
22:55:46 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:47 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:48 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:50 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:51 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:52 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:53 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:55:54 system,error,critical login failure for user user from 84.105.81.213 via telnet
22:55:55 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:55:56 system,error,critical login failure for user mother from 84.105.81.213 via telnet
22:55:57 system,error,critical login failure for user default from 84.105.81.213 via telnet
22:55:59 system,error,critical login failure for user ubnt from 84.105.81.213 via telnet
22:56:00 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:56:01 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:56:02 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:56:03 system,error,critical login failure for user admin from 84.105.81.213 via telnet
22:56:04 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:56:05 system,error,critical login failure for user root from 84.105.81.213 via telnet
22:56:06 system,error,critical login failure for user admin from 84.105.81.213 via telnet

Enz enz
RobertKoopman
Gedreven Raadgever
  • 902Posts
  • 86Oplossingen
  • 247Likes
Nadeel van een dynamisch ip adres?
Als je geen DDNS gebruikt maar je maakt wel verbindingen naar andere servers en dan krijgt er eentje een ander ip adres.
Krijgt de nieuwe eigenaar van dat adres opeens vele inlogpogingen om zijn oren.
Misschien is het wel zoiets.
gebruikers-naam
Expert
Expert
  • 574Posts
  • 15Oplossingen
  • 55Likes
RobertKoopman wrote:
Nadeel van een dynamisch ip adres?
Als je geen DDNS gebruikt maar je maakt wel verbindingen naar andere servers en dan krijgt er eentje een ander ip adres.
Krijgt de nieuwe eigenaar van dat adres opeens vele inlogpogingen om zijn oren.
Misschien is het wel zoiets.


Nee dat is het niet, dit is gewoon een script met een groepje inlognamen en een wachtwoordlijst erachter. Dit gaat zo al weken, kan dat IP zo blokkeren natuurlijk, maar ben van mening als Ziggo streng is voor mijn gedragingen online ze ook dit moeten oppakken, dus ik laat het gewoon doorlopen en laat de logfiles ook naar justitie op meld.nl forwarden door de router, eens kijken wat er gaat gebeuren?
gebruikers-naam
Expert
Expert
  • 574Posts
  • 15Oplossingen
  • 55Likes
De data van 4 uurtjes honeypot 489 pogingen van 84.105.81.213, met 15 verschillende gebruikersnamen, en 67 verschillende wachtwoorden
Bert
Super Expert
Super Expert
  • 49157Posts
  • 3011Oplossingen
  • 10958Likes
Misschien kan Serkan Ziggo met je meekijken, want het lijkt me niet de bedoeling dat Ziggo één van zijn klanten de gelegenheid geeft om uitgebreid te proberen te hacken.
gebruikers-naam
Expert
Expert
  • 574Posts
  • 15Oplossingen
  • 55Likes
Be rt wrote:
Misschien kan Serkan Ziggo met je meekijken, want het lijkt me niet de bedoeling dat Ziggo één van zijn klanten de gelegenheid geeft om uitgebreid te proberen te hacken.


Het is al een tijdje geleden gemeld aan abuse, maar de pogingen gaan gewoon door. Dus die gelegenheid is er ruimschoots, maar misschien is het ook wel toegestaan?
gebruikers-naam
Expert
Expert
  • 574Posts
  • 15Oplossingen
  • 55Likes
@Serkan Ziggo,

1: Kun jij zien wat er aan de hand is, heeft deze klant een gehackt systeem of is hij zelf aan het klooien?
2: Waarom krijg ik geen reactie van abuse en ondernemen deze geen aktie?
3: Als ik nu mijn logfiles voor een uur via smtp.ziggo.nl verzend krijg ik gelijk een blokkade van alle diensten, waarom heeft het ziggo netwerk wel prioriteit, en dat van klanten niet?

Alvast bedankt
https://dshield.org/ipdetails.html?ip=84.105.81.213&183

Uitgelicht topic