Vraag
Reacties
Oplossing
Random
Level 16

Port scan van ziggo klant

Ik zie sinds paar dagen port scans van een Ziggo klant binnen komen. Dat lijkt me toch niet de bedoeling kan/moet je hier iets mee? Kan je dat melden? Moet je dat melden?

Vooral de poorten
23 (telnet)
8291 (Winbox)
7547 (TR-069)

Ik wil hier niet meteen het bron IP melden want evengoed is het iemand waarvan een pc besmet is en er dus zelf niets aan kan doen.
0 Kudos
130 Reacties 130
Meldingen
Aan Uit
Random
Level 16
Topicstarter
Ze lezen duidelijk wel mee gezien dat ze mijn foutje eruit hebben gehaald. Maar reageren of helpen om dit op te lossen dan weer niet. Ik ga dit straks eens op twitter vragen waarom ziggo niets doet om het ontstaan van botnets te voorkomen.
0 Kudos
Random
Level 16
Topicstarter

Source: 84.30.56.87 / 00:01:5c:xx:xx:xx
vendor: Cadant Inc
Maker van o.a. Arris cable modems.
0 Kudos
amvih
Level 11
Guido64 wrote:
Ze lezen duidelijk wel mee gezien dat ze mijn foutje eruit hebben gehaald. Maar reageren of helpen om dit op te lossen dan weer niet. Ik ga dit straks eens op twitter vragen waarom ziggo niets doet om het ontstaan van botnets te voorkomen.


Een mod is geen medewerker van Ziggo volgens mij, dus oplossen zal niet gaan!
0 Kudos
Random
Level 16
Topicstarter
Oh oke dat zo kunnen inderdaad.
Bedankt amvih
0 Kudos
Evert
Level 18
T.E.A.M.
amvih en Guido64 Een moderator is zeer zeker wel een medewerker van Ziggo 🙂
Zij zijn juist de enige medewerkers van Ziggo hier op de community, vandaar dat er Ziggo in hun naam staat.
Het vervelende is alleen, zij zitten niet in het abuse team, dus direct kunnen zij niets betekenen. Maar misschien kunnen ze wel verhaal halen wat er nu gebeurt en of daar verandering in komt 🙂
0 Kudos
Bert
Level 21
T.E.A.M.
Een mod is wel een medewerker van Ziggo, iedereen met Ziggo achter haar/zijn naam is Ziggo medewerker. amvih
Maar zij zijn niet van de abuse afdeling of van nog verder achterliggende netwerk afdelingen en zij kunnen natuurlijk niet voor een andere afdelingen gaan spreken en zij kunnen niet weten waar al die andere afdelingen mee bezig zijn en hoe die al dan niet met een onderzoek bezig zijn en hoe zij gaan reageren naar de hacker dan wel de aangevallene.
Zij moeten ook wachten tot er naar hen gecommuniceerd wordt.
0 Kudos
Bert
Level 21
T.E.A.M.
Evert96 Dat ging weer eens synchroon.:relaxed:
0 Kudos
Evert
Level 18
T.E.A.M.
Be rt Haha, precies :sweat_smile: Maar je hebt een mooie aanvulling op mij, dus is het alleen maar beter :thumbsup_tone3:
0 Kudos
Random
Level 16
Topicstarter
Bedankt Be rt en Evert96 duidelijk verhaal. Nou ja dan wachten we maar gewoon even af. Of er uberhaupt op gereageerd gaat worden.

Ik vind het wel een beetje apart dat Ziggo baalt als een stekker als er weer eens een DDOS aanval is op hun DNS servers dat komt dan breed in het nieuws maar als we dit soort dingen melden die aan de bron liggen van die aanvallen ze daar niet op reageren.

Ik heb vanavond ook een Twitter gezonden met een verwijzing naar dit forum bericht daar is nog geen reactie op gekomen. Kan zijn dat ze er intern misschien mee bezig zijn of dat het gewoon druk is.

Maar ja ik zou toch verwachten dat netwerk beheerders hier super snel opduiken.
0 Kudos
Evert
Level 18
T.E.A.M.
Het abuseteam is geen helpdesk die regelmatig de klanten kan inlichten. Hoe meer ze dat doen, hoe minder tijd er is om zaken op te lossen (wat hun taak is), al zou een update in de zin van "we zijn ermee bezig" of "het is opgelost" wel op zijn plaats zijn natuurlijk!

Wie weet kan Ronald Ziggo intussen al een update geven? 🙂
0 Kudos
Random
Level 16
Topicstarter
Zoiets kan je automatiseren. Als ze een auto mail zenden als je een jpg als bijlage inzend kunnen ze ook met tickets werken bv is iets opgelost dan tik je ticket opgelost ziet de melder dat het is opgelost/aangepakt. Moet je kijken hoe PostNL een heel traject van een pakket je kunnen laten mee volgen met die scanners. Je bent een grote IT speler of je bent het niet. Zoiets kan ook voor een groot deel geautomatiseerd worden. Netwerk beheerder moeten ook hun taken krijgen en melden bij hun meerdere daar kan je ook een knopje bij maken waar dan opgedrukt word waarmee in een database komt te staan dat case x opgelost en afgesloten is.

Ik heb domeinen va klanten bij diverse hosting bedrijven daar hebben ze allemaal een soort van ticket systeem voor problemen dat werkt perfect.
0 Kudos
gebruikers-naam
Level 1
Denk niet dat Ziggo wil dat de klanten op hoogte zijn van alle processen en opvolging, dat zou alleen maar ondersteuning van klachten over doorlooptijd zijn.....

Ondertussen..... https://dshield.org/ipdetails.html?ip=84.105.81.213

efok
Level 17
@gebruikers-naam waarom gebruik je überhaupt telnet? Niet het meest veilige protocol. Die poort trekt sowieso de aandacht. Als het niet van een Ziggo-IP is dan wel van half China. Of zit die er alleen voor je honey-pot? Dan trek je vanzelf geboefte aan, want daar is het een honeypot voor. Je hebt het gemeld bij abuse, super. Als ik je kennis niveau goed inschat ben jij prima in staat dit specifieke IP te blokken op je firewall, als je er last van hebt. Dan is voor jou de kous toch af? Ik zou er persoonlijk dan niet te veel van wakker liggen.
Random
Level 16
Topicstarter
0 Kudos
gebruikers-naam
Level 1
efok wrote:
@gebruikers-naam waarom gebruik je überhaupt telnet? Niet het meest veilige protocol. Die poort trekt sowieso de aandacht. Als het niet van een Ziggo-IP is dan wel van half China. Of zit die er alleen voor je honey-pot? Dan trek je vanzelf geboefte aan, want daar is het een honeypot voor. Je hebt het gemeld bij abuse, super. Als ik je kennis niveau goed inschat ben jij prima in staat dit specifieke IP te blokken op je firewall, als je er last van hebt. Dan is voor jou de kous toch af? Ik zou er persoonlijk dan niet te veel van wakker liggen.


Dat is niet waar het om gaat, ik kan alles blokkeren natuurlijk, maar waarom zou abuse geen actie ondernemen tegen dit soort gedrag, het waarschijnlijk een of ander apparaat wat in een botnet hangt, en vandaag of morgen weer voor andere zaken ingezet gaat worden.
En dan zijn de rapen gaar.....

Of het mag op het Ziggo netwerk, dat kan natuurlijk ook, maar dan zou ik dat ook graag horen.

Dus vandaar de melding, en later na totaal geen enkele reactie van abuse@ziggo.nl de honeypot met automatische meldingen naar Dshield en een paar andere blacklists.

En die Chinezen.... Als ik daar een abuse melding doe is het binnen een dag afgelopen, maar vaak al binnen enkele uren!

En dan hebben we nog de Ziggo klantjes die bij Wordpress proberen in te loggen met scripts, die worden na 5 automatisch geblokkeerd dus daar zijn we dan vanaf, maar wat doen ze verder, en wanneer ze succes hebben wat dan?
Het zijn strafbare feiten en die behoor je te melden bij abuse, die vervolgens niets laten horen en zich onbereikbaar achten een algemeen email adres verschuilen.

Ik begrijp dat de meeste gebruikers van het forum denken laat toch gaan, dat heb ik ook met heel veel zaken waar mensen hier over klagen, maar als niemand hier iets van zegt gaat het dus gewoon door, tot er straks weer een grootscheepse aanval op een of ander bedrijf of Ziggo zelf is zoals Guido64 al terecht aangaf, dan zijn ze zogenaamd wel in een keer druk bezig.......

De Ziggo ondersteuning is afgeschermd en laat bij doorzetten, onderzoek of afhandeling niets aan de klant weten, dat is in mijn ogen zeer storend en ongewenst, maar in de Visie van Ziggo waarschijnlijk een vorm van zelfbescherming.

En als je niet klaagt, zal er niets veranderen.....

Nieuw topic, wat wil u veranderen/verbeteren aan de Ziggo Helpdesk en ondersteuning.....
RobertKoopman
Level 7
Toch bizar dat Ziggo er niets aan/mee doet?
Moet je eens één mailtje “verkeerd” verzenden krijg je meteen dit:
https://community.ziggo.nl/stel-je-vraag-211/email-geblokkeerd-vanwege-vpn-verbinding-30416/index1.h...
0 Kudos
efok
Level 17
gebruikers-naam wrote:
Dat is niet waar het om gaat, ik kan alles blokkeren natuurlijk, maar waarom zou abuse geen actie ondernemen tegen dit soort gedrag, het waarschijnlijk een of ander apparaat wat in een botnet hangt, en vandaag of morgen weer voor andere zaken ingezet gaat worden.
En dan zijn de rapen gaar.....

Of het mag op het Ziggo netwerk, dat kan natuurlijk ook, maar dan zou ik dat ook graag horen.

Dus vandaar de melding, en later na totaal geen enkele reactie van abuse@ziggo.nl de honeypot met automatische meldingen naar Dshield en een paar andere blacklists.

En die Chinezen.... Als ik daar een abuse melding doe is het binnen een dag afgelopen, maar vaak al binnen enkele uren!


Je hebt natuurlijk gelijk dat het hier specifiek gaat om een apparaat wat waarschijnlijk in een botnet hangt en dat dat gevaar mee brengt en Ziggo daar een verantwoordelijkheid in heeft. Prima dus om het te melden bij abuse. Dat heb je ook gedaan. Hoe de abuse afdeling bij Ziggo werkt, geen idee. Wel traag in elk geval.
0 Kudos
Random
Level 16
Topicstarter
gebruikers-naam wrote:
Denk niet dat Ziggo wil dat de klanten op hoogte zijn van alle processen en opvolging, dat zou alleen maar ondersteuning van klachten over doorlooptijd zijn.....


Dat lijken mij zinloze klachten want de ene klacht is de andere niet. Sommigen klachten hebben een andere aanpak nodig en duren langer. Dat is iets waar ik dan weer niet op zou reageren en mensen uit zichzelf zouden moeten kunnen begrijpen. Bij hosting providers waar ik klant ben krijg je bij de aanmaak van een ticket altijd een antwoord dat het aangepakt word of de oorzaak word uitgelegd of er word met je overlegt. Maar daar wil Ziggo dan waarschijnlijk geen man kracht op inzetten nou ja dan kan je dat reageren op tickets nog weg laten of je kan zien dat het gelezen is en in behandeling is dat kan dan weer geautomatiseerd. En als het opgelost is kan je het ticket als opgelost markeren. Dat is allemala nog altijd beter dan geen reactie of helemaal niets doen.

Ziggo moet niet op de neus kijken als straks weer eens een landelijke storing is als een of andere tiener de DNS servers lam legt.
0 Kudos
gebruikers-naam
Level 1
0 Kudos
Random
Level 16
Topicstarter
Ik heb op de WAN van mijn router een packet capture gedaan daarin zie ik het mac adres van 84.30.56.87 als ik dan de vendor opzoek is het een ARRIS modem. Als ik daar weer op google kom je verschillende zwakheden tegen die Arris modems zouden hebben:

https://www.security.nl/posting/485010/Worm+infecteert+Arris-kabelmodems+via+backdoor
https://www.tomsguide.com/us/arris-att-router-modem-flaws,news-25787.html

gebruikers-naam misschien moet je dat ook eens doen een packet capture met wireshark of tcpdump doen en dan eens kijken welk mac adres die aanvaller heeft en dan de vendor opzoeken (https://macvendors.com/).

Als dat ook een Arris is (vendor: Cadant Inc) dan zit het misschien wel in het gebruik van die modems. Dat daar een zwakheid word uitgebuit.

Misschien interessant om te weten.