1
Vraag
2
Reacties
Random

Level 16
  • 2161Posts
  • 101Oplossingen
  • 1125Likes

Port scan van ziggo klant

Ik zie sinds paar dagen port scans van een Ziggo klant binnen komen. Dat lijkt me toch niet de bedoeling kan/moet je hier iets mee? Kan je dat melden? Moet je dat melden?

Vooral de poorten
23 (telnet)
8291 (Winbox)
7547 (TR-069)

Ik wil hier niet meteen het bron IP melden want evengoed is het iemand waarvan een pc besmet is en er dus zelf niets aan kan doen.
130 Reacties 130
gebruikers-naam

Level 1
  • 574Posts
  • 15Oplossingen
  • 55Likes
Guido64 wrote:
Ik heb op de WAN van mijn router een packet capture gedaan daarin zie ik het mac adres van 84.30.56.87 als ik dan de vendor opzoek is het een ARRIS modem. Als ik daar weer op google kom je verschillende zwakheden tegen die Arris modems zouden hebben:

https://www.security.nl/posting/485010/Worm+infecteert+Arris-kabelmodems+via+backdoor
https://www.tomsguide.com/us/arris-att-router-modem-flaws,news-25787.html

gebruikers-naam misschien moet je dat ook eens doen een packet capture met wireshark of tcpdump doen en dan eens kijken welk mac adres die aanvaller heeft en dan de vendor opzoeken (https://macvendors.com/).

Als dat ook een Arris is (vendor: Cadant Inc) dan zit het misschien wel in het gebruik van die modems. Dat daar een zwakheid word uitgebuit.

Misschien interessant om te weten.

Bij deze, het is een Cisco....

https://www.miniwebtool.com/mac-address-lookup/?s=cisco

Maar bijna alle devices hebben de mogelijkheid om deze aan te passen of te clonen, dus wat voor zekerheid geeft dit?

Het is echt aan Ziggo om hier iets zinnigs over te zeggen of aan te doen, die hebben de volledige administratieve rechten op het netwerk en kunnen dit monitoren.
Ik blijf gewoon screenshots opslaan en posten tot het is opgelost, en zo te zien gaat dit een groot topic worden......
gebruikers-naam

Level 1
  • 574Posts
  • 15Oplossingen
  • 55Likes
Het blijft dus gewoon doorgaan......
Random
Topicstarter
Level 16
  • 2161Posts
  • 101Oplossingen
  • 1125Likes
Maar bijna alle devices hebben de mogelijkheid om deze aan te passen of te clonen, dus wat voor zekerheid geeft dit?


Ik was benieuwd of het ook een Arris was. Dat is dus niet zo of inderdaad het kan een spoofed mac adres zijn dus 100% zekerheid heb je niet.
Random
Topicstarter
Level 16
  • 2161Posts
  • 101Oplossingen
  • 1125Likes
Hier blijft het ook maar doorgaan 😕

gebruikers-naam

Level 1
  • 574Posts
  • 15Oplossingen
  • 55Likes
Weer een dag verder....

https://dshield.org/ipdetails.html?ip=84.105.81.213
Random
Topicstarter
Level 16
  • 2161Posts
  • 101Oplossingen
  • 1125Likes
Trouwens over mac adres spoofen gesproken. Ik heb gisteren de wan een ander mac adres gegeven en dus een ander IP gekregen. Sindsdien geen portscans meer van het ziggo adres hierboven die ik een maand lang in de logs heb gezien.
gebruikers-naam

Level 1
  • 574Posts
  • 15Oplossingen
  • 55Likes
Guido64 wrote:
Trouwens over mac adres spoofen gesproken. Ik heb gisteren de wan een ander mac adres gegeven en dus een ander IP gekregen. Sindsdien geen portscans meer van het ziggo adres hierboven die ik een maand lang in de logs heb gezien.


Dat begrijp ik, maar dat is geen oplossing, over een paar dagen poortscannen ze weer je segment en ben je weer aan de beurt.

Een ander IP is voor mij ook meer werk en daar zit ik niet op te wachten.....
(En een ander ip adres nemen omdat een ander partij zich niet aan de regels kan of wil houden is ongeveer hetzelfde als gaan verhuizen na een inbraakpoging)

Klant overtreed afspraken en de wet, Ziggo faciliteert en laat doorgaan na diverse meldingen, en overtreed de wet, Ziggo is aan zet!
gebruikers-naam

Level 1
  • 574Posts
  • 15Oplossingen
  • 55Likes
https://dshield.org/ipinfo.html?ip=84.105.81.213


Random
Topicstarter
Level 16
  • 2161Posts
  • 101Oplossingen
  • 1125Likes
gebruikers-naam wrote:

Guido64 wrote:
Trouwens over mac adres spoofen gesproken. Ik heb gisteren de wan een ander mac adres gegeven en dus een ander IP gekregen. Sindsdien geen portscans meer van het ziggo adres hierboven die ik een maand lang in de logs heb gezien.
Dat begrijp ik, maar dat is geen oplossing, over een paar dagen poortscannen ze weer je segment en ben je weer aan de beurt.

Een ander IP is voor mij ook meer werk en daar zit ik niet op te wachten.....
(En een ander ip adres nemen omdat een ander partij zich niet aan de regels kan of wil houden is ongeveer hetzelfde als gaan verhuizen na een inbraakpoging)

Klant overtreed afspraken en de wet, Ziggo faciliteert en laat doorgaan na diverse meldingen, en overtreed de wet, Ziggo is aan zet!


Voor mij was het niet veel werk met macchanger een ander mac adres opgezocht dat niet aan een bedrijf toegewezen is en dat in pfSense bij de wan erin geplakt. Daarna modem opnieuw gestart en klaar.

Maar ik ben het verder natuurlijk met je eens over de lakse werkwijze van Ziggo, het uitblijven van een reactie, geen uitleg, niets. Het is akelig stil.
gebruikers-naam

Level 1
  • 574Posts
  • 15Oplossingen
  • 55Likes
Guido64 wrote:

gebruikers-naam wrote:

Guido64 wrote:
Trouwens over mac adres spoofen gesproken. Ik heb gisteren de wan een ander mac adres gegeven en dus een ander IP gekregen. Sindsdien geen portscans meer van het ziggo adres hierboven die ik een maand lang in de logs heb gezien.
Dat begrijp ik, maar dat is geen oplossing, over een paar dagen poortscannen ze weer je segment en ben je weer aan de beurt.

Een ander IP is voor mij ook meer werk en daar zit ik niet op te wachten.....
(En een ander ip adres nemen omdat een ander partij zich niet aan de regels kan of wil houden is ongeveer hetzelfde als gaan verhuizen na een inbraakpoging)

Klant overtreed afspraken en de wet, Ziggo faciliteert en laat doorgaan na diverse meldingen, en overtreed de wet, Ziggo is aan zet!
Voor mij was het niet veel werk met macchanger een ander mac adres opgezocht dat niet aan een bedrijf toegewezen is en dat in pfSense bij de wan erin geplakt. Daarna modem opnieuw gestart en klaar.

Maar ik ben het verder natuurlijk met je eens over de lakse werkwijze van Ziggo, het uitblijven van een reactie, geen uitleg, niets. Het is akelig stil.


Het adres aanpassen is in mijn router maar 30 seconden werk, maar dan moet ik wel alle dns servers gaan aanpassen en/of gebruikers het nieuwe ip-adres gaan doorgeven.
En mijn servers, routers, firewalls, load-balancers enz.. gaan herconfigureren, dat kost tijd en de nodige downtime eer alle dns servers weer up to date zijn, dus nee als het niet hoeft liever niet....
gebruikers-naam

Level 1
  • 574Posts
  • 15Oplossingen
  • 55Likes
Guido64 wrote:

gebruikers-naam wrote:

Guido64 wrote:
Trouwens over mac adres spoofen gesproken. Ik heb gisteren de wan een ander mac adres gegeven en dus een ander IP gekregen. Sindsdien geen portscans meer van het ziggo adres hierboven die ik een maand lang in de logs heb gezien.
Dat begrijp ik, maar dat is geen oplossing, over een paar dagen poortscannen ze weer je segment en ben je weer aan de beurt.

Een ander IP is voor mij ook meer werk en daar zit ik niet op te wachten.....
(En een ander ip adres nemen omdat een ander partij zich niet aan de regels kan of wil houden is ongeveer hetzelfde als gaan verhuizen na een inbraakpoging)

Klant overtreed afspraken en de wet, Ziggo faciliteert en laat doorgaan na diverse meldingen, en overtreed de wet, Ziggo is aan zet!
Voor mij was het niet veel werk met macchanger een ander mac adres opgezocht dat niet aan een bedrijf toegewezen is en dat in pfSense bij de wan erin geplakt. Daarna modem opnieuw gestart en klaar.

Maar ik ben het verder natuurlijk met je eens over de lakse werkwijze van Ziggo, het uitblijven van een reactie, geen uitleg, niets. Het is akelig stil.



  • Het is ook geen kwestie van kunnen maar een van willen, en ze zien 'ons' eerder als lastig dan als klant....
  • Wat men wil is je logfiles keer op keer, maar die kan en mag ik uit privacy overwegingen niet blijven delen.....
  • Als er een probleem is van 'onze' kant en je vraagt om bewijzen in de vorm van logfile krijg je ook het antwoord (In verband met privacy verstrekken wij geen logfiles.)
Random
Topicstarter
Level 16
  • 2161Posts
  • 101Oplossingen
  • 1125Likes
Het adres aanpassen is in mijn router maar 30 seconden werk, maar dan moet ik wel alle dns servers gaan aanpassen en/of gebruikers het nieuwe ip-adres gaan doorgeven.
En mijn servers, routers, firewalls, load-balancers enz.. gaan herconfigureren, dat kost tijd en de nodige downtime eer alle dns servers weer up to date zijn, dus nee als het niet hoeft liever niet....


oh oke geen idee joh hoe jij je netwerk hebt ingericht. Ik heb bind9 als authoritative dns server voor mijn lokale domeinen in een virtueel systeempje en unbound in pfsense als dns server. Mijn systemen vinden de dns servers via dhcp dus heb hier dat soort problemen niet gelukkig.

Mijn dns servers zijn altijd een lokaal adres dat niet veranderd. Maar in jouw geval is het anders dan is het minder handig even van IP wisselen.
Random
Topicstarter
Level 16
  • 2161Posts
  • 101Oplossingen
  • 1125Likes

  • Het is ook geen kwestie van kunnen maar een van willen, en ze zien 'ons' eerder als lastig dan als klant....
  • Wat men wil is je logfiles keer op keer, maar die kan en mag ik uit privacy overwegingen niet blijven delen.....
  • Als er een probleem is van 'onze' kant en je vraagt om bewijzen in de vorm van logfile krijg je ook het antwoord (In verband met privacy verstrekken wij geen logfiles.)


Ja precies ik heb dat ook niet gedaan een volledig log bestand opsturen. Nou ja ik heb met grep all de log regels waar dat portscan ip in voorkwam eruit gefilterd en dat toen naar ze terug gezonden nadat ze mijn screen shot niet accepteerden. Ook heb ik met tcpdump een capture gedaan en de regels waar dat ip in voor kwam eruit gepikt en doorgestuurd.

Daarna niets meer erop gehoord. Ik heb pas nog Ronald Ziggo een pm gezonden hij vond het ook vreemd allemaal hij vroeg nog wanneer ik precies die mails gezonden had naar abuse maar er daarna ook niets meer over gehoord dus ik vermoed dat Ronald Ziggo er ook geen antwoord op krijgt via zijn kanalen.
gebruikers-naam

Level 1
  • 574Posts
  • 15Oplossingen
  • 55Likes
Guido64 wrote:
Daarna niets meer erop gehoord. Ik heb pas nog Ronald Ziggo een pm gezonden hij vond het ook vreemd allemaal hij vroeg nog wanneer ik precies die mails gezonden had naar abuse maar er daarna ook niets meer over gehoord dus ik vermoed dat Ronald Ziggo er ook geen antwoord op krijgt via zijn kanalen.


Een vreemde zaak, ondertussen een klacht bij abuse@ziggo.nl, justitie, abuse@as9143.net en natuurlijk bij info@meld.nl, niemand die er werkelijk wat mee wil doen, en dat is Nederland ten voeten uit....

Als er een probleem is maken we een regel of wet, dan lost het zich vanzelf op, zo niet... Handhaven doen we niet dat kost teveel moeite!

Ondertussen bouwen de criminelen lekker verder aan hun botnetjes en de klant zit weer enkele dagen zonder internet of tv, en dan wast men de handen in onschuld en is het een terroristische aanslag of overmacht om onder compensatie uit te komen.......

Het is tijd dat de minister gaat ingrijpen in dat soort zaken!

https://dshield.org/ipdetails.html?ip=84.105.81.213
gebruikers-naam

Level 1
  • 574Posts
  • 15Oplossingen
  • 55Likes
@Ronald Ziggo https://dshield.org/ipdetails.html?ip=84.105.81.213
Ronald Z
Oud Community Moderator
Oud Community Moderator
  • 5201Posts
  • 278Oplossingen
  • 357Likes
Ik kan wel weer reageren, maar het Abuse team is die info nodig.
Meer dan doorgeven kan ik niet en dat is al gebeurd.

Verder ben ik achter de schermen nog bezig met Abuse, want als wij elke keer moeten navragen helpt dat de communicatie niet geweldig.

Gr,
gebruikers-naam

Level 1
  • 574Posts
  • 15Oplossingen
  • 55Likes
Ronald Ziggo wrote:

Verder ben ik achter de schermen nog bezig met Abuse, want als wij elke keer moeten navragen helpt dat de communicatie niet geweldig.


Welke communicatie? Alle reacties hier komen omdat er 0 communicatie vanuit abuse en ziggo is over dit voorval.
gebruikers-naam

Level 1
  • 574Posts
  • 15Oplossingen
  • 55Likes
Ronald Ziggo wrote:
Ik kan wel weer reageren, maar het Abuse team is die info nodig.
Meer dan doorgeven kan ik niet en dat is al gebeurd.


Hoeveel informatie heeft abuse nodig, ik neem aan dat jullie zelf wel kunnen zien wie wat uitspookt op het netwerk!
Zou een mooie zaak zijn als justitie straks alle info over mijn IP wil hebben en Ziggo dat aan mij moet komen vragen. Ziggo is verplicht alle verbindingen te monitoren en te loggen, de vraag om steeds meer logfiles bij de klant is meer om reden van demotivatie dan die van noodzaak.
Random
Topicstarter
Level 16
  • 2161Posts
  • 101Oplossingen
  • 1125Likes
Ik denk dat Ronald en zijn collega's niet meer kunnen doen dan ze al doen en gedaan hebben in deze want hier gaan andere mensen over en die afdeling (abuse) werkt onduidelijk naar buiten toe.

Ik denk ook dat het een gevoelig punt is als je het gaat hebben over of ziggo admins wel of niet cliënten monitoren. Enerzijds zou je dat wel willen om besmette hardware of foute mensen eruit te pikken en anderzijds wil je ook privacy dat niet zo maar mensen in je netwerk verkeer zitten mee te kijken.

Ik denk dat daar het pijnpunt zit. Wat laten we hier over naar buiten weten. Maar ja moet dat niet gewoon transparant zijn? Is dat transparant?

Ik heb er wat over proberen te vinden. Ik kwam o.a. hier op uit:

https://europa.eu/youreurope/citizens/consumers/internet-telecoms/index_nl.htm

Ik heb niet alles op die website gelezen maar wat ik met mijn 3 hersencellen zo zit te bedenken en me probeer te verplaatsen in iemand die een botnet wil opbouwen en dan die port scanner die mij aan het scannen was is dat uberhaupt illegaal als je met nmap iemands poorten scant ligt aan de intentie misschien heeft iemand wel toestemming gegeven of juist gevraagd of je zijn ip wil scannen. Je kan van buitenaf niet zien of het een illegale actie is vanuit de schoenen van een ISP gezien.

Dus bij scannen alleen kan je als ISP niks. Als zo'n scan dan een systeem ontdekt waarvan bv de router inlog van buiten af bereikbaar is kan ik mij zo voorstellen dat je dan de daadwerkelijk aanval vanaf een ander ip doet zodat die port scanner gewoon verder kan scannen zonder eruit te worden gehaald.

Als isp kan je misschien niets aan die portscanner doet dus die word met rust gelaten terwijl de systemen die daadwerkelijk hardware firmware infecteren of op systemen inbreken ergens anders vandaan gebeurd ander land waarschijnlijk.

Zodra die besmet is gaat die misschien ook weer als port scanner werken en allemaal zijn ze inzetbaar als er een ddos aanval plaats moet vinden.

Ga je als ISP buiten je boekje als klanten melden dat ze gescand worden en je dan dat ip gaat monitoren?

Mij lijkt dat hier regels voor zouden moeten zijn. Waar kan ik dat vinden?
gebruikers-naam

Level 1
  • 574Posts
  • 15Oplossingen
  • 55Likes
Guido64

Computervredebreuk is zeker strafbaar, en het faciliteren ook.

De bekendste vorm van computercriminaliteit is het opzettelijk en wederrechtelijk binnendringen in een computersysteem of netwerk. Dit heet computervredebreuk (soms ook wel computerinbraak of hacken) en is een misdrijf. Hierop staat een straf van maximaal 1 jaar cel of geldboete van 16.750 euro (art. 138ab lid 1).

De belangrijkste term in deze tutorial is computervredebreuk. Dit betekent "Het zich ongeoorloofd toegang verschaffen tot een computersysteem" en is een hele brede definitie. In de kern komt het er op neer dat je jezelf geen toegang mag geven tot een computer of netwerk waar je eigenlijk geen toestemming voor hebt. Het is hierbij niet direct van belang of er een beveiliging actief is, ook zonder beveiliging mag je alleen gebruik maken van een computer waar je expliciet toestemming voor hebt gekregen. De manier waarop een systeem betreden wordt staat niet specifiek in de wet, en kan dus heel breed geïnterpreteerd worden.
Je zal je misschien afvragen, als er niet eens een beveiliging actief hoeft te zijn, ben ik dan ook strafbaar als ik met mijn mobieltje verbinding maak met een onbeveiligd draadloos netwerk wat niet van mij is? Het antwoord hierop is gelukkig: Nee. Het moet namelijk wel op de een of andere manier duidelijk zijn dat dat je je op verboden terrein begeeft. Als het SSID van zo’n onbeveiligd netwerk daarentegen ‘Verboden toegang’ of ‘Privé-netwerk’ heet, dan had je kunnen weten dat je geen verbinding mocht maken en ben je dus wel strafbaar.
Er worden grofweg 4 categorieën strafbare feiten onder de noemer computervredebreuk in de wet bepaald:

  • Doorbreken van een beveiliging: bijvoorbeeld als je een proces laat crashen wat er normaliter voor zorgt dat de gegevens op een systeem afgeschermd zijn, of bijvoorbeeld een SQL-injection aanval uitvoert waardoor de gebruikersauthenticatie omzeild wordt
  • Een technische ingreep: door het laten overflowen van een buffer, expres uitvoeren van een bug, of op een andere manier het systeem zover krijgen dat het je onterecht toegang verleent tot bepaalde gegevens
  • Valse signalen of een valse sleutel: wanneer je iemand zijn wachtwoord afkijkt of raadt door bijvoorbeeld een brute force aanval, ook IP-spoofing valt hieronder
  • Het aannemen van een valse hoedanigheid: hieronder kunnen zaken zoals social engineering en phishing worden verstaan.
E-mail notificaties
Aan Uit

Ontvang een update bij nieuwe reacties in dit topic.

Uitgelicht topic