Guido64
Expert
Expert
  • 271Posts
  • 10Oplossingen
  • 37Likes

Port scan van ziggo klant

Ik zie sinds paar dagen port scans van een Ziggo klant binnen komen. Dat lijkt me toch niet de bedoeling kan/moet je hier iets mee? Kan je dat melden? Moet je dat melden?

Vooral de poorten
23 (telnet)
8291 (Winbox)
7547 (TR-069)

Ik wil hier niet meteen het bron IP melden want evengoed is het iemand waarvan een pc besmet is en er dus zelf niets aan kan doen.
130 Reacties 130
gebruikers-naam

Gedreven Liefhebber
  • 574Posts
  • 15Oplossingen
  • 55Likes
Ronald Ziggo wrote:
Ik heb een goed gesprek met Abuse gehad.

Allereerst komen er zoveel meldingen binnen dat wordt gefilterd op belangrijkere issues. Denk daarbij vooral aan de apparaten die men zo aansluit, voornamelijk een issue voor de gebruiker zijn/haar eigen privacy. Daarnaast zijn er de grotere meldingen zoals bv de portscans die overlast kunnen veroorzaken.

Abuse behoort op elke mail in ieder geval een ontvangstbevestiging te geven, maar mogen niet in de inhoud treden.
Of iets opgepakt wordt is dus ook niet iets wat ze standaard kunnen vermelden.

In het geval van een melding kan je deze het beste in (Abuse Reporting Format) ARF aanleveren.
Ja... ik weet het, Wikipedia 😉 maar het geeft wel de info: LINKVanwege de hoeveelheid meldingen die Abuse krijgt hebben ze een filter op de info.
Daarom willen ze graag alles in tekst/log format, omdat een screenshot ook niet veel doet als ze verder moeten doorsturen naar de desbetreffende veroorzaker.
Het wordt juist gewaardeerd door Abuse dat klanten met ze meedenken, maar vanwege de hoeveelheid vragen ze om dit stukje input.

Gr,

Een ARF? Dit is een klanten helpen klanten forum, dit is meer van de wal in de sloot...


  • Ik heb een paar keer de logfiles zowel in de mail en als bijlage in .txt formaat verzonden aan abuse@ziggo.nl, om nu te gaan vragen om hetzelfde in een (Abuse Reporting Format) formaat te gaan vragen is natuurlijk gewoon de deur dichtgooien (voor zover deze al een stukje open heeft gestaan).
  • Door deze meldingen nu 3 maanden later om te gaan gooien in een ARF zonder dit ook maar ergens te melden op de Ziggo website of in de voorwaarden en zonder een template of pagina om dit te kunnen melden is natuurlijk gewoon weer een vorm van afhouden/demotiveren/klantje pesten en dat kan echt niet!
  • De ARF is niet eenduidig, en hoofdzakelijk voor e-mail/spam/phishing meldingen opgezet, echter een verder onderzoek gaf mij de volgende vereisten voor een melding:

  • Source IP (zat bij de melding)
  • Destination IP (zat bij de melding)
  • Nature of the abuse (Stond bij de melding en in het onderwerp)
  • Time of the attack (stond in de melding en de logfiles in de mail en als bijlage)
  • Logs (stonden in de mail aan abuse@ziggo.nl en meegezonden als bijlage)

Dat Ziggo niets wil doen aan dit soort meldingen is echt schandelijk, en dan nu dit weer er overheen, en dan ook nog een paar likes van gusto en bert op deze dooddoener en zeer klantonvriendelijke aanpak.

Goed omgaan met klachten over poortscannen en brute-force aanvallen is voor ISP's van het grootste belang. Maar in de praktijk blijken abuse en supportmedewerkers niet altijd te weten wat er wel en niet gewenst/verplicht is.

Dit kan de reputatie van ZIggo aantasten of leiden tot schadeclaims bij een werkelijke inbraak na herhaaldelijke meldingen!

Niet reageren op meldingen, deze negeren en dan later weer een drempel opwerpen is natuurlijk niet meer van deze tijd en zal alleen maar leiden tot frustratie van klanten (als de meldingen straks op alle blacklists komen te staan)! Dan krijgen klanten problemen met e-mail en surfen.

Om het nog wat breder te trekken: Dit zolang laten doorlopen kan ook worden gezien als het faciliteren van cyber terrorisme.........

Nu weinig tijd, kom hier zeker nog op terug!

Nou kom maar op met die LIKES
Ronald Z
Oud Community Moderator
Oud Community Moderator
  • 5201Posts
  • 278Oplossingen
  • 355Likes
Nu gaan we wel even de verkeerde kant op.
Ik steun je volledig in kritisch zijn, maar....

Er staat nergens dat ARF een verplichting is, ze geven aan dat dit het makkelijkste format voor ze is.
Het lijkt mij dat nog geen 1% van de meldingen die Abuse krijgt volgens een ARF format zijn aangeleverd. Ik post het hier omdat er op de community vaak leden zitten met bovengemiddelde kennis. Bij de buurman/vrouw hoef ik niet aan te komen met ARF.

En dan deze, dat Ziggo niets wil doen aan dit soort meldingen? Waar staat dat? Abuse wil juist wel helpen, maar heeft de informatie instroom afgebakend.
Ik begrijp dat jij graag een andere aanpak ziet, daar ben je vrij in, maar om dan maar gelijk dingen te verzinnen?

Makkelijker kan ik het echter niet voor je maken, reactie horen ze te geven en daarover geef ze graag feedback, maar ze willen wel graag de info in tekst.
Wat die info dan moet zijn, even voorbijgaand aan de ARF komt dat neer op: IP's, timestamp, ports en log file(s). Maar volgens mij staan al die dingen aardig in een log file.
Daarnaast werkt Abuse wel aan verbeteringen, maar hebben het gevoel dat de prio vanuit de organisatie daar te weinig ligt.
Het gaat hier wel om een bedrijf met iets meer afdelingen waarvan iedereen vindt dat ze belangrijk zijn, je kunt onmogelijk alles voorrang geven.

Gr,
gebruikers-naam

Gedreven Liefhebber
  • 574Posts
  • 15Oplossingen
  • 55Likes
Ondertussen in the Blacklist....
gebruikers-naam

Gedreven Liefhebber
  • 574Posts
  • 15Oplossingen
  • 55Likes
Ronald Ziggo wrote:
Nu gaan we wel even de verkeerde kant op.
Ik steun je volledig in kritisch zijn, maar....

Er staat nergens dat ARF een verplichting is, ze geven aan dat dit het makkelijkste format voor ze is.
Het lijkt mij dat nog geen 1% van de meldingen die Abuse krijgt volgens een ARF format zijn aangeleverd. Ik post het hier omdat er op de community vaak leden zitten met bovengemiddelde kennis. Bij de buurman/vrouw hoef ik niet aan te komen met ARF.

En dan deze, dat Ziggo niets wil doen aan dit soort meldingen? Waar staat dat? Abuse wil juist wel helpen, maar heeft de informatie instroom afgebakend.
Ik begrijp dat jij graag een andere aanpak ziet, daar ben je vrij in, maar om dan maar gelijk dingen te verzinnen?

Makkelijker kan ik het echter niet voor je maken, reactie horen ze te geven en daarover geef ze graag feedback, maar ze willen wel graag de info in tekst.
Wat die info dan moet zijn, even voorbijgaand aan de ARF komt dat neer op: IP's, timestamp, ports en log file(s). Maar volgens mij staan al die dingen aardig in een log file.
Daarnaast werkt Abuse wel aan verbeteringen, maar hebben het gevoel dat de prio vanuit de organisatie daar te weinig ligt.
Het gaat hier wel om een bedrijf met iets meer afdelingen waarvan iedereen vindt dat ze belangrijk zijn, je kunt onmogelijk alles voorrang geven.

Gr,


Ik wilde je ook helemaal niet aanvallen, en als dat zo is overgekomen dan spijt me dat, maar de reactie van abuse richting mij is NUL, en de reactie richting jou is dus doe het maar in ARF formaat.
Dat had men ook gelijk kunnen doen, sterker nog, als men dit graag zo heeft is het verstandig om daar als Abuse eens een stukje over op de site te schrijven en dit op de website te plaatsen.
Men zou zelfs een formulier kunnen maken wat alleen beschikbaar is voor klanten.

Dat abuse@ziggo.nl niets wil doen aan dit soort meldingen maak ik/wij/de forumgebruikers op uit de manier van behandeling van klachten, en natuurlijk ook uit de manier hoe je zelf geblockt kan worden als je een paar mails achter elkaar via smtp.ziggo.nl verzend, probeer dan maar eens in contact met abuse te komen! Gaat nooit lukken, dan krijg je van de helpdesk te horen, u moet die virusscanner downloaden, "dat gaat niet zonder internet", "u gebruikt linux, dat ondersteunen we niet" u moet die virusscanner downloaden enz.... Abuse is ook op deze momenten onzichtbaar en onbereikbaar.

Maar waar men om vraagt dat is dus precies wat ik heb aangeleverd in mijn mails, en ook daar gebeurt...............

Als men actief dit had opgepakt was de klant op de hoogte en zijn device (ik ga er vanuit dat het niet bewust door de klant gedaan is/wordt) kan worden gecontroleerd en uit zijn netwerk gehaald. Dan is ook zijn eigen locale netwerk gevrijwaard van verdere besmetting en het internet weer een heel klein stukje "veiliger".
Nu weet de klant van niets en kan dit op den duur weer een grote schade aanrichten door een DDOS bijvoorbeeld, daar zit niemand op te wachten.....

Ik maak ook (veel) fouten, maar zal de eerste zijn om dat toe tegeven als iemand met goede argumenten of bewijzen komt, heb ik geen problemen mee.

Ik ben soms wel eens te hard/kritisch/synisch in mijn reacties, en dat zal ook niet altijd in dank worden afgenomen. Ik ben echter tevreden over de diensten van Ziggo, maar er gaat ook heel veel fout.

Veel forumgebruikers zijn in mijn ogen pro-ziggo, en dat is prima, als men mijn bijdragen leest zal men vaak het tegenovergestelde over mij gaan denken, dat is dus absoluut niet zo! Ik ben vaak wel de spiegel die soms even nodig is, ziggo mag daar mee doen wat ze zelf willen....

Maar al gaat het maar een klein beetje mis, iemand moet het zeggen, en zoals je vast al elders hebt gelezen, ik ben gewoon een eikel :wink:

Edit: 10:12:30
RobertKoopman
Expert
Expert
  • 903Posts
  • 86Oplossingen
  • 248Likes
Ronald Ziggo wrote:

Daarnaast werkt Abuse wel aan verbeteringen, maar hebben het gevoel dat de prio vanuit de organisatie daar te weinig ligt.
Het gaat hier wel om een bedrijf met iets meer afdelingen waarvan iedereen vindt dat ze belangrijk zijn, je kunt onmogelijk alles voorrang geven.


Dit vind ik wel een beetje verontrustend klinken.
Abuse wil wel maar de organisatie eigenlijk niet of niet met zoveel man/daadkracht?
Gaat wel over onze veiligheid op het internet.
Ja, daar moet je als klant zelf goed mee bezig zijn maar je provider ook.
hanh

Oud Community-lid
  • 17054Posts
  • 661Oplossingen
  • 3449Likes
Een tussendoortje.

Ik begrijp volledig dat abuse prijs stelt op ARF.

Nou, maak dan een Web Page met een Form waarin je op vriendelijke manier
de gegevens kunt aanleveren.
Moderator geeft toegang. Begrijp best dat dit niet open kan staan voor iedereen.
Hoe moeilijk kan dit zijn?

Kom op zeg. Ik erger me al veel langer aan de slechte toegankelijkheid van abuse tov de gemiddelde klant.

Die kan bv ook ten onrechte worden geblokkeerd voor verzending via smtp.
Ja zelfs met een blokkade van de Internet-verbinding.
Waardoor? Meestal simpelweg door de rammelende Email faciliteiten van Ziggo.

En vervolgens bestaat er geen goed communicatiekanaal met abuse & volgt kastje naar muur. Gelukkig pakken de Moderatoren hier het probleem dan op. Hulde. Is dat nu zo wenselijk? Is nogal gedoe voor de Moderator in kwestie, die wel iets beters te doen heeft. Brrrrrrr.

Gr Han
gebruikers-naam

Gedreven Liefhebber
  • 574Posts
  • 15Oplossingen
  • 55Likes
hanh wrote:
Een tussendoortje.

Ik begrijp volledig dat abuse prijs stelt op ARF.

Nou, maak dan een Web Page met een Form waarin je op vriendelijke manier
de gegevens kunt aanleveren.
Moderator geeft toegang. Begrijp best dat dit niet open kan staan voor iedereen.
Hoe moeilijk kan dit zijn?

Kom op zeg. Ik erger me al veel langer aan de toegankelijkheid van abuse tov de gemiddelde klant.

Die kan bv ook ten onrechte worden geblokkeerd voor verzending via smtp.
Ja zelfs met een blokkade van de Internet-verbinding.
Waardoor? Meestal simpelweg door de rammelende Email faciliteiten van Ziggo.

En vervolgens bestaat er geen goed communicatiekanaal met abuse & volgt kastje naar muur. Gelukkig pakken de Moderatoren hier het probleem dan op. Is dat nu zo wenselijk? Is nogal gedoe voor de Moderator in kwestie, die wel iets beters te doen heeft. Brrrrrrr.

Gr Han


Precies, zeker die smtp blokkade die dus met een script wordt opgeworpen, komt geen mens aan te pas, daar gaat het dus fout!
Maar scripts werken gratis en mensen kosten geld, als men een goed script had om de abuse meldingen om te zetten in een block zou men dat zeker overwegen en de rest van abuse naar huis sturen.
Nou dan heb ik goed nieuws, als ik een pagina mag maken om abuse meldingen te doen zijn die simpel per direct te blokkeren, deze kan dan achter je inlog en wachtwoord hangen om misbruik te voorkomen.
Weer een besparing!
Ronald Z
Oud Community Moderator
Oud Community Moderator
  • 5201Posts
  • 278Oplossingen
  • 355Likes
Dan kwamen de gebruikte woorden en toon iets anders over dan je bedoelde, zand erover, kritiek moet namelijk altijd kunnen. Niemand is ooit (echt)beter geworden door kritiek de mond te snoeren 🙂

Maar ja wat jullie aangeven, het proces moet eigenlijk op de schop en daar is Abuse ook mee bezig. Het is alleen voor nu roeien met de riemen die we hebben. Ze pakken dus wel de meldingen op, zo ook je eerdere melding die volledig volgens het boekje was, maar de communicatie daarin was het issue. Ze horen op elk bericht een reactie te versturen en dat gebeurde niet, waardoor ik er achteraan moest.

Gr,
gebruikers-naam

Gedreven Liefhebber
  • 574Posts
  • 15Oplossingen
  • 55Likes
[video]https://youtu.be/2cpNyCxx1uo[/video]
Gusto
Expert
Expert
  • 1490Posts
  • 34Oplossingen
  • 145Likes
Duidelijk filmpje dat uitlegt hoe ddos werkt. 😄
Guido64
Expert topicstarter
Expert
  • 271Posts
  • 10Oplossingen
  • 37Likes
Ik heb er weer een aan mijn "fiets" hangen
00:01:5c:xx:xx:xx

Het IP is uit regio Best Brabant.
Weer een Arris modem.
Daar is duidelijk iets mee mis lijkt me.

Ik heb nu geen abuse mail meer gezonden.
Als ziggo het mac adres van deze wil hebben dan hoor ik het wel.
E-mail notificaties
Aan Uit

Ontvang een update bij nieuwe reacties in dit topic.

Uitgelicht topic