Beantwoord

Abuse team - quarantaine zonder waarschuwing

  • 24 juni 2014
  • 19 reacties
  • 5319 keer bekeken

Zojuist voor de tweede keer in quarantaine gezet door het Abuse team, en wederom zonder enige waarschuwing vooraf.

 

Bij de vorige keer (vorige week) alles gescanned en niets gevonden. De volgende vragen gesteld aan het Abuse team, maar hierop geen antwoorden gekregen:

 

-Zien jullie het probleem nog steeds op mijn IP address? -Sinds welke datum zien jullie dit probleem?-Als het probleem er nog steeds is, kan ik dan bellen? Dan kunnen we een voor een de apparatuur uitschakelen om de bron te vinden. 

Is er een mogelijkheid om in contact te komen met dit Abuse team anders dan via email waarop je geen antwoord op je vragen krijgt?

icon

Beste antwoord door HansRemmerswaal17 25 juni 2014, 16:33

Ook bij mij bleken de velen waarschuwing mails bij mijn @kpnmail.nl mail account te staan. Snel de mail foreward aangezet naar mijn gmail account.

Ofwel, mijn excuses aan het Abuse team!

Bekijk origineel

19 reacties

Reputatie 7
Badge +8
nog een tip voor linux gebruikers en voor anderen, het is sowieso verstandig om een extra liveCD (of USB of oud geheugenkaartje) achter de hand te hebben met en goede AV scanner en schone OS.

http://www.freedrweb.com/livecd/

Alsof andere DNS-servers wel privacy bieden.... BIj mijn zoon op de pc bleken enkele sites erg traag te laden, maar via 8.8.4.4. ging alles ineens supersnel. Kan dus een groot verschil maken.

Reputatie 7
FrankDeGroot schreef:
Kan ik overigens ook gewoon naar de 8.8.4.4. DNS server van Google verwijzen? DIe is namelijk lekker snel.


Als je geen waarde hecht aan (commerciële) privacy ....

Beste Raul,

Mijn dank voor je antwoord. Duidelijk is nu ook welke gevaar die open poorten blijkbaar opleveren. Ik zal het ook nog doorgeven aan mijn systeembeheerder.

Overigens is het opvallend dat die aanval (of constateerde het Abuseteam alleen de open poorten?) blijkbaar plaatsvond op de dag dat het signaal werd doorgegeven en ik de experiabox in gebruik heb genomen. Blijkbaar 'zien' buitenstaanders dat een experiabox in gebruik wordt genomen en hopen dan nog op openstaande poorten. Wellicht een tip om daar rekening mee te houden bij andere nieuwkomers.

Groetjes,

Frank

Reputatie 5
Badge +11
Hallo Hans,

je excuses zijn aanvaard, maar niet nodig. :D Ik wil jou ook graag bedanken! De mails forwarden naar een online maildienst is denk ik een handige tip! Daar kunnen andere forumbezoekers ook weer hun voordeel mee doen.
@Frank: Je kan inderdaad gewoon de DNS van Google gebruiken. Met de Zylex is jouw eigen it-omgeving goed beveiligd. Maar doordat de poorten openstonden is het wel mogelijk om via jouw modem anderen aan te vallen. Denk aan een DDoS aanval. De attacker stuurt vele duizenden commando's naar het modem om daarmee een andere site aan te vallen. Begin dit jaar zijn zo bijvoorbeeld digiD en nederlandse banken aangevallen. Als je de poorten die openstonden al zou gebruiken (komt heel weinig voor), dan is de oplossing de poorten te sluiten en in je firewall access te geven aan de IP's die deze poorten nodig hebben (om van buiten naar binnen te mogen). Maar dat staat verder los van het DNS-verhaal.

Met vriendelijke groet,

Raul.

Ook bij mij bleken de velen waarschuwing mails bij mijn @kpnmail.nl mail account te staan. Snel de mail foreward aangezet naar mijn gmail account.

Ofwel, mijn excuses aan het Abuse team!

Reputatie 5
Badge +11
Dag Frank,

Dat weet ik niet zo snel over de DNS-server van Google, maar ik vraag het morgen aan een collega en dan kom ik er bij jou op terug!

Met vriendelijke groet,

Raul.

Beste Raul,

Ja, mijn systeembeheerder heb ik net bovenstaande mail doorgestuurd en hij blijkt die poorten dus na die quarantaine melding dichtgezet te hebben bij mij. Hij blijft het wel vreemd vinden, omdat er achter die poorten dus een Zylex harde firewall staat met gebruikersnaam en wachtwoord beveiliging. Feitelijk kom je er dus toch niet in.

Hij gaf ook aan dat het gevonden virus er dan weinig mee te maken heeft.

Kan ik overigens ook gewoon naar de 8.8.4.4. DNS server van Google verwijzen? DIe is namelijk lekker snel.

Groetjes,

Frank

Reputatie 5
Badge +11

Hallo Frank,
 

Graag gedaan! De oorzaak van het probleem is in jouw geval niet een virusbesmetting op je computer(s), maar een verkeerde instelling in jouw modem/router. Je hebt poorten open staan (welke is afhankelijk van de waarschuwing die je hebt gekregen). Het kan ook worden veroorzaakt doordat je gebruik maakt van de optie 'default server' (DMZ) in het modem/router. Je dient deze optie niet in te schakelen maar slechts de poorten die je nodig hebt voor gebruik te configureren. Als je niet weet hoe je de configuratie moet aanpassen, dan adviseer ik een fabrieksreset uit te voeren op het modem met deze instructie. Ik denk dat het om een open resolver gaat, dan moet UDP poort 53 worden gesloten. Maar de bovenstaande twee oplossingen verhelpen het probleem ook.
 
Met vriendelijke groet,
Raul.

Beste Raul,

Mijn dank voor je reactie. Ook ik heb inmiddels een reactie gehad van het Abuseteam dat de problemen op mijn ip-adres momenteel zijn opgelost.

[Update van dit bericht] Inmiddels ben ik er achter dat het Abuseteam mij een week van te voren heeft bericht via mijn@kpnmail.nl account. Maar dat mailadres gebruik ik normaliter niet. Jammer, want men weet mijn goede mailadres. Feitelijk is mijn beschuldiging van quarantaire-plaatsing zonder vooraankondiging dus niet juist gebleken. Gelukkig maar. 

Ik lees:

Er is een SNMP agent op uw internetaansluiting aanwezig, welke door derden kan worden misbruikt. Deze SNMP agent neemt commando's aan vanaf elk willekeurig IP-adres. Een dergelijke agent kan misbruikt worden voor het uitvoeren van DDoS aanvallen. Het

is belangrijk dat u zo snel mogelijk maatregelen neemt. Dit probleem kan worden veroorzaakt doordat u een niet goed geconfigureerde SNMP agent heeft geïnstalleerd.

 

U kunt ervoor kiezen de SNMP poorten UDP 161 en UDP 162 te sluiten. Hierdoor kunnen derden geen SNMP verzoeken meer zenden richting uw netwerk. Gezien SNMP een management protocol is, adviseren wij u deze poorten nooit te openen richting het internet.

 

Ook sommige modems bieden SNMP services aan. De door KPN geleverde modems hebben dit standaard niet ingeschakeld staan. Indien u een eigen modem heeft, verzoeken wij u de configuratie aan te passen, zodat er geen SNMP verzoeken meer kunnen worden

gericht aan uw modem.

Een vraag: Avast vond bij mij een win32.rootkit-gen virus. Kan dat met die melding te maken hebben? Ik laat mijn systeembeheerder ook nog even naar deze melding kijken.

Heb nu ook Emisoft ernaast draaien om een dergelijke besmetting in de toekomst te voorkomen.

Reputatie 5
Badge +11
Beste allemaal,

 

Ik begrijp dat het ontzettend naar en zuur is om in quarantaine gezet te worden. Je voelt je dan soms als een klein jongetje in de hoek gezet. Dat is absoluut niet wat het Abuse Team of KPN beoogt! Ik bespeur hier een hoop onbegrip over de handelwijze en communicatie naar de klant toe. Het topic heeft dan ook de naam "Abuse team - quarantaine zonder waarschuwing" meegekregen van de topicstarter.

 

Het Abuse Team stuurt wel degelijk waarschuwingen en instructies naar de klant. Heel veel klanten krijgen eerst een aantal keren een waarschuwing zonder blokkade! Een hoop mensen reageren daar niet op totdat de verbinding daadwerkelijk is geblokkeerd. Helaas worden onze instructies vaak ook niet uitgevoerd. De klant wil, begrijpelijkerwijs, zo snel mogelijk zijn volledige verbinding weer werkend hebben. Dat kan de klant twee keer zelf via een formulier in werking stellen. Is het probleem dan niet opgelost, is het wachten tot je weer in quarantaine beland. Dat is een geautomatiseerd proces. Als de instructies goed worden gevolgd is het meestal in één keer verholpen, al kunnen sommige virussen erg hardnekkig zijn! Meestal hebben klanten ook meer dan één pc en dan moeten alle pc's/laptops opgeschoond worden. Het Abuse Team adviseert de klant een gratis virusscanner die het beste resultaat geeft bij het desbetreffende virus.

 

Klanten vragen vaak om bewijs en logfiles. Maar als dat gestuurd wordt, dan begrijpen ze er soms niets van. Dan volgt er een post op het forum in de hoop dat iemand er wel iets zinnigs over te zeggen heeft.

 

Het in quarantaine plaatsen kan abrupt zijn (het is immers geautomatiseerd), maar het is in ieders belang dat het gebeurt. Virussen zijn een complexe materie. Sommige virussen versturen grote hoeveelheden spam en dat gebeurt voor de klant vaak ongemerkt. Grijpt Abuse niet in dan komen de KPN-mailservers op externe blacklists. Je kunt je wel voorstellen wat de impact is als geen enkele klant meer kan mailen naar Hotmail- of Gmailadressen. Bovendien stelen veel virussen persoonlijke gegevens om bijvoorbeeld een bankrekening mee te plunderen. Dus het is uiteindelijk ook in het belang van de klant! Ik hoop dat ik hiermee een aantal zaken naar de klant toe heb kunnen verduidelijken.

Met vriendelijke groet,

Raul.

 

Meer informatie over het Abuse Team vind je via deze link!

 

Zie hier onder een voorbeeld van een waarschuwingsmail.

 


"TORPIG MEBROOT Virus

 

Geachte heer/mevrouw,

 

KPN heeft een melding ontvangen waaruit blijkt dat uw internetaansluiting, buiten uw weten, onrechtmatig wordt gebruikt. Dit kan voor u en andere internetgebruikers vervelende gevolgen hebben. Het is daarom belangrijk dat u direct maatregelen neemt.

 

Een of meerdere computers die gebruik maken van uw internetaansluiting zijn besmet met een Rootkit-virus. Een kenmerk van dit virus is, dat deze zich diep in het systeem nestelt. Dit maakt het soms lastig deze te verwijderen. Daarnaast merken veel virusscanners een besmetting met dit virus niet op.

 

Wij verzoeken u op alle aanwezige computers/laptops de onderstaande 2 stappen te doorlopen:

 

1. Volg ons stappenplan om virussen te verwijderen op: http://www.kpn.com/virusverwijderen

Na het scannen maakt het programma een logbestand aan met de resultaten van de scan. Graag ontvangen wij de inhoud van dit logbestand.

 

2. Voer een scan uit met de gratis Sophos tool.

 

U kunt dit programma downloaden via:

 

http://www.sophos.com/en-us/products/free-tools/virus-removal-tool/download-now.aspx

 

Nadat de tool is gedownload, kunt u deze installeren en daarna uitvoeren.

 

De scan kan enige tijd duren. Wij adviseren u de scan niet te onderbreken en verder geen handelingen uit te voeren op de computer totdat deze klaar is.

 

Zodra de scan is voltooid, kunt u de gevonden zaken verwijderen door de knop ‘Start Cleanup’ te gebruiken. Zodra dit gedaan is kunt u via ‘Details’ zichtbaar maken wat er gevonden en verwijderd is. In dit venster staat de optie om het logbestand te bekijken en op te slaan. Graag ontvangen wij de inhoud van dit logbestand.

 

LET OP: Het is belangrijk dat u zo spoedig mogelijk een reactie stuurt op deze waarschuwing.

 

Indien wij geen reactie ontvangen, en het onrechtmatig gebruik doorgaat, dan kan het zijn dat wij uw internetaansluiting tijdelijk in een beveiligde omgeving plaatsen. Dit zal inhouden dat u (tot het probleem is opgelost) alleen nog gebruik kunt maken van een beperkt aantal internetsites.

 

Ook aanvullende vragen kunt u stellen in een antwoord op deze mail."


 

Ondertussen wel een reactie van het Abuse team gekregen met een log file:

Troj/Mdrop-FGJ cacerts.digicert.com [Classification: Trojan_mdrop] [Priority: 4] <eth2>; {UDP} xxx.xxx.xxx.xxx:32770 ->; 213.75.46.51:53

Shadowserver Botnet Drone Reported: gameover-zeus-proxy

 

Specifiek op deze gezocht op het internet en via https://goz.shadowserver.org/gozcheck/gozcheck.html kunnen detecteren dat mijn laptop inderdaad besmet lijkt te zijn.

 

Nog steeds vreemd dat al die tools die ik heb gebruikt deze niet heeft kunnen detecteren.

'Bedenk hier wel bij dat de quarantaine nodig is om de internetveiligheid te waarborgen, niet om de klanten te pesten.'

Dat klinkt allemaal mooi, maar de wijze waarop die klantvriendelijkheid dan 'beschermd' wordt is uitermate klantonvriendelijk. Meestal betreft het namelijk internetgebruikers die zich van geen kwaad bewust zijn. Ik ben al pakweg 20 jaar klant geweest bij UPC en heb de nodige ongemakke meegemaakt, maar dit soort ingrepen van buitenaf nog nooit. Zit ik anderhalve week op glasvezel en ik stond ineens in quarantaine. Het vervelende is dat je vertrouwen is weggevallen. Ik kijk iedere ochtend met argusogen of alles nog werkt... De klant dient eerst een mail of brief te krijgen met het probleem dat opgelost moet worden en daarbij een telefoonnummer voor ondersteuning. Gaan we straks ook krijgen dat KPN de verbinding eruit gooit als je op verkeerde sites surft?

Reputatie 2
Badge
Bij de UPC krijg je een mooie brief thuis. daarop wordt het tijdstip van de vreemde activiteit vermeld, en krijg je een paar dagen om het op te lossen voor je wordt afgesloten.

Bedenk hier wel bij dat de quarantaine nodig is om de internetveiligheid te waarborgen, niet om de klanten te pesten.

Mijn verbinding is wel vrijgegeven, vorige week en deze week. Maar als er niets is gevonden dan zal deze volgende week wel weer in quarantaine worden gezet. 

Beste Hans,

Dus je verbinding is nog steeds niet vrijgegeven? Overigens heb ik sinds kort Emisoft als virus- en malware-scanner. Deze scanner heeft al veel prijzen gewonnen en staat hoog aangeschreven. Kun je gratis downloaden. Scant ook op rootkits e.d.

Stond er in de melding van het Abuseteam ook iets over een niet goed geconfigureerde DNS server? Of ging het om een virusbesmetting?

Overigens denk ik niet dat het A-team deze berichten leest. Ze reageren ook niet op mail. Je kunt ook overwegen naar een andere provider over te stappen, want dit is natuurlijk te gek voor woorden...

Op de aangesloten PC / laptops gezocht naar virussen en mailware maar niets gevonden. De volgende tools gebruikt: - McAfee Total Protection 12.8.958- Malwarebytes Anti-Malware 2.0.2.1012- Kaspersky Security Scan 12.0.1.340- TDSS rootkit removing tool- HitmanPro.Alert 2.6.5.77- HitmanPro 3.7 Wireless is beveiligd met WPA2 en een zeer lang en complex password.Alle window updates e.d. zijn geinstalleerd. Het zou fijn zijn als het Abuse team op zijn minst gedetaileerde informatie verstrek die kan helpen om de bron van het geconstateerde probleem te vinden. Bijvoorbeeld tijdstippen, wat de verdachte acties waren etc.
Reputatie 5
Badge +5
hier ben ik ook benieuwd naar. Sowieso vind ik de mailings onprofessioneel en sommige klanten vertrouwen het ook niet, denken dat het scam is. Vind ik niet gek, er wordt ook geen KPN sjabloon gebruikt, gewoon plain tekst...

Beste Hans,

Dat overkwam mij eergisteren dus ook. Ben anderhalve week geleden overgestapt van UPC Kabel naar KPN Glasvezel. Ik heb kantoor aan huis en heb een groot deel van de ochtend zonder internet en VOIP telefonie gezeten. Het is echt schandalig dat het Abuseteam blijkbaar op de achtergrond kan doen wat ze willen, zonder dat de klant en zelfs de KPN Helpdesk ze kunnen bereiken. Op mail wordt niet gereageerd. Dit doet mij denken aan een dictatuur...

Hoe zou het dan wel moeten? De procedure zou zo moeten zijn dat het Abuseteam eerst een mail stuurt naar de eigenaar van het verdachte ip-adres met een melding van het probleem en dat dit bijvoorbeeld binnen een week opgelost moet zijn. Tevens dient daar een telefoonnummer bij te staan voor ondersteuning. Zo ga je met klanten om.

Ik heb UPC naar aanleiding van dit onaanvaardbare ingrijpen van KPN gevraagd mijn abonnement nog even niet stop te zetten. Als ze me weer in quarantaine zetten is het direct over en uit, en ga ik weer terug naar UPC. Mijn vertrouwen in KPN is door deze wijze van werken compleet weg. Ik werk hier nota bene al 25 jaar probleemloos met de kabel en na anderhalve week KPN Glasvezel word je al behandeld als een crimineel....

PS. Ik werk achter een Zylex harde firewall en heb Avast en Mallware Bytes als scanners. Daarnaast zijn alle instellingen door mijn systeembeheerder gedaan. Tja, wat moet je dan nog meer?

Reageer