Onterecht blokkeren van API URL

Inderdaad:

195.121.1.34
195.121.1.66
2a02:a47f:e000::53
2a02:a47f:e000::54 (momenteel gebruikt voor standaardaanvragen)

En 195.121.1.34 en 195.121.1.66 werken prima voor dat domein.

IPv6 wordt trouwens niet genoemd in Systeem > Gebeurtenissen > Internetverbinding:

Internetverbinding werd tot stand gebracht. IP-adres: <...>, DNS-server: 195.121.1.34 en 195.121.1.66, gateway: 195.190.228.4, breedband-PoP:195.190.228.4

(En sinds wanneer is mijn FRITZ!Box Nederlands? Snel weer naar Engels!)

Ja, we hebben dus iemand nodig die problemen heeft met sellauth.com om te controleren welke DNS daar echt gebruikt wordt (en faalt).

Na een recente reset naar fabrieksinstellingen heb ik 195.121.97.202  en 195.121.97.203 plus IPv6 equivalenten. Deze zijn dus gefilterd. 

scamadvisor.com meldt dat de site de afgelopen 30 dagen als bedreiging is ingevoerd in "DNSFilter”

Misschien is dat een verklaring is als ESET/KPN die data gebruikt.  

Yep. Die servers geven geen IP.

C:\Users\rvk>nslookup sellauth.com 195.121.97.202
Server:  ns5.kpn.net
Address:  195.121.97.202

*** ns5.kpn.net can't find sellauth.com: Non-existent domain

C:\Users\rvk>nslookup sellauth.com 195.121.97.203
Server:  ns6.kpn.net
Address:  195.121.97.203

*** ns6.kpn.net can't find sellauth.com: Non-existent domain

Op welke router is dit? Box 12? 

Ik zie in dit topic dat je Malwarebescherming in Mijn KPN aan kunt zetten???

Dan zouden die servers gebruikt worden.
Ik kan die optie echter niet vinden.

Heb je ooit iets van ESET of F-Secure geïnstalleerd via KPN ?

Dat zijn in ieder geval de malware DNS servers dus dat kan wel het een en ander verklaren.

Ik heb hier al jaren KPN/F-Secure op de Win10 pc. 

Volgens mij heeft KPN een aantal jaren terug de “Veilige DNS” servers geintroduceerd, en als daarvoor in MijnKPN een vinkje gezet moet worden heb ik dat ongetwijfeld gedaan. 

Is dat nu niet het product “Veilig Browsen” dat gratis bij het internet abo is ingesloten maar wel aangezet moet worden?

Ik kan die instelling zo even niet vinden in Mijn KPN. Ik gebruik mijn eigen pi-hole oplossing maar de router zelf gebruikt bij mij dus 195.121.1.34 en 195.121.1.66 (en ik ook als ik pi-hole uitschakel).

Ik ben sinds december klant en heb dus niets van F-Secure of Veilig browsen geïnstalleerd of aangevinkt. Maar die 195.121.97.202 en 195.121.97.203 zijn bij TS (en andere) waarschijnlijk dus de 'boosdoener'. Of dat door DNSSEC is of dat de site gewoon geblokt wordt weet ik niet.

Zoals boven al opgemerkt is afwezigheid van DNSSEC geen probleem, ik denk dat de site geblokkeerd is.

“DNSFilter” toont onderaan de webpagina  adressen van DNS servers, het is me nog niet duidelijk of deze bedoeld zijn voor gebruik door particulieren. “sellauth.com” toont daar een totaal ander adres, als je dat opent in de browser komt er een onvriendelijke boodschap dat er een probleem is en je je ISP moet contacteren. Het lijkt erop dat dit voor (betalende) providers bedoeld is.  Daar staat sellauth.com dus daarwerkelijk op een blacklist. Ik heb niet kunnen vinden of je de reden uit de database kunt halen. Wel prettig als je voor een deel van je klanten uit beeld bent.  Cloudflare+malware op 1.1.1.2 heeft geen probleem met de site.

sellauth.com staat wel in de Spamhaus DBL.

https://mxtoolbox.com/SuperTool.aspx?action=blacklist%3asellauth.com&run=toolpage

Daar lijkt het wel op. Op kpn.com/superveilig/malwarefilter lees ik:

Geen gedoe meer met virussen of schadelijke websites. En het mooiste? Je krijgt Veilig browsen gratis bij KPN Internet. Zo browse je niet 'gewoon veilig', maar SuperVeilig.

Zet Veilig browsen aan

Ofwel: aan- en uitzetten via internet.veilig.kpn.com.

 

 

Wijzigen duurt even:

 

 

Wijzigen duurt dus even, ook al is je internetverbinding allang weer terug. Mijn ongeduld (het verversen van de pagina) werd afgestraft met dit:

 

...wat pas weg leek te gaan na handmatig herstarten van mijn modem.

 

Als je wel rustig wacht, dan wordt het schuifje vanzelf weer actief, zodat je het weer uit kunt zetten:

 

 

Wat natuurlijk ook weer even duurt:

 

Snel nadat ik dat schuifje omzette werd mijn internetverbinding kort verbroken. Uit de logs van mijn FRITZ!Box:

25.02.26	23:02:24	Internetverbinding werd tot stand gebracht. IP-adres: <...>, DNS-server: 195.121.97.202 en 195.121.97.203, gateway: 195.190.228.4, breedband-PoP:195.190.228.4
25.02.26	23:02:24	Internetverbinding werd verbroken.

En daarna zag ik in mijn FRITZ!Box op Internet > Online monitor > Verbindingsdetails voor de DNS-servers:

195.121.97.202 (momenteel gebruikt voor standaardaanvragen)
195.121.97.203
2a02:a47f:ac::210
2a02:a47f:ac::212

En zoals verwacht:

host sellauth.com
Host sellauth.com not found: 3(NXDOMAIN)

Geen idee of ​@anoniempje0 (TS) nog meeluistert 😁

Hallo ​@anoniempje0, jeetje! Wat een goeie tips allemaal zeg, hier was ik nooit op gekomen! Ik vraag mij inderdaad af of je alles hebt meegelezen en het wellicht al is opgelost? Laat je het weten? Ik denk dat de anderen ook benieuwd zijn. 😊

Nou, jij vroeg toch ook:

​@Serenay van KPN en andere KPN’ers: ik ben wel benieuwd of iemand van KPN kan aangeven waarom (bijvoorbeeld) sellauth.com geblokkeerd wordt als je het KPN Veilig browsen malwarefilter aanzet. Of iets algemener: wat de bronnen zijn van dat malwarefilter (zoals blokkeerlijsten) om te besluiten wanneer een domein onveilig verklaard wordt.

En of dat ergens te controleren is zonder die Veilig browsen optie uit te zetten en te kijken of het dan wel werkt. Dat maakt helpen van anderen wel een stuk gemakkelijker. (Vroeger, toen websites vooral HTTP gebruikten, konden DNS-filters omleiden naar een pagina met uitleg. Dat werkt niet meer nu je overal HTTPS mag verwachten, en op zo’n uitlegpagina dan juist certificaat­fouten zou zien.)

Zoiets:

Inderdaad, dat domein heeft een slechte score op die website (goede tip van hmmsjan_2). Maar ESET lijkt het wel oké te vinden.

 

ScamAdvisor.com geeft een lage score en meldt ”This website has been marked as threat by DNSFilter in the last 30 days”:

 

 

 

Company Rating

We see that the owner of the website is using a service to hide his/her identity. This may be because the owner does not want to get spammed. However, it also makes it difficult to identify the real owner of the website. As a result, websites hiding their identity get a slightly lower score.

We found that this company has been reviewed at the extremes. The reviews are either very positive or negative. This may indicate a possible scam. In this case, a lot of real customers complain about the company. To hide this fact, the scammer is compensating by buying positive reviews, hiding the negative ones. We recommend you to manually check the reviews to see what is the case. Do positive reviews look real? What are the negative reviews about? Also, check out our blog post How to Recognize Fake Reviews. 

 

Webshop Analysis

This website is deemed to be popular by Tranco with a ranking of 20. Having a high ranking in Tranco is a good sign. Not only does the website have a lot of visitors. Also several other websites link to this site, meaning that it is considered relevant by others.

This website has been set-up several years ago. We consider this a positive sign. The longer a website exists, the more it can be expected that it is legit. However, the age of the website is unfortunately no guarantee. In some cases, scammers have been found to buy existing domain names and start their malicious practice here. So checking a website remains a necessity. 

 

Technical Analysis

This registrar has a high percentage of spammers and fraud sites. The domain registration company seems to attract websites with a low to very low trust score. This may be a chance but it may also because the "Know your customer" process of the registrar is poor or non-existing. We reduced the trust score of the website as a result.

A valid SSL certificate was found. Professional companies use an SSL certificate to encrypt communication between your computer and their website. However, there are different levels of certification and scammers also install a free SSL certificate. If you have to enter your data, never do this without checking if an SSL certificate protects your information.

 

Maar ESET vindt het wel oké?

 

Aan de andere kant: we willen scammers ook niet wijzer maken dan ze zijn natuurlijk. Ik vraag me nu ook af waarom ​@anoniempje0 die gebruikersnaam heeft. Maar dat kan ook andere redenen hebben natuurlijk.

Update: Opgelost ✅

Het bleek inderdaad een DNS-probleem te zijn.

Ik heb handmatig mijn DNS-server aangepast naar:

1.1.1.1
1.0.0.1 (Cloudflare DNS)

Na deze wijziging werken zowel sellauth.com als de API direct weer zonder VPN.

Blijkbaar werd het domein via de standaard KPN DNS niet goed geresolved (NXDOMAIN). Met een andere DNS-server is het probleem volledig verdwenen.

Bedankt allemaal voor het meedenken! 🙌

Dat is niet wat anderen (en ik) hierboven zien. De standaard KPN DNS-servers lijken het domein wel te resolven. Maar het malwarefilter lijkt het tegen te houden.

(Vandaag nog dezelfde resultaten als door anderen en mijzelf hierboven al beschreven.)

Dat API subdomein zonder /v1 redirect trouwens naar api-internal-2.mysellauth.com. En die heeft een nog slechtere score, als die ScamAdviser.com score wat zegt. Het noemt onder andere “This website was reported by IPQS for phishing” als reden. Idem voor mysellauth.com. Beide worden (nog?) niet geblokkeerd door het malwarefilter.

 

...maar (nog?) niet geblokkeerd door het KPN malwarefilter:

host api-internal-2.mysellauth.com 195.121.97.202

Using domain server:
Name: 195.121.97.202
Address: 195.121.97.202#53
Aliases:

api-internal-2.mysellauth.com has address 172.67.205.245
api-internal-2.mysellauth.com has address 104.21.22.173
api-internal-2.mysellauth.com has IPv6 address 2606:4700:3033::6815:16ad
api-internal-2.mysellauth.com has IPv6 address 2606:4700:3031::ac43:cdf5

 

host api-internal-2.mysellauth.com 195.121.97.203

Using domain server:
Name: 195.121.97.203
Address: 195.121.97.203#53
Aliases:

api-internal-2.mysellauth.com has address 172.67.205.245
api-internal-2.mysellauth.com has address 104.21.22.173
api-internal-2.mysellauth.com has IPv6 address 2606:4700:3033::6815:16ad
api-internal-2.mysellauth.com has IPv6 address 2606:4700:3031::ac43:cdf5