Skip to main content

Een van mijn klanten wordt sinds 9 oktober met enige regelmaat geplaagd met een afsluiting (zakelijke verbinding). Als je het rapport bekijkt zouden er (11 in totaal in een maand) spam worden verstuurd. Er is een laptop aanwezig in de zaak, daarop draait Bitdefender TotalĀ  Security, en Malwarebytes (op verzoek van KPN). Een complete scan met beide producten levert het bewijs dat er niets raars opstaat.


Gisteren (nadat het een week rustig was) kwam via het overgevoellige Abusix weer 2 meldingen binnen en hoppa, de klant wordt meteen afgesloten, pinbetalingen zijn niet meer mogelijk (SaaS oplossing). Als je de meldingen bekijkt van het Abusix bekijkt dan zie je een patroon dat de meldingen uit Canada komen, of via een adres uit een private range. Maar alles zou via het IP adres van deze klant zijn gestuurd. Experiabox gecontroleerd, geen poorten open etc. Zowel het productie als guest netwerk is actief en voorzien van een sterk wachtwoord.


Hoe komen wij op een normale manier in contact met KPN om dit probleem te bespreken? Het kan toch niet zo zijn dat we hier in een visuele circel terecht komen, klant vs kpn? Ik heb de eigenaar maar verzocht om nogmaals een contact verzoek in te dienen, en wellicht het IP adres te laten aanpassen.

Als het een zakelijk abonnement betreft kunt u het beste bellen met de zakelijke klantenservice 0800-0403.


Hoi Joep,

Dat is gebeurd, via Abuse een mail ontvangen om ook te scannen op rootkitsā€¦Ā tot die tijd is de verbinding afgesloten. Scan loopt nuā€¦Ā verwacht er weinig van gezien het een totaal nieuw geinstalleerde laptop is met alleen Office en de Bitdefender software..
Ā 


Hoi @Jurgen Valks, dat is een zeer vervelende situatie voor jouw klant. Dat begrijp ik heel goed. Daarvoor is al contact met Abuse. Dat is de juiste weg. Ik hoop dat er inmiddels iets uit de scan gekomen is en dat je verder kan met Abuse. Of zelfs al opgelost is. Heeft voor mij geen zin ertussen te zitten aangezien het al bij de juiste collega's ligt.Ā 


HoiĀ @Jurgen Valks, dat is een zeer vervelende situatie voor jouw klant. Dat begrijp ik heel goed. Daarvoor is al contact met Abuse. Dat is de juiste weg. Ik hoop dat er inmiddels iets uit de scan gekomen is en dat je verder kan met Abuse. Of zelfs al opgelost is. Heeft voor mij geen zin ertussen te zitten aangezien het al bij de juiste collega's ligt.Ā 

Hoi Bart,

Uit de scans is niets gekomen, er zijn nu 9 dagen geen meldingen via Abusix geregisteerd. Tot gisteren: 1 melding en meteen is de klant geblokkeerd. Dit is een onhoudbare situatie. Ze kunnen dus geen kassas gebruiken etc.

In contact komen is totaal niet mogelijk met Abuse. Ik ga de klant adviseren om toch uit te wijken naar een andere provider in deze situatie. Vanuit Abuse krijgen we geen echte medewerking, verschuilt zich achter de standaard procedure (weer de laptop scannen). Andere optie is het IP adres te laten wijzigen maar daar is KPN ook niet zo happig op.
Ā 


Kan @Dennis ABDĀ hier wat mee?


Je zit ook op het verkeerde forum @Jurgen ValksĀ 
Dit is het consumentenforum,
Je kunt beter je vraagĀ stellenĀ op hetĀ zakelijk forum.
Of telefoon 0800 0403


Misschien dat @Dennis ABDĀ hier iets mee kan?

Niet geschoten is altijd mis.


Je zit ook op het verkeerde forumĀ @Jurgen ValksĀ 
Dit is het consumentenforum,
Je kunt beter je vraagĀ stellenĀ op hetĀ zakelijk forum.
Of telefoon 0800 0403

Je hebt helemaal gelijk. Ik zal het topic daar aanmaken...Enne, bellen heeft geen nut, is al geprobeerd.. Je komt hier niet verder mee.


Als de lijn afgesloten word is het een consumenten lijn of zakelijke lijn geleverd onder particuliere voorwaarden.

Ā 

Abusix opereert een zeer groot spamtrap netwerk en levert ook bewijs. Je hebt al inzage in dit bewijs, aan je post te zien, daar je weet dat de melding van Abusix komt. De enige reden dat er mail in spamtraps terecht komt is als er iets aan de hand is, dan wel je klant is zelf aan het spammen. Dat laatste betwijfel ik echter.

Ā 

Aan de datum en tijd zou je moeten kunnen zien welke devices actief waren op het moment van de melding en er desnoods voor kiezen deze opnieuw in te richten. Er zijn momenteel wat botnetten actief die als criminele proxies dienen en voor dit soort, en ergere, zaken worden misbruikt. Deze zijn soms helaas erg lastig te vinden met scanners.


Als de lijn afgesloten word is het een consumenten lijn of zakelijke lijn geleverd onder particuliere voorwaarden.

@Bart_Z, Betekent dit dan ook dat deze aansluiting via de "consumententak" van KPN loopt en dat dit forum de juiste plek is voor het stellen van een vraag?


Die kan ik al beantwoorden: ja.

Wij sluiten geen zakelijke lijnen af, behalve onder zeer extreme omstandigheden (een phishing site en we krijgen geen contact met de klant, bij voorbeeld). Het zijn dan tevens allemaal handmatige acties.

Alles wat volledig geautomatiseerd loopt, en daar vallen de spam feeds van Abusix onder, komt uit de particuliere systemen.


Als de lijn afgesloten word is het een consumenten lijn of zakelijke lijn geleverd onder particuliere voorwaarden.

Ā 

Abusix opereert een zeer groot spamtrap netwerk en levert ook bewijs. Je hebt al inzage in dit bewijs, aan je post te zien, daar je weet dat de melding van Abusix komt. De enige reden dat er mail in spamtraps terecht komt is als er iets aan de hand is, dan wel je klant is zelf aan het spammen. Dat laatste betwijfel ik echter.

Ā 

Aan de datum en tijd zou je moeten kunnen zien welke devices actief waren op het moment van de melding en er desnoods voor kiezen deze opnieuw in te richten. Er zijn momenteel wat botnetten actief die als criminele proxies dienen en voor dit soort, en ergere, zaken worden misbruikt. Deze zijn soms helaas erg lastig te vinden met scanners.

Hallo Dennis, fijn dat je reageert!
Ik de logging (Abuse Report) zie ik in de received header een private ip adres en ā€˜by ubuntu (Haraka/2.8.20) with ESMTPA id F66A1746-2663-4274-BD6C-B0FA1B30F1C3.1ā€™ staan. Mag ik aannemen dat dit de boosdoener is? Dan vrees ik dat ik weet waar het probleem ligt.

Ik hoor graag van je!


Heb je een abuse ticketnr voor me? Ik kan dan even in de daadwerkelijke case, en de evidence kijken.


@Jurgen Valks,

Is het mogelijk die laptop te vervangen of opnieuw in te richten?

Hebben medewerkers/klanten/passanten toegang tot het (gast) wifinetwerk via hun eigen apparatuur?

Zo ja, is die apparatuur ook gescand?


Heb je een abuse ticketnr voor me? Ik kan dan even in de daadwerkelijke case, en de evidence kijken.

Jazeker:Ā 381125486

Inmiddels heeft de leverancier van het kassa systeem ook nog wat informatie opgevraagd dus hopelijk komen we er snel uit..


Als je met het interne IP op die 10.25.x doelt dan hoeft dat niet het interne IP te zijn. Dit is doorgaans de HELO zoals de spammer die geeft in de SMTP transactie en kan dus effectief van alles zijn. Door de evidence heen bladeren laat ook zien dat dit veranderd en niet eens altijd een interne IP reeks is waardoor de datum en tijd het belangrijkste aanknopingspunt is. Gezien het feit dat de meldingen niet constant zijn, zou een gast ook een goeie kunnen zijn.

Ā 

Aan het onderwerp te zien betreft het overigens Spaanstalige phishing, wat mijn theorie van een criminele proxy versterkt, daar simpele spambotjes doorgaans niet voor phishing worden ingezet.


De enige gemene deler hierin blijft deĀ ā€œubuntuā€. En laat Ubuntu (niet Haraka overigens) nou net de distro zijn waarop de kassa systemen draaien. De informatie is ook gedeeld met de leverancier. Dus ik ben benieuwd wat die gaat antwoorden.


Dat zou betekenen dat die kassasystemen gehacktĀ / geĆÆnfecteerd zouden zijn endat is mijns inziens dan behoorlijk zorgelijk.


Dat is de ontvangende mailserver, hoewel dat de kassa's uiteraard niet uitsluit.


Dat is de ontvangende mailserver, hoewel dat de kassa's uiteraard niet uitsluit.

Ja, ik heb net contact gehad en de leverancier bevestigd dat ze niet met Haraka draaien. De vraag nu is: wat kunnen wij verder hierin nog betekenen. In het netwerk verder zitten nog van die display schermen (tonen het menu etc.) en een camera systeem. Dat laatste hebben ze al langer en is een gesloten systeemā€¦ Ik ga ook nog eens informatie inwinnen over het display systeem

Ā 


Haraka is de mailserver software, dus dat klinkt logisch.

Ā 

Zoals @wjb al vroeg, kunnen er klanten gebruik maken van de eventueel aanwezige wifi? Dat zou eea ook verklaren namelijk, inclusief het feit dat er niet echt een hele grote regelmaat zit in de spam meldigen.

Door de manier waarop de spamtraps van Abusix werken, komen er normaal gesproken tientallen klachten per keer binnen en dat is hier niet het geval. Dat doet vermoeden dat het mogelijk een apparaat is wat niet constant staat aangesloten.


Er is inderdaad wel een gesloten gastennetwerk aanwezig, dat zou nog het enige kunnen zijn. We hebben na die eerste meldingen al het wachtwoord aangepast, en uit voorzorg het personeel hun telefoons niet meer op het gasten netwerk toegelaten. Maar dit blijft uitermate lastig, hoe kan je dan nog een gasten wifi op een goede manier aanbieden is dan ook de hamvraag.


De makkelijkste oplossing is een firewall er tussen welke bepaald verkeer, zoals SMTP, blokkeert.

Er zijn ook geavanceerdere opties mogelijk welke nog wat preciezer filteren, maar die zijn uiteraard duurder.


De makkelijkste oplossing is een firewall er tussen welke bepaald verkeer, zoals SMTP, blokkeert.

Er zijn ook geavanceerdere opties mogelijk welke nog wat preciezer filteren, maar die zijn uiteraard duurder.

Alleen lukt je het niet om een firewall tussen Internet en het gastwifinetwerk van een Experia/KPN Box te plaatsen en de Experka/KPN boxen hebben zelf ook geen ingebouwde firewall waarmee je dat zou kunnen realiseren.

Dan zit je dus al snel aan het vervangen van de Experia/KPN Box door bijvoorbeeld een EdgeRouter.


Klopt WJB. Er hangen nu een aantal Unifi AP's met een controller, ik ga eens kijken of een Unifi Security Gateway een toegevoegde waarde kan hebben in deze setup.