Zijn er andere KPN klanten die ook ongeveer elke week een e-mail krijgen van KPN Abuse dat er een virus in het netwerk is gedetecteerd? Bij navragen zou dit op een van mijn iOS apparaten zitten (AdLoad). De suggesties in de opvolgende mail om het op te lossen werken ongeveer een week, en daarna is het weer raak. Resetten van mijn telefoon wil ik niet meer doen, dat kost elke keer een hele dag om weer op de rit te zijn.
De afdeling kan of wil mij op geen enkele manier helpen te onderzoeken waar het probleem door ontstaat. Ik heb alleen maar legale apps, geen jailbreak toestanden en Avast Internetsecurtity aangeschaft voor al mijn apparaten.
Nu wordt mij gevraagd om een verklaring waarom dit misbruik steeds terugkeert, maar ik heb echt geen idee wat er aan de hand is, en ik ben bepaald geen digibeet. Iemand een tip om in contact te komen met een weldenkend mens op die afdeling? Het begint mij enorm te irriteren om elke week uit te leggen dat ik alles heb gedaan waar ze om vragen.
Zat er bij die mail ook een "Abuse report"?
Zo ja, kan je hier eens een screenshot posten van dat "Abuse report" waarbij je het source IP adres even wegpoetst?
Nee, geen report...
Jammer, ik was benieuwd naar het "device_type".
Ik ga er eens achteraan. Ben benieuwd.Â
Voor de zekerheid heb ik even de geschiedenis van mijn telefoon van de afgelopen 24 uur verwijderd. Ook daar stond dit linkje naar vpnservices*kuch*live in.Â
Ik krijg het report ook alleen als ik er om vraag. Ik doe dat altijd om te kijken of ik kan achterhalen welk apparaat het geweest kan zijn
Bij deze het report die ik mee kreeg, in dit geval was het een linkje naar een speciale abuse-pagina waar ik dit gescreenshotted (en gecensureerd) heb. Duidelijk te zien dat het enkel de GET aanroep was op de genoemde http_host tijdens mijn test. En verder was het enkel op het moment dat ik die pagina bezocht.
Deze aanroep gaf overigens een 204 header terug (No Content), waarbij er geen content naar de browser kan zijn verstuurd.
Dus ik hoop dat KPN zulke dingen als 'false positive' gaat zien, en niet enkel naar requests van een malafide URL kijkt. Theoretisch kan het zo zijn dat de auteur van dit topic de request niet via een aparte (malafide) app uitvoert.
Jammer dat je het target-ip adres ook weggepoetst hebt.
Was dat hetzelfde adres als bij
Dat was… 85.17.31.xx
Een andere dus! Het kan zijn dat de DNS van de http_host wel eens aangepast lijkt te worden door de malware-crimineeltjes. Alles om waarschijnlijk buiten schot te blijven van firewalls en filtertjes die enkel naar IP's kijken. Ik ga maar even geen traceroute uitvoeren, voordat ik KPN weer op mijn nek krijg .
Dat was dan waarschijnlijk 85.17.31.82 of 85.17.31.122.
Ook dat zijn beide IP adressen van Leaseweb Netherlands B.V., een hosting organisatie.
Overigens heeft vpnservices.live de onderstaande IP adressen.
Â
Tijd voor een abuse reportje bij Leaseweb.
Ik ben overigens benieuwd of KPN nog iets te zeggen heeft over mijn onderzoek, of eventuele actie gaat nemen om de filter te verbeteren.Â
Op mijn vraag of KPN nog maatregelen op mijn verbinding neemt, was de reactie:
Bedankt voor uw reactie. Wij wachten de komende periode af of wij nieuwe meldingen over uw internetverbinding zullen ontvangen. Indien dit niet het geval is beschouwen wij dit incident hiermee als afgehandeld.
Een enkele GET aanroep naar de malafide url, wat uitkomt in een NoContent header, zou niet hoeven te resulteren in een waarschuwings mail van KPN .Â
En nee, Ik heb geen e-mailtjes meer gekregen. En er werd verder niks beperkt.
Daarom juist! En van een besmetting kon niet eens sprake zijn, in mijn situatie.
Ja, maar uit nieuwgierigheid een vraag aan
Hi allen, voor de zekerheid ter info: moderators zijn standaard aanwezig op het forum. Er zijn ook verschillende andere KPN-medewerkers actief, zoals
Wil je graag sneller een reactie, of heb je een persoonlijke vraag aan onze afdeling Abuse, dan kan je hen een mail sturen op abuse@kpn.com. Inhoudelijke, persoonlijke vragen kunnen sowieso enkel goed via de mail beantwoord worden, in verband met privacy, aangezien het forum een openbaar platform is.Â
Ja, maar uit nieuwgierigheid een vraag aanÂ
Op https://www.shadowserver.org/ kun je wat meer informatie vinden over hoe zij dingen doen en detecteren.
Deep Packet Inspection is niet toegestaan, dus daar doen we ook niets mee.
Het is weer raak hier
Vorige week m’n iPhone (weer!!) terug gezet naar fabrieksinstellingen met alle ellende van dien (verbindingen met Authenticator voor m’n werk weg, databundel op binnen een uur omdat er kennelijk iets gesynct werd terwijl ik lekker aan het buitenspelen was)Â
en nu weer zo’n K-melding van een veiligheidsprobleem… dit ligt echt niet meer aan mij hoor.
Heel erg dank voor jullie hulp allemaal, wordt zeer gewaardeerd van mijn kant maar ik krijg niet het gevoel dat KPN hier iets mee doet.
En als KPN hier niet betere hulp gaat bieden ga ik een andere provider zoeken. Ik ben voor m’n thuiswerk afhankelijk van een goede internetverbinding thuis en kan niet het risico lopen dat ik afgesloten of gehackt wordt.
Ik zelf neem alle voorzorgsmaatregelen die realistisch zijn.Â
Â
groet, Saskia
Â
Wat kunnen jullie voorÂ
Â
Wat kunnen jullie voorÂ
Hi wjb,
Volgens mij is je eerste vraag al beantwoord door de screenshot die geplaatst werd.
Uiteindelijk kunnen we niet veel meer doen dan wat we al gedaan hebben. Er is sprake van een probleem wat speelt op een Apple apparaat, en wij constateren dat slechts. Dat hier de bal bij KPN neergelegd wordt is m.i. ook onterecht, maar dat heb ik ook al meerdere malen uitgelegd in dit topic. Als een politieagent je op straat aanhoudt en aangeeft dat je auto dusdanig onveilig is dat je er niet meer mee op de openbare weg mag rijden, is het niet aan die politie om dat probleem op te lossen.
Apple heeft in dit geval een apparaat op de markt gebracht dat vatbaar is voor bepaalde issues, en het is daarmee ook aan Apple om daar een oplossing voor te bieden. Zij weten als geen ander hoe hun apparatuur in elkaar zit, en geprogrammeerd is, en daarmee zijn zij de enigen die echt kunnen pinpointen hoe dit nu steeds gebeuren kan. Je kunt dan natuurlijk op een gegeven moment uit frustratie (en die frustratie begrijp ik uiteraard) naar een andere provider toe gaan, maar ook die zullen een soortgelijk abuse-beleid hanteren en zullen hier consequenties aan gaan verbinden.
Ik had echter gehoopt dat jullie nog een mogelijkheid zouden hebben om de abonnee te helpen om met 100% zekerheid vast te stellen welk apparaat dit issue veroorzaakt.
Nee helaas. Op het moment dat we die informatie hebben, zullen we die altijd delen. Helaas is dat altijd toch nog beperkt.
Het punt is ook dat een enkele aanroep naar die site via de browser (op poortje 80) ook al voldoende is om dit te triggeren, wat op Windows duidelijk een false-positive is. Wordt daar nog wat mee gedaan?
Misschien is zoiets wel de oorzaak bij deÂ
Is er goed onderzoek gedaan naar deze AdLoader? Op welke poorten vindt misbruik plaats? Ik heb het idee dat er meer filters zouden kunnen worden ingesteld? Want als ik enkel op poort 80 of 443 (SSL) die link zou aanroepen, dan zou ik ook weer een melding krijgen. En dat zou m.i. echt niet mogen. Vooral omdat er toch geen data wordt overgezonden (No Content header).
Of anders: Blokkeer de toegang tot die URL. Probleem opgelost.
Als KPN zou een filter heeft, zoals XS4ALL aanbood dan kan de gebruiker zelf kiezen tot hoever die filter werkt. En ook zal de abuse-afdeling worden ontlast ;-)
Hallo allemaal,Â
ik heb KPN verzocht mijn case naar een leidinggevende door te zetten omdat ik denk dat ik er echt alles aan heb gedaan wat redelijkerwijs van mij gevraagd kan worden, en ik kreeg dit antwoordÂ
dus ik hoop dat het opgelost kan worden.Â
allemaal heel erg bedankt voor jullie hulp en suggesties alvast en ik hou jullie op de hoogte.
groet, Saskia
Het punt is ook dat een enkele aanroep naar die site via de browser (op poortje 80) ook al voldoende is om dit te triggeren, wat op Windows duidelijk een false-positive is. Wordt daar nog wat mee gedaan?
Ja, absoluut. Het feit dat dit via jouw verbinding zo makkelijk ging vinden we absoluut wat van. Hier wordt naar gekeken dus.
Of anders: Blokkeer de toegang tot die URL. Probleem opgelost.
Ten eerste, dat zou niet mogen. De wet staat dat simpelweg niet toe. Ten tweede, daarmee zou het probleem niet opgelost zijn. Een blokkade van een url zorgt er alleen voor dat de infectie niets meer kan, maar de infectie is er nog steeds. Zou de url bijvoorbeeld veranderen (wat niet ongewoon is bij malware dat eens in de zoveel tijd de url naar de Command & Control server wijzigt) dan kan het weer ongestoord zn gang gaan. Een oplossing als deze staat dus gelijk aan het opzetten van oogkleppen.
Enter your E-mail address. We'll send you an e-mail with instructions to reset your password.