Brief ontvangen van Ziggo, er zou een Ddos aanval zijn via mijn internetverbinding?

freggel1

Addicted Member
Moderator
Lid sinds
5 jan 2003
Berichten
20.131
Waarderingsscore
562
Punten
113
Leeftijd
59
Locatie
Zundert
Hier ben ik dus een beetje van geschrokken, ik heb vandaag een brief ontvangen van ziggo, er zou via mijn internetverbinding een Ddos aanval geweest zijn.

Er staat in die brief dat we dit samen op kunnen lossen via een contact via een mail-adres van Ziggo: Abuse@ziggo.nl [ik zou dit liever telefonisch doen]

Aangeraden wordt om de pc's te scannen op virussen. Ziggo safe staat op alle pc's .

Het kan ook aan cctv camera's liggen.

Wat ik vandaag dus gedaan heb:
Ik had sinds kort 2 ip camera's geplaatst, draadloos dus deze meteen uitgeschakeld.

Verder is er in mijn configuratie van ander apparatuur al jaren niks veranderd, alle firmwares en dergelijke zijn up to date.
Nou heb ik contact gehad met het abuse team, en hun vermoeden dat het aan mijn NAS ligt, want die is altijd aangesloten en online.
Ik heb hun verteld dat ik sterke wachtwoorden gebruik, en heb deze dus vandaag ook veranderd, alsmede het standaard gebruikersnaam "admin" verandert.

Nou heb ik dus een paar vragen wat ik eventueel nog meer kan doen, want als mijn ip-adres nog een keer te zien is in de lijst dan wordt mijn internetverbinding "tijdelijk" verbroken, iets wat ik niet wil natuurlijk.

1: hoe scan ik mijn Nas op virussen?
2: op welke apparaten, buiten mijn camera's , kan dit nog meer veroorzaakt worden? Routers oid?

Graag een antwoord van de kenners.
 
Ik snap je bezorgheid, welk merk zijn de IPcam's?
 
want die is altijd aangesloten en online.
Is die van buitenaf bereikbaar? Zonee dan heeft die er volgens mij niets mee te doen. Als men die wil misbruiken voor DDOS verkeer moet men er wel bij kunnen en dat kan niet als ie van buitenaf niet toegankelijk is.

Dat is echter anders met de ip camera's. Daarvan zijn een aantal keren al bij enkele merken beveiligingslekken ontdekt.

1.) Als die niet open staat voor internet, denk ik niet dat je hoeft te scannen, maar ook voor NAS kun je vaak via de app manager wel een virusscanner vinden. Nas ook goed up 2 date houden met de firmware.
2.) Apparatuur die van buitenaf toegankelijk is kan dit veroorzaken, dus kijk welke apparatuur van buitenaf toegankelijk is. Met name dus de ip camera's. Zoals Nummer 10 al vroeg, welk merken type ip camera's zijn dit? Heb je al gecontroleerd of daar firmware updates voor beschikbaar zijn?
3.) Staat je Ziggo modem in router modem? Zoja, controleer dan even of uPnP wel uitgeschakeld staat. Vaak staat dit aan, maar dat is niet goed want malware kan dan zelf poorten open zetten naar binnen toe.

Een kennis van me (ja die met die ip camera's die het netwerk plat gooiden) heeft recent ook een soortgelijke brief of mail gehad. Heeft echter niets meer gehoord, zijn camera's zijn bepaald geen goedkope, maar inmiddels dus wel zo oud (6 jaar) dat er geen firmware updates meer beschikbaar zijn.

Wat mooi zou zijn als de abuse desk van Ziggo zou weten welk intern ip en/of mac adres betrokken was bij de aanval. Dat zou het zoeken een stuk gemakkelijker maken.
 
Allebei bedankt voor de antwoorden, ik ga proberen om zsm alle gegevens van de ip cams e.d .bij elkaar te zoeken, maar mijn hoofd staat er nu helaas niet naar.
ik ga mijn uiterste best doen om alle apparaten te controleren, een fabrieksreset toen, ondanks dat ik denk dat het hier niet aan ligt.

Ik vindt het jammer dat als er bij een eventuele controle over een tijdje, en mijn ip staat weer in de lijst dat mijn internet tijdelijk afgesloten wordt!

Het is net of ze het er om doen.

Ik heb al een paar mails verstuurd naar Ziggo Abuse, en er is een antwoord wat ik hier nu even plaats, waar ik zelf geen touw aan vast kan knopen nu, het zal wel ip geralateerd zijn, maar welk apparaat???

Ik heb al contact opgenomen met een goede vriend van mij die al jaren bij Ziggo werkt, hij heeft hier geen verstand van maar gaat het wel voorleggen aan een collega van hem.



Beste meneer...

Dank u.

Ik zal hieronder plakken welke informatie wij ontvangen hebben van shadowserver.org over uw internet verbinding.

Code:
ip;source time;type;description;additional information;ddos attack type;feed;feeder;uuid
84.xxx.xxx.xxx;2022-06-23 19:15:09Z;ddos infrastructure;Alert ID: 213752;AttackStartTime: 2022-06-23T19:02:22+00:00 and AttackStopTime: 2022-06-23T19:15:09+00:00;;arbor;lg;22882dba-ea6a-40bb-b918-37271ae1bbdc
84.xx.xxx.xxx;2022-06-24 02:09:10Z;ddos infrastructure;Alert ID: 214084;AttackStartTime: 2022-06-24T02:02:27+00:00 and AttackStopTime: 2022-06-24T02:09:10+00:00:DNS;arbor;lg;ff55cac0-4fee-490f-91c6-769167736988

Eigenlijk is voor u het enige relevante informatie de tijden die daarin staan.
Het apparaat welke bij u misbruikt wordt moet namelijk aan staan en op het internet aangesloten staan om misbruikt te kunnen worden.
Uw nas is voor mij verdachte nummer 1. Dit baseer ik op de tijden en onze ruime ervaring dat nas servers veelvuldig misbruikt worden.
Met vriendelijke groet,
Team Abuse


Even voor Nummer10, het zijn niet van die camera's nu van alles over te lezen is dat die gehackt zijn. [hick...]

Die ik heb stonden al sinds 2020 in de voorraadbak, en heb ik in het voorjaar aangesloten.

Het gaat om de volgende:

Besder Home Security Ip Camera Draadloze Smart Wifi Camera Wifi Audio Record Surveillance Babyfoon Hd Mini Cctv Camera Icsee​

 
Laatst bewerkt door een moderator:
Wat voor een NAS heb je staan?
 
WD My cloud.
 
Ik zou zeggen lees de UUID uit van de camera’s. Is de UUID gelijk aan die in de abuse-lijst dan weet je genoeg…. En die BiFi Babyfoons worden inderdaad regelmatig mibruikt….
 
Zo te zien staat het apparaat er dus niet in en er zijn 2 verschillende UUID's waarvan ik het idee heb dat dit niet iets van jouw apparatuur is want ik heb dit nog niet bij camera's gezien. Maar het kan nooit kwaad dat te controleren.
Het feit dat het twee verschillende UUID's zijn kan er wel op wijzen dat het 2 verschillende apparaten zijn en dan zou ik ook het eerst denken aan je camera's.

Een fabrieksreset kun je doen, maar je moet daarna wel de wachtwoorden wijzigen. Als het kan en je kunt een nieuwe admin user maken, dan nieuwe admin maken en usernaam admin verwijderen.
Ik heb een bloedhekel aan camera'tjes die je via een app moet instellen, want al die gegevens zijn dan ook bij de app eigenaar en vaak zitten er achterdeurtjes in die, maar ook in duurdere camera's.

Kennis van me heeft er eentje van 259 euro. Alle wachtwoorden vervangen en nog steeds was ie te vinden bij insecam en dat bleek veroorzaakt te worden doordat er geen wachtwoord kon op het rtsp signaal of het onvif signaal (weet niet meer, een van beiden). De poort daarvan hebben we toen dicht gezet en toen was het ook over. Maar zo zie je dat zelfs dure camera's met wachtwoorden niet altijd even goed beveiligd zijn.

Je vergat mijn vraag of deze toegang van buitenaf open heeft staan ja of nee.
 
De NAS heeft van buiten af geen toegang, gisteren nog naar gekeken.

Maar wat jij nu zegt die 2 verschillende apparaten, dat zou goed eens kunnen kloppen in mijn geval.
Het zijn namelijk 2 losse camera's die apart geïnstalleerd moeten worden en dus beide een ander wachtwoord hebben, maar wel zichtbaar zijn in 1 app.

Deze heb ik dus als eerste meteen uitgeschakeld.
Ik heb intussen contact gehad met iemand die met pensioen is, maar bij Ziggo heeft gewerkt, en hij zei dat als de stappen heb gevolgd die in de brief staan het verder wel los zou lopen, en hij vermoed ook dat het de camera's zijn die dit probleem veroorzaakt hebben.
 
Zou de app misschien de gateway naar de ddos hacker kunnen zijn?
 
Dat is inderdaad een van de mogelijkheden. Maar het kan net zo goed een lek of een backdoor zijn in die camera's.
 
Ik weet niet of die app echt de boosdoener is?

Ik heb hier volgens mij al een jaar of 5 een bekabeld camera systeem hangen, en dat werkt ook met een app op de telefoon.

Ik heb 2 losse camera's erbij gekocht, omdat er wat problemen waren in onze straat, en deze cams werden geïntstalleerd met een QR-code, en daarna ingesteld met gebruikersnaam en wachtwoord.

Maar in de app die ik al jaren gebruik daar zie ik de nieuwe cam's ook?

Toch maar eens gaan denken om in de toekomst een recorder aan te schaffen waar meerdere camera's aan kunnen.

Maar voor nu even een time out van deze kant, dit komt wel goed. Morgen en zaterdag even afscheid nemen...
 
Ik weet niet of die app echt de boosdoener is?
Dat is ook niet gezegd. Er is gezegd dat dit een mogelijkheid is. Een hack op de app zou bijv. ook de camera's opdrachten kunnen geven. Dus in die context moet je dat een beetje zien.
Dat iets al lang werkt zonder problemen, biedt geen garantie dat er niets mee kan gebeuren. Het kan best zijn dat het de app niet is. Maar je moet die mogelijkheid niet uit het oog verliezen. Daar gaat het eigenlijk een beetje om.

Cams kun je veelal in diverse apps zien, daarvoor heet het ook "ip camera's" omdat ze over ip netwerk gaan en dat is waar al die apps ook gebruik van maken.

Doe eerst maar eens rustig aan inderdaad, laat even lekker bezinken, je hebt nu wel iets anders aan het hoofd. Voor afleiding kun je beter iets anders nemen dan problemen met het een of ander te onderzoeken. ;)

Sterkte nogmaals.
 
Als dat wellicht zo is, dan ben ik benieuwd waar dit vandaan zou kunnen komen @boudeman?

Mijn grootste vermoeden blijft toch bij die ip-cameras liggen.
Deze heb ik uitgeschakeld, en nou maar afwachten of dit niet meer gebeurd.
 
Als je een scan doet en je ziet de open poorten, dan is vaak wel te achterhalen waar die poorten voor dienen.
Ben benieuwd of het nu stopt na uitschakeling van die ip camera's.

Ik had het eerder genoemd maar ik weet niet of je al in je modem gecontroleerd had of uPnP open staat. Bij Ziggo modems staat dit standaard aan, althans wel bij de Connectbox. Die moet je dicht zetten sowieso.
 
Ik heb UpnP uitgeschakeld, deze stond idd aan.

Ben benieuwd.
 
Goedzo. Dit helpt er in elk geval voor dat in geval van bepaalde hacks of malware, alleen de standaard uitgaande poorten gebruikt kunnen worden om binnen te komen en de geforwardde poorten en geen aparte poorten.
 
Ik heb in mijn Asus router gekoekeloerd en zag dat upnp standaard op on gezet is en dit al jaren.

Dus ik upnp op off gezet. Geeft een goed gevoel door een advies van een deskundige.

Totdat ik in Home Assist de batterijen status van Tuya Zigbee sensoren ging controleren, de meeste sensoren waren verdwenen en nog meerdere smart devices oa temperatuur sensoren allemaal weg terwijl ze wel gedefinieerd waren.

Dus Upnp maar weer aangezet et voila alles weer terug.
Nou heb ik totaal geen verstand hoe HomeAssist werkt (ingesteld door mijn zoon op afstand) maar schijnbaar maken veel smart devices gebruik van Upnp.
 
Ik heb in mijn Asus router gekoekeloerd en zag dat upnp standaard op on gezet is en dit al jaren.
In mijn router staat dit ook aan. Daar maakt het nog niet zoveel uit, als het in het modem maar uit staat. Als jouw router tevens je modem is, dan kan het inderdaad beter uit staan.

De vraag is op welke wijze jij die sensoren ging controleren. Via een app van buitenaf? Zoja, dan zullen er bij uitschakeling van de uPnP wel poort forwards naar je Home Assist gemaakt moeten worden anders werkt dat inderdaad niet. Maar dat is logisch, dat bewijst dus ook dat de beveiliging werkt als dat uit staat en er niet zomaar even een device een poort open kan gooien.

Op het lokale netwerk zou dat verder niet uit mogen maken.

Dat er veel smart devices gebruik maken van uPnP (wat wel klopt) wil nog niet zeggen dat het daarmee dus ook veilig is, want dat is het niet, behalve op het lokalen netwerk.

Van nog wat andere specialisten... schrik niet.
dus veel lekken, nog afgezien dus dat uPnP zoals reeds door mij gezegd zelf poorten kan open zetten en dat moet je niet willen eigenlijk.

Als ik van binnen uit altijd het touwtje uit laat hangen door de brievenbus is het wel gemakkelijk, hoef ik niet elke keer de sleutel te pakken om binnen te komen. Probleem is dat er dan ook mensen binnen kunnen die je liever niet binnen hebt. Da's feitelijk hetzelfde.

Dus uPnP aan op router op interne netwerk, prima, maar op het device wat verbinding maakt met internet, dus modem of modem/router, uitzetten!
 



Hosting Fun

Advertenties

Terug
Bovenaan Onderaan