Skip to main content

Ik heb de volgende e-mail gekregen:


We hebben in ons beveiligingssysteem meldingen ontvangen waaruit blijkt dat jouw internetaansluiting onrechtmatig wordt gebruikt. Dit kan voor jou en andere internetgebruikers vervelende gevolgen hebben. Het is daarom belangrijk dat je direct maatregelen neemt.

Hoe is te zien dat mijn computer besmet is?
Internetproviders gebruiken zogenaamde abuse-systemen waarmee het verkeer van een internetaansluiting als het ware wordt bewaakt. Als dit systeem opmerkt dat een computerverbinding probeert te maken met bijvoorbeeld een command & control server van malware (schadelijke software), of als er verkeer wordt gedetecteerd dat kenmerken heeft van bijvoorbeeld het versturen van spam of gemaakte verbindingen naar een botnet (een systeem dat een computer ‘kaapt’) wordt hier een melding van gemaakt door het systeem.

Maatregelen
Wij vragen je een virusscanner te gebruiken op alle apparaten die verbonden zijn met jouw internetaansluiting. Er zijn een aantal gratis antivirusprogramma’s die je hiervoor kunt gebruiken en kunt vinden op het internet.

Let op!
Het is belangrijk dat je zo spoedig mogelijk actie onderneemt op deze waarschuwing. Als het onrechtmatige gebruik doorgaat, dan kan het zijn dat wij je internetaansluiting tijdelijk in een beveiligde omgeving plaatsen. Dit zal inhouden dat je, tot het probleem is opgelost, alleen nog gebruik kunt maken van een beperkt aantal internetsites.
 

 

Hoe kom ik er achter waar precies het probleem zit.
Ik heb wat standaard client devices, zoals chromecast, sonos, etc, en 2 linux systemen actief, 1 laptop, en server met 3 websites ( welke geen problemen lijken te geven, volgens externe scanners ).
Op beide zegt de virusscanner, geen probleem.
Daarnaast zit ik met unifi USG direct verbonden met tmobile glas.
De traffic via unifi interface zie ik niet iets wat ik niet verwacht. Geen spikes, of andere onverwachte zaken.
De klantenservice verwijst me naar deze community.

Dus hoe kom ik er achter wat precies het probleem is?

Hey @funkyduck, goed dat je hiervoor aan de bel trekt. 

We ontvangen een interne melding hiervan, deze heb ik met je gedeeld in een privébericht. Hopelijk kun je daaruit de boosdoener opsporen en ervoor zorgen dat dit niet nog een keer voorkomt! 

Dank je voor het privebericht. Ik begrijp dat er iets is met een poort die ik kan linken aan SMB. Maar wat is nu het probleem? Als ik SMB uitzet, kan ik vanaf mijn iMac niet meer de mappen op mijn Synology zien. Ik vind het fijn dat je me zo snel een privebericht hebt gestuurd, maar ik kan er helemaal niets mee, omdat ik het volledig niet snap. Als de provider met zo een waarschuwing komt en met dreiging dat mijn internet beperkt gaat worden, zou ik toch wel iets meer hulp willen verwachten.


Hoi @arnovr,

 

Goed en belangrijk dat je contact opneemt! We hebben dus ‘verdacht’ internetverkeer opgemerkt op jouw verbinding. Dit hoeft niet altijd verontrustend te zijn, maar het is wel belangrijk om hier naar te kijken. Bij vervolgvragen is het mogelijk om contact te hebben met een afdeling die dit soort zaken behandeld. Deze afdeling is niet aanwezig op de Community. Mijn excuus dat er juist wel verwezen is naar deze Community. Wij kunnen wel helpen of meedenken over virusscanners, maar inhoudelijk bespreken wat deze e-mail heeft ‘getriggerd’ kunnen we hier niet. Ik zal daarom vragen of deze afdeling contact met jou opneemt en bespreekt wat nu de beste actie is voor jou. To be continued!

Misschien handig om nu ook wat antwoord te geven hoe anderen het ook op kunnen lossen, want nu hebben veel mensen een probleem aangepraat gekregen, maar is er geen oplossing direct beschikbaar.

 


Ik blijf inderdaad het probleem houden. Maar het is me niet duidelijk waar ik naar moet zoeken, dus als ze contact opnemen graag

Heb je het op kunnen lossen? Want in dit topic kom ik ook niet verder. Ik krijg een keer een privebericht met een poort die steeds op een of andere manier terug komt, maar het probleem is me niet duidelijk en ook niet wat ik zou moeten doen.


Hi @arnovr, ik heb een update! Klopt het dat je een website beheert? Eén van de verwijzingen binnen dat domein gaat naar een website die bij ons de waarschuwing getriggerd heeft, hoogstwaarschijnlijk omdat het een phishing site betreft. Voor meer details zal ik je een privébericht sturen met de specifieke links en websites. 

Ik heb ook een website op mijn synology draaien, maar dat is absoluut niet een phishing website. Toch krijg ik nu ook deze abstracte melding. Wat is het probleem en waar is de hulp die er bij te verwachten is? Ik krijg nu alleen maar een dreigement dat mijn internet beperkt gaat worden.. Ook zo abstract.


@Sander @Jason 
Hallo, vandaag kregen wij deze melding ook.

Hoe kan ik er achter komen waar dit vandaan komt?
Vanaf deze aansluiting worden ook websites beheerd (eigen hosting bedrijfje).

Ik goor het graag

 

@Sander @Jason 
Hallo, vandaag kregen wij deze melding ook.

Hoe kan ik er achter komen waar dit vandaan komt?
Vanaf deze aansluiting worden ook websites beheerd (eigen hosting bedrijfje).

Ik goor het graag

 

Heb je al een oplossing? Ik krijg nu ook de melding en ik heb ook een paar website draaien. Ik heb geen idee wat ik nu moet doen.


Hey @funkyduck, ik zag je privébericht voorbij komen. Ik kan niet precies zeggen wat je kunt of moet doen maar hier zijn een aantal tips om je misschien in de juiste richting te helpen. Hopelijk kom je dan een stapje dichterbij!

 

  1. Voorkom dat het SMB-protocol direct benaderbaar is via het internet: Dit betekent dat je de configuratie van je systemen moet herzien om ervoor te zorgen dat de SMB-service niet via het openbare internet toegankelijk is.

  2. Stel firewalls in: Configureer firewalls om communicatie met het internet te blokkeren voor de vermelde SMB-poorten: TCP poort 445, UDP poorten 137 en 138, en TCP poort 139.

  3. Schakel oude versies van het SMB-protocol uit: Als je oude SMB-protocollen gebruikt, schakel deze dan uit en gebruik zo mogelijk nieuwere en veiligere versies.

  4. Houd je systemen up-to-date: Zorg ervoor dat alle software, inclusief besturingssystemen en beveiligingspatches, up-to-date is om bekende kwetsbaarheden te verhelpen.

  5. Neem contact op met je IT-dienstverlener: Als je niet zeker weet hoe je deze maatregelen moet implementeren, of als je hulp nodig hebt, neem dan contact op met je IT-dienstverlener om dit probleem aan te pakken.

 

Als je verdere vragen hebt of hulp nodig heeft, kun je contact opnemen met het Digital Trust Center (DTC) via de verstrekte contactgegevens.

 


Hey @funkyduck, ik zag je privébericht voorbij komen. Ik kan niet precies zeggen wat je kunt of moet doen maar hier zijn een aantal tips om je misschien in de juiste richting te helpen. Hopelijk kom je dan een stapje dichterbij!

 

  1. Voorkom dat het SMB-protocol direct benaderbaar is via het internet: Dit betekent dat je de configuratie van je systemen moet herzien om ervoor te zorgen dat de SMB-service niet via het openbare internet toegankelijk is.

  2. Stel firewalls in: Configureer firewalls om communicatie met het internet te blokkeren voor de vermelde SMB-poorten: TCP poort 445, UDP poorten 137 en 138, en TCP poort 139.

  3. Schakel oude versies van het SMB-protocol uit: Als je oude SMB-protocollen gebruikt, schakel deze dan uit en gebruik zo mogelijk nieuwere en veiligere versies.

  4. Houd je systemen up-to-date: Zorg ervoor dat alle software, inclusief besturingssystemen en beveiligingspatches, up-to-date is om bekende kwetsbaarheden te verhelpen.

  5. Neem contact op met je IT-dienstverlener: Als je niet zeker weet hoe je deze maatregelen moet implementeren, of als je hulp nodig hebt, neem dan contact op met je IT-dienstverlener om dit probleem aan te pakken.

 

Als je verdere vragen hebt of hulp nodig heeft, kun je contact opnemen met het Digital Trust Center (DTC) via de verstrekte contactgegevens.

 

Dank je Tommie voor je reactie. Ik heb een IT-dienstverlener gecontacteerd en die zegt dat ik beter DMZ op de modem uit kan zetten. Maar dan werken helaas de websites niet meer. Het is namelijk niet gelukt om alleen poorten voor de websites open te zetten op het modem. Want de websites werken dan desondanks niet. Alleen DMZ inschakelen helpt om de websites te laten draaien, maar dan staat dus kennelijk alles open. Ik zou dus graag willen weten wat ik op het modem in kan stellen, zodat de websites wel werken, maar dat andere dingen zoals SMB gesloten is.


DMZ zorgt er voor dat je inderdaad de deur open zet voor alle apparaten die hierop zijn aangesloten. Dit is dus absoluut niet veilig. Veiliger zou zijn om achter het modem waarop DMZ aan staat een router te plaatsen met daarin wel werkende port forwarding opties. Dan fungeert deze router als de beveiliging.

Kun je eventueel een screenshot sturen van de ingestelde portforwarding? Dan kunnen we misschien helpen om dit correct in te stellen.

Daarnaast adviseer ik in het algemeen om geen webservers lokaal te draaien. Hosting pakketten bij bijv. Vimexx kosten nagenoeg niks en zodoende ligt geen enkel risico bij jou.

Ook zou je kunnen overwegen om je NAS enkel bereikbaar te maken via een VPN. Zodoende is je interne netwerk alleen bereikbaar via de VPN en dus niet voor iedereen 👍🏻.

Hoop dat je hier iets mee kunt.


DMZ zorgt er voor dat je inderdaad de deur open zet voor alle apparaten die hierop zijn aangesloten. Dit is dus absoluut niet veilig. Veiliger zou zijn om achter het modem waarop DMZ aan staat een router te plaatsen met daarin wel werkende port forwarding opties. Dan fungeert deze router als de beveiliging.

Kun je eventueel een screenshot sturen van de ingestelde portforwarding? Dan kunnen we misschien helpen om dit correct in te stellen.

Daarnaast adviseer ik in het algemeen om geen webservers lokaal te draaien. Hosting pakketten bij bijv. Vimexx kosten nagenoeg niks en zodoende ligt geen enkel risico bij jou.

Ook zou je kunnen overwegen om je NAS enkel bereikbaar te maken via een VPN. Zodoende is je interne netwerk alleen bereikbaar via de VPN en dus niet voor iedereen 👍🏻.

Hoop dat je hier iets mee kunt.

Beste Naud,

Hartelijk dank voor je bericht. Op de modem heb ik DMZ aan staan, omdat de website het anders niet doet. Ik heb ook geprobeerd om alleen de websitepoorten op de modem te forwarden, met DMZ uit, maar dan werkt de website niet. Wellicht doe ik het verkeerd, of is het zelfs niet mogelijk op de modem van Odido. Ik heb verder geen aparte router voor tussen de modem en de NAS en de rest van het netwerk. 

Ik heb een vriend gevraagd die mijn website heeft gemaakt en die zegt dat Vimexx een erg slecht bedrijf is. Trage website en geen support. Hij raadde evt. mijn.host aan.

Graag had ik de websites toch op mijn Synology draaien, omdat ik dat leuk vind en er draait een website op voor de jeugd van vroeger die in een bepaalde discotheek kwam. Dat is van mijn kan dus liefdadigheid en ik zou liever niet daar nog extra veel voor betalen.

Zou je me kunnen vertellen of, wanneer ik DMZ op de modem uitzet, het mogelijk is om wel succesvol de poorten voor de websites te forwarden naar de Synology?

 

 


@funkyduck kun je mij het scherm laten zien dat vertoont wordt wanneer je op “Nieuwe regel toevoegen” klikt? Ik heb ook een Odido aansluiting maar gebruik hiervoor een FRITZ!Box waardoor ik niet weet hoe de Odido modem interface er uit ziet.

En had je als protocol ook UDP uitgeprobeerd of enkel TCP?


@funkyduck kun je mij het scherm laten zien dat vertoont wordt wanneer je op “Nieuwe regel toevoegen” klikt? Ik heb ook een Odido aansluiting maar gebruik hiervoor een FRITZ!Box waardoor ik niet weet hoe de Odido modem interface er uit ziet.

En had je als protocol ook UDP uitgeprobeerd of enkel TCP?

Beste Naud,

Dank je voor je snelle reactie. Inmiddels heb ik DMZ uitgeschakeld, omdat anders echt alles open stond en ik problemen met Odido krijg en zelf ook niet zo veilig werk.

Ik heb geen UDP uitgeprobeerd. Alleen wat er nu staat. En dat werkt niet als DMZ uit staat

Ik heb een screenshot gemaakt van regel toevoegen:

 

Bij protocol kan ik hier voor kiezen:

 


Je had al 2 port forwardings staan en die kun je ook aanpassen zodat TCp en UDP worden geforward.


Je had al 2 port forwardings staan en die kun je ook aanpassen zodat TCp en UDP worden geforward.

Als ik TCP verander in TCP/UDP, dan doet hij het nog steeds niet.


@funkyduck Heb je DSL of glasvezel? Voor DSL zou het goed moeten staan, voor glasvezel moet je bij WAN-interface voor ETH_Internet kiezen.


Hi @funkyduck , 

@TMTV had gelijk, je hebt een Glasvezel verbinding en de port forwardingen waren ingesteld voor DSL. Ik het voor je aangepast. Nu zou het wel moeten werken. 


@funkyduck Heb je DSL of glasvezel? Voor DSL zou het goed moeten staan, voor glasvezel moet je bij WAN-interface voor ETH_Internet kiezen.

Ik heb inderdaad glasvezel. Ik wilde het daarom aanpassen, maar zag dat @Sven-Odido al in mijn modem had gezeten om het aan te passen :-P

Maar, het werkt! Wow, bedankt voor de hulp!

 

p.s. Moet het wel TCP/UDP zijn en niet alleen TCP?


@funkyduck Alleen TCP zou genoeg moeten zijn, dus dat zou ik zeker uitproberen. Mocht het toch niet goed werken, dan kun je het altijd weer aanpassen.


@funkyduck Alleen TCP zou genoeg moeten zijn, dus dat zou ik zeker uitproberen. Mocht het toch niet goed werken, dan kun je het altijd weer aanpassen.

 

Yes, dank je. Alleen TCP werkt inderdaad ook. Nu heb ik hem daar op staan.

@Tommie van Odido, ben ik nu helemaal veilig en word ik niet meer door Odido beperkt?


@funkyduck daar ga ik wel vanuit! Anders zul je nog een keer een melding ontvangen.


Reageer