Uit SlowTrainWiki

Als je een ADSL-abonnement bij XS4All hebt, en XS4All detecteert dat vanaf je aansluiting spam wordt verstuurd, of aanvallen worden verricht, dan wordt je verbinding afgesloten. Of om precieser te zijn: Het verkeer wordt gefilterd; zeg maar afgeknepen.

Waarschijnlijk is dit een goede zaak. Een minder goede zaak, althans in mijn ogen, is dat XS4All het nogal gecompliceerd maakt om de benodigde gegevens te verkrijgen. Een e-mail met instructies worden naar het XS4All-e-mail-adres gestuurd dat hoort bij het betreffende abonnement. Indien je dat e-mail-adres niet gebruikt, heb je een probleem. Het XS4All Abuse Center is daarnaast niet telefonisch bereikbaar, en indien je zelfs niet weet wat je XS4All-inlognaam is, ben je helemaal in de aap gelogeerd, omdat inlognamen niet telefonisch verstrekt worden. Daarnaast is het Abuse Center in mijn ogen traag met reageren. Als je op vrijdag wordt afgesloten, en je neemt diezelfde dag de oorzaak van de overlast weg, kan het makkelijk tot dinsdag duren voordat je weer online bent.

Ik heb dit een paar keer meegemaakt. In ieder geval één keer voor een zakelijke klant van mij, en zeker drie keer privé (omdat ik als het even kan, m'n wireless LAN open laat staan -- dus niet meer). Ik snap niet waarom XS4All de relevante informatie enkel per e-mail naar het betreffende XS4All-e-mail-account ter beschikking stelt, want elke keer was de procedure hetzelfde. In dit artikel de belangrijkste zaken bij elkaar, zodat je snel, en wellicht zonder toegang tot je XS4All-e-mail-acocunt, van het probleem wordt verlost.

Inhoud 1 Casussen 2 E-mail XS4All: Afsluiting 3 E-mail XS4All: Opvolging 4 Internettoegang via proxy-server 5 Probleem oplossen 6 Scanners 7 Scanners installeren in Veilige Mode?

Casussen

• Op vrijdag 12 februari 2010 rond 13:00 afgesloten. Rond 14:00 oorzaak van het probleem weggenomen en e-mail gestuurd naar abuse-e-mail-adres, volgende dag (zaterdag) rond 14:00 was de blokkering verholpen;
• Op woensdag 24 november 2010 rond 15:30 bij een klant alle computers gescanned, en XS4All een e-mail gestuurd. Rond 10:00 de volgende dag was de blokkering verholpen.

E-mail XS4All: Afsluiting

Dit is een voorbeeld van de e-mail waarin XS4All pleegt kenbaar te maken dat er een probleem is geconstateerd, en dat de verbinding is afgeknepen. Deze e-mail is het startpunt.

(If you need a translation, please contact abusecentre@xs4all.nl)

Geachte klant,

Het XS4ALL Abuse Centre heeft geconstateerd dat er vanaf uw systeem
aanvallen zijn uitgevoerd en mogelijk geslaagde hackpogingen zijn
verricht. Lees deze mail alstublieft aandachtig.

Mogelijk is uw verbinding al gedeeltelijk afgesloten om verdere overlast
te voorkomen.  Door de proxy server in te stellen kunt u websites
bezoeken, programma's en updates downloaden, hulp bij het instellen
van de proxy vindt u op:

<https://www.xs4all.nl/helpdesk/beveiliging/proxy/>

Vermoedelijk vindt het misbruik plaats door derden die gebruik maken
van een op uw systeem(en) geinstalleerde "Trojan Horse".  Dat is
software die waarschijnlijk zonder uw medeweten is geinstalleerde op
uw systeem(en) met de intentie het systeem te misbruiken.

Helaas is het onze ervaring dat trojans en ook virussen op moment van
besmetting de antivirusoftware kunnen beschadigen. Hierdoor zijn de
uitslagen van de antivirus software niet meer betrouwbaar en lijkt
uw computer schoon terwijl dat niet zo is.

Daarom staan er in deze waarschuwing scanners die u kunt gebruiken
om het probleem op te sporen en te verwijderen. Deze tools worden
ondanks de besmetting niet beinvloed, deze zijn ontwikkeld om het
probleem op te sporen en te verwijderen.

Om de scanners hun werk goed te laten doen, moeten ze voorzien
te zijn van de laatste updates en moeten scannen terwijl de pc in
safe mode is opgestart.

U kunt het beste met alle drie de programma's scannen omdat deze niet
hetzelfde doen, maar elkaar aanvullen.

Avira Antivir: <http://www.free-av.com>
Malwarebytes Anti-Malware: <http://www.malwarebytes.org/mbam.php>
McAfee Stinger: <http://vil.nai.com/vil/stinger/>

Voordat u de scans uitvoert is het noodzakelijk de programma's, indien
mogelijk, van de nieuwste updates te voorzien.

We raden u aan, te scannen in Windows Veilige Modus, zie
<http://www.xs4all.nl/helpdesk/beveiliging/modus/>

Na het verwijderen van de trojans dient uw systeem herstart te worden,
en de scans opnieuw uitgevoerd, pas daarna weet u zeker dat de
trojans daadwerkelijk verwijderd zijn.

Het is aan te raden antivirus en firewall software te installeren,
deze kunt u downloaden uit het service centre. Deze software moet wel
regelmatig (liefst automatisch) voorzien worden van updates, net zoals Windows.

<https://service.xs4all.nl/>

Indien u gebruik maakt van Linux- of Apple-besturingssysteem dan is het 
verstandig  deze te controleren op rootkits en andere beveiligingslekken. 
Wij kunnen u daar op verzoek meer informatie over geven.

Graag vernemen wij van u het volgende:

- welke trojan(s) en/of virus(sen) er verwijderd zijn ;
- met welke programma's de trojan(s) en/of virus(sen) er verwijderd zijn ;
- of de programma's voorzien zijn van de laatste updates en de scans zijn uitgevoerd
in safe mode ;
- of er antivirus en/of firewall software geinstalleerd is ;
- of alle software van Windows, antivirus en firewall voorzien zijn van de laatste
updates;

Voor hulp kunt u ons per email bereiken op <abusecentre@xs4all.nl>

Wanneer we uw verbinding gefilterd hebben, kunt u mogelijk geen email
versturen met uw normale emailprogramma. U kunt dan mail sturen via secure webmail:
<https://webmail.xs4all.nl>, of door in uw emailprogramma de poort voor
uitgaande email (smtp) te veranderen in poort 587 en smtp-autenticatie
aan te zetten. Onze helpdesk kan u daarbij helpen, bel 020 - 398 7666.

Met vriendelijke groet,
XS4ALL Abuse Centre

(Logregels indien beschikbaar)
Botnet  | 80.101.219.147  | 2010-02-11 16:06:19 mwtype Conficker | XS4ALL-NL XS4ALL
Botnet  | 80.101.219.147  | 2010-02-11 16:07:26 mwtype Conficker | XS4ALL-NL XS4ALL
Botnet  | 80.101.219.147  | 2010-02-11 19:08:12 mwtype Conficker | XS4ALL-NL XS4ALL
Botnet  | 80.101.219.147  | 2010-02-11 19:10:07 mwtype Conficker | XS4ALL-NL XS4ALL
Botnet  | 80.101.219.147  | 2010-02-11 19:10:52 mwtype Conficker | XS4ALL-NL XS4ALL

E-mail XS4All: Opvolging

Geachte [...],

Hartelijk dank voor uw bericht. Gezien de genomen maatregelen, ga ik ervan
uit dat u de problemen heeft weten te vinden en op te lossen. De blokkade
is verwijderd. Het kan ongeveer 60 minuten duren voordat dit merkbaar is.
Graag wil ik u de volgende adviezen meegeven om uw computer(s) zo goed
mogelijk te beschermen:

1. Controleer regelmatig of de laatste beveiligingsupdates geïnstalleerd
zijn, dit kan via de update-functie of WindowsUpdate
(http://windowsupdate.microsoft.com/ )

2. Installeer een antivirusprogramma en firewall. Controleer regelmatig of
er updates zijn.

3. Zet poortbeveiliging aan(alleen voor XS4ALL Only).
Met poortbeveiliging blokkeert u een aantal poorten van uw computer
waarvan trojans vaak misbruik maken en welke doorgaans niet door u
gebruikt zullen worden.

Hoe kunt u dit activeren?

* Ga naar https://service.xs4all.nl/ en klik op "Internet toegang".
* Log in met uw gebruikersnaam en wachtwoord.
* Klik op 'Poortbeveiliging instellen' en kies vervolgens het gewenste
beveiligingsniveau.

4. Draadloos modem beveiligen.

Gebruikt u een wireless modem, dan raad ik u aan om deze te beveiligen met
een WPA2-key en op basis van Mac-adres. Wanneer het een via XS4ALL
verkregen wireless modem betreft, kunt u meer informatie vinden op:
https://www.xs4all.nl/helpdesk/wireless/
In alle andere gevallen kunt u de informatie vinden via de handleiding van
uw modem of eventueel via de website van de fabrikant.

Lees meer adviezen op :

https://www.xs4all.nl/veiligheid
https://www.xs4all.nl/helpdesk/beveiliging/

-- 
Met vriendelijke groet,

[...]
Abuse Centre

XS4ALL Internet bv

Internet: www.xs4all.nl
Contact: www.xs4all.nl/contact
Telefoon:  020-3987666 (particulier) / 020-3987656 (zakelijk)

Internettoegang via proxy-server

Gebruik van de proxy-server is gemakkelijk in een browser te configureren. Het gaat om de volgende parameters:

• Proxy-server: proxy.xs4all.nl
• Poort: 8080
• Proxy niet gebruiken voor locale adressen. Indien je deze locale adressen moet specificeren, bv.: localhost, 127.0.0.1, 192.168.1.0/24

Firefox - Linux

Edit > Preferences > Advanced > Network > Settings: Manual proxy configuration

Firefox - Windows

Tools > Options > Advanced > Network > Settings: Manual proxy configuration

Internet Explorer

Tools > Options > Connection > LAN > Advanced (of zoiets)

Probleem oplossen

Een imperfecte maar practische aanpak:

1. Schakel de proxy in ivm. downloaden updates;
2. Installeer de drie genoemde virusscanners. Waarschijnlijk moet je Avira Antivir in Gewone Mode installeren, de andere in Veilige Mode;
3. Scan de computer(s) in Veilige Mode met alle drie de virusscanners tegelijkertijd;
4. E-mail resultaten naar abusecentre@xs4all.nl samen met het XS4All-relatienummer;
5. Scan nog een keer in gewone mode.

Mocht je toch toegang willen krijgen tot je XS4All-e-mail-account:

• Webmail: https://webmail.xs4all.nl/src/webmail.php
• Je hebt je inlognaam nodig. Mogelijk staat die in je modem vermeldt. Daarnaast zou die vermeld staan in een brief die je bij afsluiting van het abonnement hebt ontvangen. Mocht je de XS4All helpdesk spreken, dan kunnen zij je wellicht vertellen sinds wanneer je een abonnement hebt. Dat maakt het wellicht wat makkelijk om in je administratie de betreffende brief terug te vinden
• Je hebt je wachtwoord nodig. Mogelijk is dat je postcode. Bv. 1012GT. Je wachtwoord kun je telefonisch opnieuw laten instellen, maar je moet dan wel je inlognaam weten.

Scanners

Zie artikel Virusscanners.

De truuk is, dat ik op locatie bij klanten scanners op m'n USB-stick bij me wil hebben, liefst inclusief updates, en dat zowel de scanners als de updates in Veilige Mode geïnstalleerd kunnen worden, en in Veilige Mode moeten kunnen scannen.

Scanners installeren in Veilige Mode?

Ik ben huiverig om virusscanners te installeren in de gewone modus: Dan zijn de betreffende virussen/spyware actief, en het zou me niet verbazen als de virusscanner beschadigt raakt. In het ideale geval kan dit wellicht iteratief worden opgelost:

• Beginnen met scanners die in Veilige Mode kunnen worden geïnstalleerd en kunnen scannen;
• Vervolgens scanners gebruiken die alleen in gewone modus geïnstalleerd kunnen worden.