Problemi po iskljucenom accountu - tcom

[madox]

Bok!

Vec polako ludim pa da pitam iskusnije i pametnije.
Dakle prije 5-6 dana dodjem doma, upalim komp kada ono iskljucen account. Zovem ekipu na helpdesku i nakon pola sata mi se javi agent i tipicna prica bla,bla,bla. Pitam ja zasto je account iskljucen, i on odgovori zbog nekakvog napada, navodno (DOS?! - valjda ddos, al dobro). Kada je napad bio, ne zna, tko je prijavio, ne zna...samo kaze provrti antivirus i spybot, sve ocisti i mi natrag upalimo. Ok, ja to sve napravim, komp i formatiram da ne bi bilo greske. Danas opet ista prica. Dodjem doma, account isljucen, sada na 7 dana, jer je 2. puta. Tko je prijavio,kada je napad bio, kojeg tipa, nitko ne zeli reci. Tehnicare koji bi mogli neki k**** od tome znati ne zele spojiti, a ja da pjevam borbene i pogadjam!
Mreza se sastoji od adb rutera koji je u bridgeu, mikrotik-a(pppoe), NAS synology 213j sa diskom i komp (formatirani). E sada jedino sto sam ja primjetio da povremeno netko pokusava preko SSH upasti na mikrotik (log file) i to traje neko vrijeme, ali se to desavalo i prije i nije nitko radio probleme (jucer navecer zadnji napad- ip nekog mail servera u nizozemskoj). S obzirom da ne znam kako se dalje prema ovom postaviti molim iskusnije da daju neku ideju.
Naravno avast i spybot su presarali i disk na synology-u da ne bi bilo problema.

puno pozdrava i hvala unaprijed...

[pizzonia]

Ja sam nedavno imao isti scenarij.. Zabrani u firewallu port 53 za upite izvana (proguglaj Open DNS resolver) i zatvori port 25 za mejlove.. Iduca kazna je mjesec dana:-)

[sandokan111]

Jel ti upaljen onaj firewall na njihovim korisnickim stranicama? Upali to ako nije.

[VedranO]

To su i meni napravili, ali su meni rekli da je kao primjeceno da se s mog korisnickog racuna salje na tisuce spam mejlova.

I ja nekak nagovorim lika da mi pusti net ponovo da cu to rjesit ali moram updejtat antivirus.

Provrtio par antivirusa i spybot i nista nije nadjeno.
To je bilo prije jedno 3 mjeseca, otada nista nikakvih problema. Ali meni tu nesto smrducka jer je meni ugovorna obveza istekla odavno i ja sam sad na mjesec do mjeseca usluzi, pa mogu prekinuti i otici kod drugoga kad hocu.
Tak da me ne bi cudilo da t-com na ovaj nacin plasi ljude.

[madox]

Eto mali update.... Carnet prijavio Tcomu da je u gluho doba noci kada niti jedan komp nije radio (osim NAS-a) isao ddos napad po portu 53 sa mog accounta (ip-a) ....e sada....NAS je jedini radio....koje su mi opcije... blokati port 53 na ruteru ili NAS rastaviti i ponovno sastaviti...ionako nije nista na njemu nadjeno...

pozz

[chief_wolfinjo]

prije par dana ista stvar i kod mojeg susjeda... bez ikakvog razloga ga isključili na dva dana... kao nekakvi virusi

[madox]

Eto blizi se dan ukopcavanja (sutra), a ja nista pametniji .
Dakle, sve sto ima disk(laptop,NAS,komp) u sebi sam provrtio sa malwarebytes anti-malware, bitdefenderom, spybotom, nodom, super antispyware i nista, ali nista nije nadjeno...na wifi-u mi je spojen Ipad 2, ali nemam ideje kako bi njega provjerio...odnosno da li on uopće može biti izvor problema? Na njega uglavnom nista nije stavljano i radio uglavnom samo za brzinski prelet preko web stranica.

Da li da se trenutno s tim zadovoljim....iduce iskapcanje je na mjesec dana ukoliko bide opet prijave...

Televizorima i NAS-u sam maknuo DNS i gateway iz postavki tako da vjerujem da ce biti samo u lokalnoj mrezi...takodjer sam na svim uredjajima iskljucio automatsko namjestanje vremena s obzirom da sam naletio na clanak od 11.02. gdje se opisuje Ddos napad preko NTP-a.

Svaka ideja dobrodosla...
Hvala unaprijed

[the_ghost]

Port 53 koji spominjes gore je DNS, ne bi se zacudio da mikrotik odgovara na DNS requestove i na vanjskoj IP adresi pa ga je netko koristio za DNS DDoS...

[Nikky]

Obzirom da ti je mikrotik glavni, prouči:
http://wiki.mikrotik.com/wiki/DoS_attack_protection
http://wiki.mikrotik.com/wiki/DDoS_D...n_and_Blocking
ovu uputu prilagodi tvojoj situaciji, dodaj i za port 53.

firewall best practice
http://forum.mikrotik.com/viewtopic.php?f=13&t=76314
http://wirelessconnect.eu/articles/s...outer_firewall

Prije svega ovoga vidi jel možeš napraviti upgrade na noviju verziju ?
nisi naveo na kojem hw ga vrtiš ?
http://www.mikrotik.com/download
pri tome prvo napravi backup bitnog (konfig) uključujući licencu jer se zna desiti da upgrade ne prođe glatko.

[madox]

Vec od ranije sam proucio i implementirao u firewall neke od tih ideja...ako je netko voljan i kuzi mikrotik mogu mu poslati screenshot firewall rulova da pogledati da li je ok...
prije ukopcavanja interneta ulogirao sam se i u adb ruter te sam vidio dosta novih zanimljivih stvari...ne znam da li je netko primjetio da su mijenjali firmware...kod mene je sada prga4202n_htc_2.1.1.0009-main, platform version 2.1.0.0041...
kako sam malo kopao da vidim sto se promijenilo nasao sam i log u kojem svako malo pise [neki broj] broadcom packet flow cahe flushing the flows[0M...ne znam da li je to nesto zabrinjavajuce?!?
pozdrav

[Nikky]

Obzirom da ti je ADB u Bridge mode, jeli mu WiFi ugašen ?
Za konfig mikrotika, skrij pvt podatke a onda upload - aj negdje.

[madox]

Bio je wireless upaljen jer su ga ocito ostavili upaljenog nakon promjene firmware-a...sada je ugasen....
sutra upload-am firewall mikrotika...sada sam malo u guzvi

lijepi pozz

[T0mB1ll]

frendu isto nedavno isključili account, da širi viruse..
ja uzeo kantu sebi, počistio, našo neki spyware, ali to nalazim kod svakog prosječnog korisnika koji mi dofura kantu a nisu mu iskopčali account..

da bi on odfurao kantu nazad doma, zove ih da ga priključe, a ne radi modem.. promijenili modem i dalje sve radi..

ja neznam ko tu koga

[madox]

sada bi jos najbolje bilo da su sj**** nesto sa tim firmware-om na adb-u pa to radi sranja , iako je on u bridge-u, svako malo povlaci neke gluposti sa centrale i zajebava mikrotik. Znam da kada su ga stavljali u bridge, u pocetku je sve bilo OK, nakon toga je nestalo struje i sam se vratio u route mode. Zovem ja sluzbu za korisnike i uvjeravaju oni mene da taj modem ne moze u bridge (a bio u bridgeu 2 tjedna :-)) ) Nakon toga me zove neki tehnicar da mora na centrali namjestiti passthrough da bi to radilo kako spada... Ne znam....sada strogo biljezim sto se desava po mrezi da u slucaju nekih novi problema mogu vidjeti, sta i od kuda...
Malo mi to sve nekako smrdi...

[Prezime]

Ne mijenja ti T-Com firmware na routeru, nego samo postavke, a o njima bi i tako trebao sam brinut, ako namjeravas izbjeci ovakve svinjarije.
Taj ADB router se moze postavit i u pravi bridge mod i u pseudo bridge mod i u PPPoE passthrough i u router mod i u WAN mod i sve to mozes sam napravit bez njihove intervencije. I za to da ti prestane povlacit kojekakve gluposti sa centrale se mozes sam pobrinuti...

Citiraj:

Autor madox

ne znam da li je netko primjetio da su mijenjali firmware...kod mene je sada prga4202n_htc_2.1.1.0009-main, platform version 2.1.0.0041...

Nije nista promijenjeno, pogotovo ne firmware. Ova navedena verzija je prisutna od prvih modela koje su dijelili.

[grga11]

Pozdrav!

Evo i meni su danas po treći puta u zadnja 3 mj. isključili net. Imam MTik-a input dns port začepljen, blokirani outgoing port 25 (sve to već godinu i više). Uopće ne koristim ni na jednom od 2 kompa email client, koristim samo gmail. SZK kaže naravno "isključili smo vas zbog širenja virusa"... Obrazloženje je da se upucaš... Prošli puta pošaljem mail tehničkoj službi i kažem sve gore navedene postavke mog firewall-a, te zatražim detaljnije obrazloženje i oni "odmah" nakon 10 dana odgovore generičkim mailom kako je korisnik isključen zbog spama.

Nemam više ideje šta napravit, kome se žalit... U 8. mj. mi istječe ugovorna obveza i definitivno mjenjam providera jer ovo više nije normalno.

Odem u T-Centar i pitam gospođu da li će mi biti umanjen iznos za ovaj mjesec, a ona odgovori da ne zato što imam ugovornu obvezu i fiksni iznos za 24 mj. Ja joj rekoh da je to kršenje zakona jer nemogu mi naplatiti nešto što ne koristim. A ona se opet uhvatila ugovora i obveze te mi čak isprintala primjerak ugovora da mi pokaže da sam potpisao i prihvatio navedenu cijenu. I onda kažu ljudi da sam nenormalan, primitivan i neodgojen kad sam počeo urlat....

Dobro došli u EU....

ovako sigurno rade i u deutschlandu...

[Prezime]

Jesi li jednom u ta tri puta kontrolirao koji ti mozebitno nepocudni softver drzi otvoren DNS-resolver? Jesi kontrolirao otvorenost na nekom DNS-resolve test sajtu, kao ovom recimo: http://www.thinkbroadband.com/tools/dnscheck.html i s kojim rezultatom?

[sandokan111]

Nitko nije napisao sta vam pise jeli vam firewall na njihovim stranicama ukljucen ili ne?

Meni je tako poslano isto bilo ima 3-4 godine, pa sam trazio da mi tocno headere mailova posalju, sta su nakon nekog vremena i napravili, posto nista nije imalo veze samnom, ukljucio sam nazad taj njihov kvazi firewall na user.t-com.hr i od tada nije bilo nikakvih problema. Sve se meni cini da je to ili nekakvo zastrasivanje, ili njima interno po serverima haraju trojani i onda ispadne da stize od ovog ili onog usera.

[chief_wolfinjo]

moja stara je zvala Društvo za zaštitu potrošača i tamo je njihova odvjetnica rekla da zbog tih navedenih razloga T-com ili bilo koji drugi operator te nema pravo isključititi... te da komunikacija preko e-maila ili telefona neće ništa rješitit....jer se samo javljaju njihovi agenti koji nemogu ništa i niti
obavezno ih treba kontaktirati pismenim putem i zahjtevati pismeni odgovor da navedu iz kojeg razloga si isključen.

[grga11]

Citiraj:

Autor Prezime

Jesi li jednom u ta tri puta kontrolirao koji ti mozebitno nepocudni softver drzi otvoren DNS-resolver? Jesi kontrolirao otvorenost na nekom DNS-resolve test sajtu, kao ovom recimo: http://www.thinkbroadband.com/tools/dnscheck.html i s kojim rezultatom?

Da provjereno svaki puta sa rezultatom:

"....did not find an open DNS resolver running. "