DNA kyselee virusten perään

  • Keskustelun aloittaja Keskustelun aloittaja autsi
  • Aloitettu Aloitettu
Liittynyt
25.01.2017
Viestejä
582
Eli Dna:lta tullut nyt pari soittoa että mulla on kuulemma jonkun kyberuhkalaitoksen mukaan jotain hämäryyttä nettiliikenteessä.

Jostain takaportista se puhu ja että pitäis tehä jotain webshell skannausta. Malwarebytesillä skannasin koneet eikä mitään löytynyt.
Käytössä on windowsin oma virustorjunta.

Oisko mitään lisäneuvoja heittää? Niin ja onhan mulla toi Adguardikin käytössä.
 
Onko Windows-kone ainoa laite joka käyttää nettiliittymääsi? Joku muukin laite voi olla saastunut.

Mulla oli joskus sama ongelma Telian kanssa. Joku Android tabletti mulla muistaakseni sitten paljastui että lähetteli roskapostia itsekseen.
 
Kertoivatko onko kyseessä liittymästä lähtevä liikennne? Jos on, ja olettaa että on normaali kotireititin käytössä, voi liikenne tulla mistä vaan verkkoon liitetystä laitteesta, kuten tietokone, puhelin, tabletti, äly-TV. Periaatteessa myös naapurin laite, jos langattoman verkon salasana on muilla tiedossa, liian helppo, tai verkko on kokonaan avoin.

Jos reititin on uudehko ja päivitetty, ja useimmat laitteet ovat wifissä, voisi aloittaa vaihtamalla wifin salasanan. Sitten liittää uudelleen vain varmasti puhtaita laitteita.

Yhdessä tällaisessa tapauksessa selvisi lopulta, että DNA:n oma modeemi oli korkattu..
 
Ei löytynyt Shodanista eikä abuseipdb:stä mitään. Reitittimes on viimeisin päivitys.

Kellonajan perusteella mitä se sanoi tiedän mitkä kaksi konetta on olleet netissä siihen aikaan mutta niistä ei viruksia löytynyt.
Reititin on resetoitu ja salasana vaihdettu puhelujen välissä.

Tietysti onhan puhelin kokoajan wifissä kiinni. Oisko mitään ohjelmaa millä puhelimen skannaisi?
 
Milloin viimeisin firmware päivitys tullut purkkiin? Jos 2v+ sitten niin osta uusi.
Mikä salasana vaihdettu? Purkin kirjautumis vaiko wifi vai molemmat? Onko purkissa netin kautta tapahtuva kirjautuminen mahdollista, vaiko vain lähiverkon kautta?
 
Kannattaa kanssa tsekata mitä laitteita sulla on wifi verkossa, siellä saattaa olla joku sellanenkin laite mikä ei ole sinun ja pääsy wlaniin, operaattorin näkökulmasta on myös sun laitteita. Fiksummasta reitittimestä löytyy ip lista ja laite nimistä selkokielisenä
 
Viimeksi muokattu:
Kannattaa kysyä sieltä DNA:lta raporttia ihan sähköisesti sähköpostiin, niin sen jälkeen ei välttämättä tarvitse arvuutella, että mitä siellä puhelimessa on kerrottu ja varmasti saa paremmat ohjeet täällä, että missä todennäköisesti on jotain ylimääräistä.

Traficom valvoo ja ilmoittaa operaattorille haittaliikenteestä.


Jos asialle ei mitään tee, niin äkkiä nettisi on irti ja poikki.

Tässä esimerkki raportista, jonka sain työntekijän liittymästä.

IMG_0604.jpeg

ko. tapauksessa syypää oli vanhempi mäkki.
 
Reitittimes on viimeisin päivitys
Onko reitittimellä julkinen vai CG-NAT ip4-osoite? Onko ipv6 päällä
Jos on julkinen ipv4-osoite, niin kuinka stabiili se on vai vaihtuuko päivittäin? Jos kyllä, niin abuseipdb ei pysy perässä ja/tai itsellä pitäisi olla historia tallessa, että voi tarkistaa vanhojakin osoitteita
 
Ei löytynyt Shodanista eikä abuseipdb:stä mitään. Reitittimes on viimeisin päivitys.

Kellonajan perusteella mitä se sanoi tiedän mitkä kaksi konetta on olleet netissä siihen aikaan mutta niistä ei viruksia löytynyt.
Reititin on resetoitu ja salasana vaihdettu puhelujen välissä.

Tietysti onhan puhelin kokoajan wifissä kiinni. Oisko mitään ohjelmaa millä puhelimen skannaisi?
Mikä reititin on kyseessä?
 
Se voi ihan hyvin olla reititin. Mulle tuli ~5 vuotta sitten Elisalta vastaava ilmoitus. Syynä oli Asuksen reititin, jossa paikkaamaton haavoittuvuus, johon oli jo hyökkäyskoodit julkaistu. Nollapäivähaavoittuvuus siis.

Reitittimeen pitäisi periaatteessa auttaa ihan bootti, mutta minä resetoin sen ja asensin firmiksen uudestaan. Laitoin myös heti tilaukseen minipc:n, josta tuli ensin pfSense muuri ja nykyään siinä on OPNsense. Palomuurikonetta odotellessa pidin Asuksen reititintä päällä vain silloin, kun oli pakko päästä nettiin.
 
Reititin on Huawei B715s-23c.

Salasanat on vaihdettu kirjautumiseen ja wifiin. Mistäs toi selviää pystyykö netin kautta kirjautumaan?

Onko reitittimellä julkinen vai CG-NAT ip4-osoite? Onko ipv6 päällä
Jos on julkinen ipv4-osoite, niin kuinka stabiili se on vai vaihtuuko päivittäin? Jos kyllä, niin abuseipdb ei pysy perässä ja/tai itsellä pitäisi olla historia tallessa, että voi tarkistaa vanhojakin osoitteita

Mites noi nyt tarkistetaan?

Joo pitää pyytää dna:lta raporttia.
Ja ei siellä laitelistassa näkynyt kuin omia laitteita.
 
Tällänen keskustelu oli DNA.n kanssa.

You:
- "Päivää. Sieltä on nyt pari kertaa soitettu että mulla on jotain hämärää nettiliikenteessä. Niin saisinko siitä jotain tarkempaa raporttia?"


Human agent:
- "Pieni hetki niin tarkistelen"


Human agent:
- "Tällä hetkellä ei vaadi sinulta mitään toimenpiteitä on meidän viimeisin tieto"


Human agent:
- "Tekninen puoli on asiaa hoitamassa"


You:
- "Niin onko se vika nyt mun vai teidän pääs?"


Human agent:
- "Tekninen tuki tietää, enempää en osaa sanoa asiasta valitettavasti"


Human agent:
- "muuta ei ole kirjattu kuin että ei vaadi toimenpiteitä sinulta"


You:
- "jaahas"
 
Reitittimen etäkäyttö/ hallinta kannattaa kaiketi kytkeä pois päältä. Siellä se lisäasetuksissa saattaa löytyä.

Kannattaa varmaan toisella antivirus ohjelmalla tietokone skannata.
 
Mites noi nyt tarkistetaan?
Yhteyden kesto näkyy luultavasti reitittimen hallinnan alkusivulla. Toki jos olet vastikään boottaillut ja tehnyt mahdollisia resetointeja reitittimelle, niin yhteyden kesto on alkanut viimeisimmästä.

Verkkoasetuksissa mobiiliverkon internet-yhteyden profiilissa on sekä APN-merkkijono ja sen tyyppi (IPv4 tai IPv4v6).
 
Eli ei julkista IPv4:ää. Myös palomuuri blokkaa oletuksena kaiken tulevan IPv6-liikenteen. Sinulla on siis melko pienet mahdollisuudet tulla hakkeroiduksi netistä sisälle päin -aloitteella ja olemattomat, jos vielä tarkistat, että UPnP on pois päältä, kuten oletuksena pitäisi
 
Eli Dna:lta tullut nyt pari soittoa että mulla on kuulemma jonkun kyberuhkalaitoksen mukaan jotain hämäryyttä nettiliikenteessä.

Jostain takaportista se puhu ja että pitäis tehä jotain webshell skannausta. Malwarebytesillä skannasin koneet eikä mitään löytynyt.
Käytössä on windowsin oma virustorjunta.

Oisko mitään lisäneuvoja heittää? Niin ja onhan mulla toi Adguardikin käytössä.
Mulle tuli kanssa soittoa joku pari vuotta sitten.En muista et mikä haittaohjelma oli pesiytynyt johonkin kodin laitteeseen.
 
Eli ei julkista IPv4:ää. Myös palomuuri blokkaa oletuksena kaiken tulevan IPv6-liikenteen. Sinulla on siis melko pienet mahdollisuudet tulla hakkeroiduksi netistä sisälle päin -aloitteella ja olemattomat, jos vielä tarkistat, että UPnP on pois päältä, kuten oletuksena pitäisi

No toi UPnp oli kyllä päällä ilman että olin pistänyt sitä päälle.

Pitää nyt sitten vaan odottaa että soitteleeko ne vielä sieltä. Mukavaa vaan kun ensin pelotellaan ja sitten ei voi kertoa mikä siellä on ja kenellä vikana.
 
Ittelle tuli aikanaan elisalta viestiä kun löin uuden reitittimen ilman päivityksiä sisään, oli vähän ruuhkaa käyttäjissä :think:
 
Lainataas vähän omaa ketjua.

Reititin Huawei B715s-23C ja DNA:n 5G. Pitkän aikaa ollut nopeuden kanssa heittelyä ja nyt viimesen viikon ollut niin että ei meinaa pystyä kattomaan yle areenaakaan täydellä resolla. Speedtestillä lataus tippunut n.150:stä n.5-20:een. Uploadi pysynyt samassa.

Dna:n tuesta aina sanottu että ei vikaa heidän päässään.

Voiko toi reititin niinsanotusti degreidata ettei se jaksa ladata enää nopeempaa? Resetoitu on ja monesti.
 
TR-069-etähallinta "backdoor" kannattaa kytkeä reitittimestä pois päältä, jos sellainen asetus on ja Huawein modeemeissa se on oletuksena päällä. Luultavasti yleisin tapa murtautua reitittimeen on TR-069-protokolan kautta.
 
Lainataas vähän omaa ketjua.

Reititin Huawei B715s-23C ja DNA:n 5G. Pitkän aikaa ollut nopeuden kanssa heittelyä ja nyt viimesen viikon ollut niin että ei meinaa pystyä kattomaan yle areenaakaan täydellä resolla. Speedtestillä lataus tippunut n.150:stä n.5-20:een. Uploadi pysynyt samassa.

Dna:n tuesta aina sanottu että ei vikaa heidän päässään.

Voiko toi reititin niinsanotusti degreidata ettei se jaksa ladata enää nopeempaa? Resetoitu on ja monesti.

Asutko SYV:n alueella, jolloin on mahdollista, että aiemmin käyttämäsi tukiasema olisi poistettu käytöstä ja uusi tukiasema on kauempana? DNA:n ja Telian tukiasemia on harvennettu jonkin verran SYV uudistuksen yhteydessä.
 
TR-069-etähallinta "backdoor" kannattaa kytkeä reitittimestä pois päältä, jos sellainen asetus on ja Huawein modeemeissa se on oletuksena päällä. Luultavasti yleisin tapa murtautua reitittimeen on TR-069-protokolan kautta.

Huawei b818 laitteesta olen yrittänyt sulkea tuota etähallintaa, mutta ilmeisesti se ei mene pois päältä, kun lokissa lukee aina jotain tr069 umts voice connected. Mitähän tarkoittaa edes.

Toimiiko netti hitaasti myös Ethernet piuhalla?
 
TR-069-etähallinta "backdoor" kannattaa kytkeä reitittimestä pois päältä, jos sellainen asetus on ja Huawein modeemeissa se on oletuksena päällä. Luultavasti yleisin tapa murtautua reitittimeen on TR-069-protokolan kautta.
Oliko tämä nyt tarkoitettu kenelle ? 5G mokkula käyttäjälle ?
Eikö tuo ole protokolla mitä käytetään ihan sen laitteen ylläpitämiseen ajantasalla operaattori tuotteissa, ja mokkula liittymissä on usein vähän tiukempi palomuuri kuin kupariliittymissä.

Lainataas vähän omaa ketjua.

Reititin Huawei B715s-23C ja DNA:n 5G. Pitkän aikaa ollut nopeuden kanssa heittelyä ja nyt viimesen viikon ollut niin että ei meinaa pystyä kattomaan yle areenaakaan täydellä resolla. Speedtestillä lataus tippunut n.150:stä n.5-20:een. Uploadi pysynyt samassa.

Dna:n tuesta aina sanottu että ei vikaa heidän päässään.

Voiko toi reititin niinsanotusti degreidata ettei se jaksa ladata enää nopeempaa? Resetoitu on ja monesti.
Kuvaus sopii enemmän johonkin muuhun kuin viruksiin, toki niistäkin voi johtu, mutta noissa 4G mokkulaketjuissa voisi olla enemmän kokemusta.
Ensin tsekata ne mobiiliyhteyden laadut, tuo ilmeisesti sisä 4G reitin, niin sen sijoitus on ratkaiseva, jos käyttä paikka on alueella missä paljon kesäasukkaita ymv. niin ruuhkaisuus, ja tietenkin tuo mainittu, jos verkossa päivityksiä.

Edit:
Tämä liitty aloitukseen, no ensin varmistaisin että onko nimenomaan DNA oltu yhteydessä, ja se ihan mahdollista ja jos verkossa on saastunut laite, niin se voi toki viedä kaistaa tai muuten tukkia reititintä.

Yleensä perus toimenpide irroittaa kaikki laitteet kotiverkosta, reitin nollata/asentaa tuorein ohjelmisto, turvallisella laitteella, ja WiFi verkko nimetä uudella nimella ja tai PSK vaihtaa.

Laite kerralla nollata/asentaa tuorein ohjelmisto. ja vasta sen jälkeen liittää verkkoon. Vanhentuneet, ei enään tuoteut jättää irti, samoin epämääräiset ei luotettavat, mukaan lukien ns kiinan tilaukset.
 
... jos vielä tarkistat, että UPnP on pois päältä, kuten oletuksena pitäisi
Hyvin monissa reitittimissä UPnP on oletuksena päällä. Normaalitilanteessa se helpottaa käyttöä, kun ei tarvitse tehdä porttiohjauksia/avauksia sisäverkosta ulos eri peleille jne, mutta sitten taas toisaalta se tuo mukanaan tietoturvahaasteen, kun mikä tahansa sisäverkkoon päässyt haittaohjelma voi pyytää pääsyä samalla tavalla ilman käyttäjän toimia.
 
Joo ei vaikuttanut reitittimen vaihto.

Tos juttelin yhen pätevämmän kanssa jolla oli samoja ongelmia ja oli ollut monta kertaa Dna:han yhteydessä asian tiimoilta että täälläpäin 5G:n käyttöönoton jälkeen 4G on ruvennut lagaamaan.

Hän oli jo firmaa vaihtanut ja näköjään ittelläkin loppuu sopimus ensi kuussa.
 
Joo ei vaikuttanut reitittimen vaihto.

Tos juttelin yhen pätevämmän kanssa jolla oli samoja ongelmia ja oli ollut monta kertaa Dna:han yhteydessä asian tiimoilta että täälläpäin 5G:n käyttöönoton jälkeen 4G on ruvennut lagaamaan.

Hän oli jo firmaa vaihtanut ja näköjään ittelläkin loppuu sopimus ensi kuussa.

Juu kyllä ainakin wifi toimii huonommin SYV verkon tultua. Itse suosin prepaideja, ettei tarvitse sitoutua operaattoriin.
 
Juu kyllä ainakin wifi toimii huonommin SYV verkon tultua. Itse suosin prepaideja, ettei tarvitse sitoutua operaattoriin.
Wifin toimintaan ei vaikuta operaattori laisinkaan vaan omat vehkeet.

Joo ei vaikuttanut reitittimen vaihto.

Tos juttelin yhen pätevämmän kanssa jolla oli samoja ongelmia ja oli ollut monta kertaa Dna:han yhteydessä asian tiimoilta että täälläpäin 5G:n käyttöönoton jälkeen 4G on ruvennut lagaamaan.

Hän oli jo firmaa vaihtanut ja näköjään ittelläkin loppuu sopimus ensi kuussa.

Tuliko 5G päivitysten myötä SYV alueelle? Mikäli kyllä niin asia saattaa parantua ajan kanssa kun optimoivat mutta onhan se tuskallista odotella. Mikäli yhteydet eivät toimi sopimuksen viitearvoissa voisin olettaa operaattorin tulevan vastaan hinnassa/lähettää jonkun ukon vähän haistelemaan signaali arvoja jotta laitteille löytyy optimaalinen sijainti tai jos alueella on enemmänkin peittoa suuntaamaan tukiaseman antenneja paremmin.
 
En ole näköjään SYV alueella. Ja eiköhän noi viitearvot ole niin leveät että niinkauan kun nettisivut jotenkin toimivat niin verkko on kunnossa.

Aattelin vaan kyllä että vaikuttaakohan se operaattorin vaihtokaan mitään jos tää on joku yleisongelma.

Noh onhan niissä 14pv palautusoikeus.
 
Eli Dna:lta tullut nyt pari soittoa että mulla on kuulemma jonkun kyberuhkalaitoksen mukaan jotain hämäryyttä nettiliikenteessä.

Jostain takaportista se puhu ja että pitäis tehä jotain webshell skannausta. Malwarebytesillä skannasin koneet eikä mitään löytynyt.
Käytössä on windowsin oma virustorjunta.

Oisko mitään lisäneuvoja heittää? Niin ja onhan mulla toi Adguardikin käytössä.
Et saanut sähköpostiin mitään kirjallista raporttia heiltä, jonka heille on kyberturvallisuuskeskus (traficom) toimittanut? Siinä lukee tarkalleen mikä haittaohjelma on kyseessä, niin tällöin pääsee alkuun ja puhdistamaan. Jos sinnepäin olet vielä yhteydessä, niin pyydä että lähettävät postiisi sen haittaliikenneilmoituksen.
 
Eipä siinä mitään tutkittavaa ole. Todennäköisesti aspalainen ei tiennyt mistä oli kyse.

Se alkuperäinen haittaohjelma ongelmahan oli 3kk takaa. Ja DNA aspahan sanoi että heidän tekniikka tutkii ja hoitaa ja ei vaadi asiakkaalta mitään toimenpiteitä enää. Ja niinhän oli ilmeisesti tapahtunutkin, kun OP ei enää ollut mitään yhteydenottoja DNA:lta saanut sen jälkeen asian tiimoilta. Kaipa siis DNA oma vika/bugi mikälie?
 

Statistiikka

Viestiketjuista
257 088
Viestejä
4 468 656
Jäsenet
73 894
Uusin jäsen
sampo_af

Hinta.fi

Back
Ylös Bottom