Hallo Zusammen

Der Übeltäter kann auch ganz gut ein Android Handy oder Taplet sein.

Wenn man dort von einer unseriösen Quelle ein Programm installiert hatte.

( Watsup als Taplet Version. das gibt es Offiziell nicht, aber gewisse Schlaumeyer haben so eine App geschrieben, macht dann halt mehr aus nur Nachrichten schicken.

Oder man hat eine VPN Software geholt welche Gratis ist, aber diese verschickt im Hintergrund dann eben denn Spam, und drum ist sie ja Gratis für den Kunden, da der Anbieter mit DEM Spam Versand bezahlt wird.

Ich möchte nur Hilfe bitten, evt hast du ein solches Gerät im Einsatz und daran noch nicht gedacht.

Und jeder ISP muss von Gesetzt wegen denn Anschluss sperren bei Missbrauch, wenner es nicht macht wird das RNking des ISP heruntergestufft und das will der ISP um jeden Preis vermeiden.

Gruss Lorenz

@SC-Client

Swisscom spielt da nur Wiederverkäufer von F-Secure für ein in Zwischenzeit eigentlich sowieso überflüssiges Produkt.

Diese Kosten würde ich sofort einsparen, denn die Security von Microsoft selbst hat sich in Zwischenzeit wirklich sehr bewährt und sobald Du ein Drittherstellerprodukt installierst, wird die mitgelieferte Herstellersicherheit von Windows 10 selbst weitgehend ausgeschaltet und zusätzlich pfuschst Du dem Betriebssystem auch noch in seine Kernkompetenzen rein, was dann weitere schwer nachvollziehbare Kollateralschäden nach sich ziehen kann.

Selbst hätte ich noch einige Life-Time-Lizenzen von Virenscannern, welche ich schon lange aus dem Verkehr gezogen habe, darunter auch etliche Testgewinner des Scanner-Businesses.

PowerMac

Wer lesen kann ist klar im Vorteil. Erstens habe ich nach der zweiten Abschaltung vom Internetanschluss umgehend mein Informatiker die 25 Jahre ein IT-Frima besitzen beauftragt die Geräte zu prüfen und neu aufzusetzen. Ausser eben diese Smart-TV Geräte und WLan Bose-Boxen wurden nicht gemacht, da auch Swisscom der Überzeugung war, dass es nicht diese Geräte sein können. Bei diesen Geräte habe ich dann jedoch selber ein Reset durchgeführt. Ich habe mir als Leihe das zugetraut eine Büroklammer ins Loch zu stecken und ein Reset durchzuführen und anschliessend mit aktueller Frimware wieder zum laufen zu bringen. Swisscom ist mein Vertragspartner und es kann nicht sein, dass ich als Kunde mich mit der Problematik und mich bei Melani melde um nähere Informationen Wieso und Warum einzuholen. Ein direkter Ansprechspartner bei Swisscom ist unwahrscheinlich. Jeder Mitarbeiter muss sich in den Fall einlesen und im Homeoffic haben die nicht andere Möglichkeiten als ich im Kundenzenter mit Expertenmodus auch habe. Zudem mich es nervt, wenn im Hintergrund Kochtöpfe klimpern und Kindergeschrei zu hören ist. Das spricht absolut nicht für eine seriöse Kundenbetreuung. Egal ob ich mir was eingebrockt habe oder nicht. Google spuckt einige solcher Fälle aus, die sich schlussendlich als Fehlermeldungen erwiesen.

Wie erwähnt verbinde ich mein Ipad oder Ihon nicht mit dem Heimnetzwerk. Somit haben diese Geräte ein eigene IP und diese Anschlüsse wurden ja nie blockiert.

Nur immer den Internetanschluss via PC. Und das auch bei einem niegelnagel neuen System das im Januar frisch gekauft wurde. Konkret Vor dem neuen Gerät und auch mit dem neuen Gerät wurde der Internetanschluss geblockt. Und zwar immer wenn ich im Browser ob Firefox oder Internetexplorer direck die Adresse ohne https eingegeben habe. also Beispiel sbb.ch. 50mal ging gut dann wurde ich wieder geblockt. Wenn ich dann jedoch trotz blockierung im Goole sbb eingab und dann auf den Link klickte der eben eine https://www.sbb.ch/de/ generierte komme ich trotz blockierung durch Swisscom auf die Seiten.

Da ich alles versuchte, dem Fehler auf die Schliche zu kommen, kaufte ich natürlich auch kostenpflichtige VPN von Kaspersky und CCleaner. Die habe ich jedoch mitlerweilen auf Eure Hinweise hin wieder deinstalliert. Egal ob ich diese Tools hatte oder nicht wurde ich geblockt von Swisscom.

Ein Bericht von Swisscom habe ich erhalten. Jedoch eben keine konkreten Hinweise. Wahrscheindlich heisst für mich nicht sicher. Folgende Nachricht hat mir ein Techniker gesendet währen wir zusammen telefonierten. Also kein Facke-E-Mail

*****************************************

          Mail

******************************************

******************************************

 Attachment  Reason for Barring

******************************************

Sie erhalten diese E-Mail, weil Sie in unserem System als Kontakt für AS3303 hinterlegt sind oder weil Ihre E-Mail Adresse bei RIPE als Abuse Kontakt für AS3303 eingetragen ist.

Das Nationales Zentrum für Cybersicherheit (NCSC) wurde von einem Partner über ein oder mehrere Geräte (IoT - “Internet of Things”) in Ihrem Netzwerk informiert, welche höchstwahrscheinlich von Hackern kompromittiert wurden und nun für bösartige Zwecke missbraucht werden. Im Anhang finden Sie eine Liste von betroffenen IP Adressen, welche uns in den vergangenen 24 Stunden gemeldet wurden.

Die betroffenen Gerät wurden höchstwahrscheinlich durch die Verwendung eines default Passwort mit einer Schadsoftware (Malware) namens Mirai infiziert.

Wir empfehlen Ihnen, die betroffenen Geräte bzw. Kunden zu identifizieren und dieses abzusichern und zu bereinigen (z.B. durch das zurücksetzen des Gerätes auf die Werkseinstellungen). Eine �bersicht über Empfehlungen von NSCS betreffend IoT Geräte finden Sie auf unserer Webseite.

Sicherheit im “Internet of Things” (IoT):

https://www.melani.admin.ch/iotsicherheit

29.01.2021 10:50:59 +0000,111.11.111.11 (IP wurde geändert)******************************************

 Attachment  Lookup Information

******************************************

Lookup with 111.11.111.11 (IP wurde geändert) and date Fri Jan 29 10:50:59 GMT+00:00 2021

******************************************

          Info Mail

******************************************

Und all diese MAssnahmen habe ich getroffen. Und wie erwäht durch eine IT Firma prüfen lassen.

Ja ich neige auch langsam zu Deiner Aussage, dass nur noch der Schutz von Windows installiert sein soll. Aber eben das braucht Mut. Ich wollte schon eine Cyberversaicherung abschliessen. Aber 1000.00 Selbstbehalt und eine Versicherung für den Schadenfall finde ich auch nicht der richtige Weg. Ich will es gar nicht erst zum Schaden kommen lassen. Anscheinend htas mich da trotz Vorsichtsmassnahmen erwischt. Ich hab absolut keine illegalen Software installiert. Alles gekauft. Auch tummle ich mich nicht auf einschlägigen Webseiten rum. Und ich habe kein exotisches Set in meinem Netzwerk.Normal finde ich

- 2 Windows PC mit aktuellem Betriebssystem Windows 10

- 1 Nas von Synology 218x mit Antivirus Essential

- 3 TV geräte davon 2 Smart TV Samsung mit neuen Adminpasswörtern

- 3 DCS-2670L Cam zur Überwachung der Umgebung, teils via WLan angeschlossen

- 4 Bose-Boxen Soundtouch 10,20,30 teils via WLan angeschlossen

- 3 WLan Verstärker von Swisscom

- 1 Internetbox von Swisscom

- 2 TV-Boxen von Swisscom

- 2 Telefonanschlüsse mit 2 Apparate

Ausser die Swisscomgeräte wurden alle Geräte zurückgesetzt (Reset) und neu aufgesetzt.

Ich glaube mehr kann ich nicht machen.

@vormirdieSinflut Ich kann sehr gut verstehen dass du frustriert bist. 1500 Franken an eine IT-Firma fürs Neuaufsetzen von Windows-Rechnern nach einem Mirai-Infektionsverdacht bezahlt zu haben, würde mich persönlich auch wirklich zutiefst ärgern.

Es tut mir leid das schreiben zu müssen, aber wenn der IT-Betrieb über die gleichen Infos verfügt hat, die du uns hier hingeschrieben hast, und dann anfängt die Windows-Rechner plattzumachen, dann haben die von IT-Sicherheit keine blasse Ahnung. Schlimmer noch, man hat sich scheinbar nicht mal die Mühe gemacht auf den Link zu klicken und sich wenigstens in die Thematik IoT-Sicherheit einzulesen.

25 Jahre lang PCs zu verkaufen ist offensichtlich nicht das gleiche wie eine Ahnung von IT-Sicherheit zu haben. Sorry.

Aber es geht hier ja darum, eine Lösung für dich zu finden. Mein Tipp: mach der IT-Firma die Hölle heiss, dass sie für das kassierte gute Geld endlich mal den Hebel am richtigen Ort ansetzen sollen. Oder dir sonst das Geld zurückerstatten sollen. Die Ursache liegt mit grösster Wahrscheinlichkeit nicht bei den Windows-PCs, sondern auf einem der Geräte, die unter dem genannten Link beschrieben werden.

Ein IT-Sicherheitsprofi kann sowas z.B. mit einem Switch mit Portmirroring, einem Paketsniffer und einer guten Portion Fachwissen normalerweise in wenigen Minuten feststellen. Für deutlich weniger als 1500 Franken.

---

@vormirdieSinflut schrieb:

[…] - 3 DCS-2670L Cam zur Überwachung der Umgebung, teils via WLan angeschlossen […]

---

DAS wären meine Hauptverdächtigen…

Gefolgt von den Bose-Boxen und den Smart-TVs.

PowerMAc

Ja von solchen Sniffern wurde mir durch Swisscom auch schon geraten. Dies habe ich der IT-Firma auch mitgeteilt. Aber die wollten mir teueres Gerät vor den Swisscomrouter setzen und ab 3 Jahren noch eine Jährliche Gebühr von kanpp 600.00 verlangen. Ich bin ein Microbetrieb und kann m ir das nicht leisten. Welche Einmannbetrieb macht so ein riesen Aufwand. Ich galube da bin ich die Ausnahme. Zudem habe ich Auch die Office Lösung Buissines 365 und keine Studentenlizenz.

DCS-Cam und Boseboxen wurden mit Hard Reset und aktuellster Frimware neu installiert.

Wlanpasswörte alle neu gesetzt.

Wie mir ja Swisscom vor der vorletzten Blokierung mitteilte, sei ab Februar eine neue Frimware auf den Swisscom Internetboxen wo in der Netzwerktechnologie die verseuchten Geräte mit einem roten Käfer markiert seien. Auf Rückfrage sei meinne Internet-Box auf der aktuellsten Frimwareversion. Bei der letzten Blockierung sagte mir jedoch ein anderer Mitwarbeiter wieder dass meine Internetbox 3 noch nicht mit dieser Frimware ausgestattet sei. Ihr seht wie ich mich als Kunde mit diesen Aussagen der Swisscom auseinandersetzen muss.

Ich werde es nun darauf ankommen lassen, bis ich wieder blockiert werde. Vielleicht dass die dann mal auf meiner Internetbox 3 eine aktuelle Frimware installieren.

Wenn nicht, wechsle ich zu einem anderen Anbieter mit allen Abonnements. Natürlich mit vorgängiger Absicherung was der neue Anbieter mit einer solchen Situation macht.

@vormirdieSinflut Vergiss mal für einen Moment die Internetbox und die Rotekäferlifunktion. Das geht auch anders:

Nimm die WLAN-Kameras, die Smart-TVs und Bose-Boxen alle vom Netz.

Dann arbeite mal einige Zeit mit deinen Computern und schau ob die Sperre wieder kommt (wahrscheinlich nicht). Das müsste gemäss deiner Beschreibung schon nach wenigen Minuten klar sein.

Dann verbinde die Smart-TVs wieder mit dem Netz und beobachte weiter für einige Zeit.

Dann die Bose-Boxen, und wieder beobachten.

Zum Schluss nimm die WLAN-Kameras in Betrieb. Wenn dann die Sperre wieder kommt, hätte sich mein Verdacht bestätigt.

Und was meinst Du mit einiger Zeit?

1 Tag, 2 Tage oder über Wochen?

Kann ich denn mehr machen als diese Geräte geresetet zu haben? Eigentlich möchte ich nicht neue kaufen.

Dein Tip mit Switch mit Portmirroring, einem Paketsniffer kannst Du mir da ein seriöses Gerät oder Tool mitteilen. Gibt so viele im Netz wo ich mich nicht getraue was zu installieren. Klar ich selber werde das eh nicht machen aber der IT-Bude als Vorschlag unterbreiten.

Dass es die Smart-TV erwischt hat, könnte ich noch verstehen, da diese ein DefaultPasswort hatten. Wie vermutlich 99% auf dieser Welt. Aber die Cam gehen ja über Wlan mit den Einstellungen WPA2 und dort habe ich auch sämtliche Passwürter zurückgesetzt. Ich werde Dein Ratschlag befolgen und vorrst mal die Cams vom Netz nehmen.

@vormirdieSinflut

Der Hinweis auf IoT-Geräte wie z.B. Web-Cams ist ja recht klar, also schmeiss die doch einfach mal für 1-2 Wochen aus dem Netz und wenn das Problem dann weg ist, ist der Fall klar.

Vermutlich hast Du auf Deinem Router auch noch UPnP-aktiviert, mit dem dann jeder Client in Deinem Netz problemlos auch noch zusätzliche Ports auf der Internetbox freischalten kann.

Das Häkchen bei UPnP würde ich in Deiner Situation also auch mal noch sofort rausnehmen.

Wir können hier noch lange von Offshore rumrätseln, aber wie die Kollegen würde ich als Lottotipp mal als allererstes auf die Kameras setzen.

Die Windows 10 PC sind äusserst unwahrscheinlich die Bösewichte.

Dass Du von der Internetbox-Firmware in diesem Thema zumindest in den nächsten Monaten keinerlei Hilfestellung für die Malware-Erkennung im lokalen Netz erwarten darfst, solltest Du uns einfach glauben, egal was Dir der Support da angedeutet hat.

Hallo Werner

Ich werde dies befolgen und die Cams mal vom Netz nehmen.

Also Automatische Portweiterleitung erlauben (UPnPIGD) ist aktiviert bei mir. Du meinst ich soll das deaktivieren.

Ich habe auch wie erwähnt im Firewall auf Strikt umgeselt um nicht alle Ports offen zu haben.

---

@vormirdieSinflut schrieb:

Und was meinst Du mit einiger Zeit?

1 Tag, 2 Tage oder über Wochen?

---

Wie lange hat es denn bisher gedauert zwischen einer Entsperrung deines Anschlusses und der erneuten Sperre? So wie du beschrieben hast war das ja in wenigen Minuten bereits klar. In dem Fall würde ich mal eine Stunde warten und dann das nächste Gerät in Betrieb nehmen.

Dein Tip mit Switch mit Portmirroring, einem Paketsniffer kannst Du mir da ein seriöses Gerät oder Tool mitteilen. Gibt so viele im Netz wo ich mich nicht getraue was zu installieren. Klar ich selber werde das eh nicht machen aber der IT-Bude als Vorschlag unterbreiten. […]

---

Nun ja, meine “Zutatenliste” war: Switch mit Portmirroring, Paketsniffer und - am wichtigsten von allem - eine gute Portion Fachwissen. Und da letzteres bei der von dir engagierten IT-Firma diesbezüglich nicht vorhanden zu sein scheint, hilft auch kein Switch und Paketsniffer.

Ein Profi muss auch nicht extra einen Switch kaufen und einen Paketsniffer installieren, da er solche Ausrüstung bereits besitzt.

Aber jetzt nimm erst mal wenigstens die Webcams vom Netz und schau ob dies das Problem bereits löst.

UPnP auf dem Router erlaubt allen Clients, also z.B. auch Deinen Kameras ohne Dein explizites Einverständnis irgendwelche Ports auf dem Router zu öffnen, damit man aus dem Internet auf sie zugreifen darf.

Eigentlich würde ich jedem empfehlen diese reine Komfortfunktion zu deaktivieren, aber in Deiner Situation natürlich ganz besonders.

Ok Cam sind vom Netz

Die sperrungen erfolgten seit letzten Herbst undterschiedlich. Mal hatte ich 1 Monat ruhe, dann 14 Tage. Dann nach neuer IP letzte Woche und und gestern schon wieder.

Ja nun habe ich das deaktiviert. Das ist ja eigentlich der Sinn und Zweck der CAM, dass man vom Iphon aus im Urlaub auf die Cams via DS cam zugreifen kann, um zu sehen ob alles mit richtigen Dingen zu und her geht. Aber wie gesagt ich hab sie nun vom netz genommen und wenns an dem liegt, müsste man ja eigentlich den Hersteller dieser Cams in die Pflicht nehmen.

Ich hab noch vergessen den Drucker aufzulisten. Dieser meldet den Zählerstand automatisch der Fiirma Sharp, da ich einen Servicevertrag habe. Auch da ist sicher so ein Port offen.

Ich hoffe durch den regen Chatverlauf hier werde ich nicht als Spam oder sonst was abgestempelt und wieder gesperrt. So nun wünsche ich allen Beteiligten eine gute Nacht. Danke Allen vorerst. Ich werde Berichten was geht