beantwoord

WL-4100 gehackt

  • 1 juni 2019
  • 27 reacties
  • 510 keer bekeken

Een vriendin van mij heeft al een tijdje problemen met PC en printers. Ze kreeg nu een mailtje dat haar Sitecom WL-4100 router was gehackt en of ze bitcoins wilde overmaken.
Ik acht dit legitiem omdat de mail niet werkt en printers niet te zijn te benaderen. Internetkabel los gemaakt, de router naar factory defaults en een nieuw moeilijk wachtwoord aangemaakt. PC is aan het scannen op malware. Ik heb inmiddels begrepen dat deze router onveilig is.
Hebben jullie een andere router voor haar?

Met vriendelijke groet,
Peter
icon

Beste antwoord door Bart - Telfort 4 juni 2019, 16:02

Ik begrijp inmiddels dat alles weer werkt. Heel fijn.

Je geeft echter aan een veiligere router te willen. Ik haar zo geen andere sturen. Al onze routers zijn veilig en getest. Aan de veiligheid wordt constant gewerkt. Wil je de nieuwste firmware, dan wil ik je een harde reset geven. Dan wordt de nieuwste firmware gepusht.
Bekijk reactie

27 reacties

Reputatie 8
Badge +16
Als e-mail niet werkt of een printer het niet doet, dan denk ik niet meteen aan een gehackte router.
Reputatie 8
Badge +7
Hallo @Peterx en @Franzki , dat is wederom de bekende nep-mail.
De oorzaak van het niet-werken van bepaalde devices moet je toch echt elders zoeken.
Heb je met het programma Malwarebytes je pc eens laten scannen?
Als daar niets uit komt is je pc echt in orde.
Bedankt voor jullie reacties.
De PC is volledig offline geherinstalleerd en geupdate. De volledige scan loopt nog.
Het zou wel heel toevallig zijn als er random spam binnenkomt, waarin losgeld wordt geeist tegelijk met dat de mail en printers het niet meer doen. Hackers doen dit ook altijd in het weekend.
Er zou een Trojan zijn geinstalleerd en een copy van de HD gemaakt zijn, wat ik onwaarschijnlijk acht.
Een andere wachtwoord om op de router zelf in te loggen heeft weinig nut lijkt mij als bijvoorbeeld DMZ en upnp actief zijn. Een andere router gaat het niet worden of er moet er een zelf worden gekocht.
Ter info het systeem waar de Sitecom werden geleverd wordt afgebouwd dat zal bekend zijn?

De ellende met spam en phishing mails is dat deze steeds beter en geloofwaardiger worden.
DMZ en upnp staan uit. Het is geen spam.
Een optie is om het abbo op te zeggen en bij een ander glasvezel af te sluiten die wel een goede router levert.
DMZ en upnp staan uit. Het is geen spam.
Een optie is om het abbo op te zeggen en bij een ander glasvezel af te sluiten die wel een goede router levert.

Heb je meer vertrouwen in een Experiabox anders blijft mijns inziens al snel XS4ALL over. En de veligheid staat en valt met de instellingen en mogelijkheden.
https://forum.telfort.nl/nieuws-251/klanten-met-een-oud-glasvezelpakket-stappen-over-in-2019-77901

Of zoals andere gebruikers een eigen router gebruiken.
Weet je wat de status is van dit omzetten, aangezien Telfort en XS4ALL opgaan in KPN?
Reputatie 8
Badge +11
Hoi @Peterx, wat goed dat je een vriendin helpt. Zij heeft dus mails gekregen dat ze gehacked zou zijn. Het lijkt mij ook onwaarschijnlijk. Ik vermoed spam. Het probleem dat ze niet kan mailen en de printers niet kan gebruiken lijkt helemaal los te staan. Want de overige diensten werken wel naar behoren?

Wat betreft het mailen? Krijgt ze een foutmelding of bouncemail?

En de printers? Die zijn wel met de computer verbonden?

En is er nog iets uit de malwarescan gekomen?
Weet je wat de status is van dit omzetten, aangezien Telfort en XS4ALL opgaan in KPN?
Dat gaat gewoon door volgens planning.
Hoi Bart,
Bedankt voor je antwoord. Ik denk dat de uitgaande mail via de router naar iets anders wordt gestuurd, want het probleem is nu weer tijdelijk opgelost. Hackers laten je lekker je pc gebruiken tegenwoordig en als het nodig is gebruiken ze de verbinding voor een ddos of iets anders. 70% van de aanvallen zijn gericht op routers en andere goedkoop gemaakte troep die aan internet hangt. Firmware wordt niet zo vlug door iemand geupdate.
De mail komt niet aan. Er komt geen foutmelding van de mail, omdat er niets bij de server aankomt. Overige diensten werken naar behoren. De printers zijn verbonden met de router en dus netwerkprinters. Er is niets uit de malwarescan gekomen.
Groet Peter
Als er sprake is van een hack zou je in de sitecom een verbinding van buitenaf moeten zien. In iedergeval of er een onbekende verbinding is geweest.

Wat gaat er specifiek met de printers fout?
Ik kan die vriendin dat niet laten uitvoeren, wel een factoryreset en password change.
De printers zijn niet zichtbaar of benaderbaar.
Alles werkt nu weer, ik wil alleen een veiliger router.
Zijn de printers via wifi of bedraad verbonden met de Sitecom. Elke modem en router kan worden gehackt. Mischien is het naief van me maar de Sitecom is in mijn ogen niet onveiliger dan andere routers plus om 1 specieke router te hacken moet het publieke ip adres bekend zijn bij de hacker of deze heeft een hele reeks adressen getest op mogelijke zwakke punten wat niet alleen de router hoeft te zijn ook software die gebruikt wordt.

Ongetwijfeld kan je vriendin bij de log tenzij je haar het wachtwoordt niet hebt gegeven om in de router te komen.
Reputatie 8
Hacken kan op allerlei manieren. Over het algemeen nooit meteen "rechtstreeks", maar als gevolg van malware of virus wat zich eerder "heeft genesteld" op een PC wat zijn "voorwerk" doet.

Onbekende mail gaan openen, waarvan je bij het zien van het onderwerp en de afzender al weet dat het rotzooi is, kun je beter, ongelezen al direct verwijderen. Er zitten vaak attachments bij, waarvan men hoopt dat je die opent. Zelfs een gewoon Word-bestand kan scripts bevatten met malware. Nieuwsgierigheid naar de inhoud van een mail, kan duur worden betaalt.

Eenmaal scripts of malware actief, kan een klein stukje software een connectie leggen naar "buiten". Van daaruit kunnen meerdere vervolgstappen worden gestart, en gaat het balletje verder rollen. Eventueel ingeschakelde UPnP instellingen, en DMZ poortinstellingen in een router naar achterliggende apparaten, maken een hack alleen nog gemakkelijker en sneller uit te voeren.

Verwisselen van een router heeft niet zoveel zin, als het probleem zich waarschijnlijk reeds op dat andere niveau heeft voorgedaan.

Met die mail die niet zou werken, is me niet duidelijk of het gaat om bijv. "webmail", die men via een webrowser benadert. Of wordt alle mail overgehaald lokaal naar PC in een mailprogramma?
Reputatie 8
Badge +16
Alles werkt nu weer, ik wil alleen een veiliger router.

Als er ècht een grote kwetsbaarheid in deze router zit, dan zouden alle Telfort-klanten met deze router een risico lopen en zouden er veel meer meldingen moeten komen. Het lijkt er dus op dat deze router gewoon veilig is en dat een aanval (als die al heeft plaatsgevonden) op een andere manier is gebeurd.
Printers zijn bedraad aangesloten en mail wordt lokaal verwerkt. Zoek eens op dit forum of Google eens naar WLR-4100. Genoeg meldingen lijkt mij zo.
Vanmorgen kreeg ze een mailtje van Telfort dat haar abonnement per 31-5-19 zou zijn opgezegd per 31-5-2019 en wordt beëindigd. Ik zal weer eens iets melden.
Reputatie 8
......en mail wordt lokaal verwerkt.
Dat vermoeden had ik al.

Vanuit een geopende verdachte SPAM mail met bijv. een ingesloten attachement, kan zoals eerder aangehaald makkelijk een script of malware worden geactiveerd. De meest "dichtbij" zijnde en voor de hand makkelijkste instellingen om te veranderen zijn die van het mailprogramma zelf, zodat erna het mailprogramma niet meer werkt.

Maar evengoed, kunnen andere processen worden geactiveerd, die voor verdere problemen zorgen. Heeft allemaal weinig met de doorgaans door ieder gebruikte "consumenten" modem/routers te maken. Dat apparaat is alleen doorgeefluik van data. Beveiliging is vooral afhankelijk van Firewall en virus/malware protectie op PC niveau zelf.

Wil je reeds op router niveau beveiligingen op malware / virus / of "packet" niveau uitvoeren voor alle achterliggende netwerk apparatuur. Dat kan, maar dan kom je aan een heel ander soort "professionele" router om in te zetten. Met bijbehorend prijskaartje eraan.
Met ontwikkelingen op gebied van allerlei "internet of things" artikelen die met internet contact maken, nog een veel grotere uitdaging om dat reeds direct te implementeren op router niveau. Bedrijven zetten dat soort professionele "Firewalls" veel meer in, zoals dit soort routers ook wel als benaming meekrijgen, in de voornaamste functie die het dan eigenlijk heeft.

Een betaalbare router die dergelijke processen op packet niveau controleert, zou die van Synology kunnen zijn. De firmware is inmiddels zodanig geëvalueerd, dat die voor relatief weinig geld, inmiddels dit soort verdergaande beveiligingen heeft ingebouwd. Wat meer achterliggende info:
https://blog.synology.com/building-an-intrusion-prevention-system-for-small-businesses-and-homes/
Printers zijn bedraad aangesloten en mail wordt lokaal verwerkt. Zoek eens op dit forum of Google eens naar WLR-4100. Genoeg meldingen lijkt mij zo.
Vanmorgen kreeg ze een mailtje van Telfort dat haar abonnement per 31-5-19 zou zijn opgezegd per 31-5-2019 en wordt beëindigd. Ik zal weer eens iets melden.

Die opzegging is niet zelf gedaan?
Reputatie 8
Badge +11
Ik begrijp inmiddels dat alles weer werkt. Heel fijn.

Je geeft echter aan een veiligere router te willen. Ik haar zo geen andere sturen. Al onze routers zijn veilig en getest. Aan de veiligheid wordt constant gewerkt. Wil je de nieuwste firmware, dan wil ik je een harde reset geven. Dan wordt de nieuwste firmware gepusht.
Reputatie 8
Badge +11
Admin: verwijderd, dubbel bericht
Bedankt voor jullie reacties.
Ik ben bekend met andere routers en de configuratie. Deze router heeft echter zins 2014 geen nieuwe firmwareupdate gehad, terwijl de experiabox er regelmatig 1 krijgt. Dat zegt niet alles, maar wel wat.
De opzegging is niet zelf gedaan en volgens Telfort was het een fout. Uitbellen lukt nu soms niet meer.
@Bart - Telfort Kun je zeggen hoe het staat met de omzetting naar het andere glasvezelnetwerk?
https://forum.telfort.nl/nieuws-251/klanten-met-een-oud-glasvezelpakket-stappen-over-in-2019-77901
Dit zou een mooie oplossing zijn.
Reputatie 8
Overstap naar de nieuwe propositie gebeurd sowieso.
Kennelijk was je nog niet aan de beurt, maar zal de komende maanden zeker zijn beslag krijgen.
Inderdaad dit is in volle gang als het volgens planning gaat wordt de vriendin in kwestie voor het eind van het jaar omgezet.

Bij mijn weten is de huidige firmware ook al weer 2 jaar oud in mijn v10.
Reputatie 8
Bij mijn weten is de huidige firmware ook al weer 2 jaar oud in mijn v10.
Nee, die firmware is jonger. Maar desondanks......

Ter referentie tot een echte "merk" router als bijv. Synology.
De laatste update is van "31 maart 2019" en eigenlijk rijkelijk "oud" als je bedenkt dat vanaf oktober/november 2015 er minimaal pakweg 52 firmware updates hebben plaatsgevonden.
https://www.synology.com/nl-nl/releaseNote/RT1900ac#ver_7915
Wat wel een belangrijk nuance verschil is tussen de op de oude propositie geleverde Sitecoms en de Experia's deze laatste zijn O.E.M producten beheer en update beleid ligt volledig bij KPN/Telfort.
Het firmware beleid van de Sitecoms ligt/lag niet bij de provider maar bij de fabrikant, deze is eerder gebaat bij de aanschaf van een nieuwer product.

Wat op dat systeem heel simpel was elke router kon meteen uit de doos aangesloten worden.

Ik hoop dat ZTE bijvoorbeeld voor hun eigen producten een beter update beleid hebben.

Reageer