Blog

Office 365 traag

Tijdens installatie op een nieuwe server bleek office 365 heel veel trager te zijn dan dezelfde versie op een “oude” server.  Na veel onderzoek en verbazing blijkt het volgende :

De microsoft servers worden over de hele wereld heftig belast. Om de belasting te spreiden heeft microsoft zo iets als een dynamische adres toekenning bedacht.  Zou krijgt een gebruiker automatisch de dichtsbijzijnde cq snelste server bij hem in de buurt. In Afrika is dat uiteraard een andere server dan in China of Europa.  Deze server staan onderling weer met een supersnel netwerk met elkaar verbonden.

Nu zou een ervaren gebruiker denken dat de geo-locatie van het IP adres gebruikt wordt, maar niets is minder waar.  Bij een DNS call naar een microsoft server vraagt deze de regio instelling op van de DNS server welke de adres-call uitvoert.

Door deze actie kun je als gebruiker c.q. systeembeheerder  geen gebruik maken van bijv de Google DNS servers. Bovendien is het vereist dat van de eigen DNS servers de regio code goed ingesteld wordt en dat je gebruikt maakt van DNS server van de eigen internet aanbieder.

Controle met een eenvoudige ping opdracht maakt snel zichtbaar of je goed bezig bent.  De response tijden liggen bij een goede instelling op of onder 50 mSec.

 

 

MORTO Mallware

Het Morto virus bestaat al van voor 2012. Inmiddels zijn er uit deze “bron” diverse verbeterde uitvoeringen gekomen. welke steeds moeilijker te detecteren zijn.  Op dit moment zijn er zelfs een aantal varianten welke door geen van de huidige virus scanners wordt gedetecteerd. En toch is deze aanwezig, op zich erg knap van de makers natuurlijk en een uitdaging voor de systeembeheerder om zo een virus toch te vinden.

Kenmerken van herkenbaarheid.

Controleer met regedit in HKLM/system naar de key WPA.  Vergelijk deze key met een ander systeem, en ontdek dat normaal in de key slechts een enkel veld is gedefinieerd, maar geen tien tallen.  Velden welke aanwezig kunnen zijn zijn : id, sn en sr.  Als dit klopt dan is er grote kans op besmetting.

Eigenlijk weet je nu al genoeg, en kunnen we overgaan tot elimineren van het virus. open in een 2e scherm opnieuw regedit en ga naar HKLM/systeem/services er is nu een service aanwezig met de naam die meestal overeenkomt met het veld id. Zet deze autostart van dit vel op disable.

Nu nog even een herstart van het systeem.

De Mallware is niet verwijderd maar geneutraliseerd. nu is het wachten op een virus scanner die wel een goede detectie heeft. Door deels software te verwijderen blijven er altijd sporen achter en is de vingerafdruk voor de antivirus software onvoldoende. Geduld is een goede zaak.

Controleren of de neutralisatie echt werkt kan bijv met Wireshark door in het netwerk of op het werkstation te luisteren op DNS aanvragen. Wij vonden aanvragen naar de volende domeinen : <..>.jifr.net  <..>.jifr.co.cc   <..>.jifr.co.be. De DNS server welke wordt aangeroepen is vaak 8.8.8.8 8.8.4.4. 4.2.2.1 4.2.2.2  en er wordt de inhoud van het txt record opgevraagd.

Succes met je gevecht en bedenk dat het kwaad nooit zal overwinnen.

 

 

Virus verwijdering MORTO varianten

 

Onlangs een zeer lastig virus kunnen verwijderen van een aantal werkstations in een netwerk. Enkele kenmerken :

Het virus wist zich over het interne netwerk te verspreiden.

HKLM/system/wpa  heeft allerlei key’s ingevuld.

Het virus heeft 30 tal DNS requests naar o.a. de google servers, er wordt dan naar het TXT record gezocht van enkele domeinen zoals ms.mjifr.net.

De bestaande antivirus software kan de besmetting niet vinden, met de hand verwijderen lijkt tot op heden succes vol te zijn.

 

 

KPN internet op particuliere verbinding.

MIJN ADVIES :

Nooit, nooit een verbinding afsluiten bij KPN op een particuliere verbinding.  KPN heeft waarschijnlijk meer advocaten in dienst dan dat ik euro’s heb op mijn bankrekening en helaas, daar wordt door KPN om onbegrijpelijke reden waanzinnig misbruik van gemaakt.

Bij een detectie van mall-ware in welke vorm dan ook, sluit KPN onmiddellijk en zonder waarschuwen de internet verbinding af. Men noemt dit dan, dat de internet verbinding in quarantaine is gezet. Ook E-Mails ontvangen versturen is niet meer mogelijk, evenals eventuele telefonie (VoIP) over deze verbinding.  Er is een website bereikbaar waar vandaan enkele virus scanners kunnen worden gedownload. Een scan rapport moet vervolgens worden opgestuurd over de quarantaine verbinding om deze weer vrij te krijgen.

Uit ervaring blijkt dat KPN zeer zeer moeizaam communiceert, nauwelijks informatie geeft die een oplossing bespoedigen en verder totaal niets doet anders dan bij detectie opnieuw de lijnen in quarantaine plaatsen.

Nog nooit heb ik zo een bijzonder klant onvriendelijke werkwijze meegemaakt.

Uitgaande van het feit dat er een particulier abonnement is afgesloten, mag je van KPN iets meer technische informatie verwachten en medewerking die leiden tot het vinden van een besmet systeem. Zoiets van als je A zegt moet je ook B kunnen zeggen of er niet aan beginnen.

Onlangs Dec 2017 hebben we zelf meegemaakt dat na 6 weken tobben, elke tool die op internet te vinden is geen besmetting aantreft en aan KPN dus alleen een status rapport kon worden overhandigd dat er geen detectie is waargenomen. Hetgeen erg ongeloofwaardig is in hun beoordeling en gedrag, verder wordt er werkprocedures en software voorgeschreven welke aantoonbaar overhandigd dienen te worden. Er zijn totaal geen omgangs procedure’s wanneer een besmetting niet traceerbaar is met de aangeleverde tools.

Als KPN een veilig internet zo belangrijk vindt, zouden ze hun quarantaine functie wellicht kunnen verplaatsen door het onbereikbaar maken van de plekken waar mall-ware hun informatie vandaan halen. Een melding dat zo een site is benaderd, door een afnemer, geeft hetzelfde effect, is veel veiliger voor ons allen en komt wel veel vriendelijker over.

In Jip en Janneke taal, HET IS NIET AAN KPN OM MIJ TE BEVELEN OM EEN STROP DAS OP MIJN WERK TE DRAGEN. Een opmerking plaatsen, dat ik alweer geen stropdas draag,  is acceptabel, maar als represaille de banden van mijn auto lek prikken gaat te ver…..

Mijn advies : Blijf weg bij KPN internet aansluitingen !!!!!