Spam iz T-2 omrezja

Splošni pogovori o T-2
Uporabniški avatar
jRRYo!
Novinec
Prispevkov: 18
Pridružen: 9. Maj 2006 ob 20:15
T-2: Že imam
Paket: 20/20
Kraj: julbjlana

Spam iz T-2 omrezja

Odgovor Napisal/-a jRRYo! » 12. Mar 2008 ob 18:14

Bom kr tle postu, mogoce bo kdo kej naredu.
Tale 89.212.100.189 model mi gre ze mal na jetra...

Koda: Izberi vse

89.212.100.189 - - [11/Mar/2008:19:03:31 +0100] "SEARCH /\x90\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\...
log se valda nadaljuje 1000+ karakterjev...
Ger se za nek stari IIS overflow attack... črv "Nimda" je baje to izkorisal.. a ne, Navadni Nimda? :p

dal
Legenda
Prispevkov: 1206
Pridružen: 19. Mar 2006 ob 09:23
T-2: Že imam

Re: Spam iz T-2 omrezja

Odgovor Napisal/-a dal » 12. Mar 2008 ob 18:44

Jaz bi na črno listo dodal še IP 84.255.236.14, ki že od lani razpošilja naokoli črva Bagle.GV in mu niti osebje T-2 ne more do živega. :(

Uporabniški avatar
KoMar
Administrator
Prispevkov: 3980
Pridružen: 17. Mar 2006 ob 11:43
T-2: Že imam
Paket: 100/10 FTTH

Re: Spam iz T-2 omrezja

Odgovor Napisal/-a KoMar » 12. Mar 2008 ob 18:48

Odklopi naj ga, pa bo mir. Kako misliš "mu nič ne more"?

T2_Delavec
Starešina
Prispevkov: 12976
Pridružen: 17. Mar 2006 ob 14:57
T-2: Že imam
Paket: Optika 100/10

Re: Spam iz T-2 omrezja

Odgovor Napisal/-a T2_Delavec » 12. Mar 2008 ob 18:49

Obe IP cifri sta bili forwardirani na ustrezne vektorje znotraj firme.

jRRYo! - unega virusa jaz nisem preučeval, sem pa vedno poskrbel, da so bile popečane mašine, kot spada med best practices. Zato nisem nikoli imel nobenih problemov z Windows serverji že od NT 4.0 naprej. Predlagam, da daš na IIS strežnik URLSCAN (to je ISAPI Filter), ki ti tovrstna govna fykne ven, še predno pridejo do IIS. Slika
Optika 100/10

andrejs
Guru
Prispevkov: 872
Pridružen: 6. Nov 2007 ob 07:42
T-2: Že imam
Paket: 10/1 + 2xISDN + 2xUMTS + IPTV
Kraj: Maribor - Limbuš

Re: Spam iz T-2 omrezja

Odgovor Napisal/-a andrejs » 12. Mar 2008 ob 18:50

Kak mu te nič ne morejo, v najslabšem primeru mu pač prekinejo pogodbo in to je to.

Pa vse ostale ISP naj obvestijo zakaj je bil odklopljen, pa naj se najde korenjak potem kateri mu bo še nudil usluge.
Slika

T2_Delavec
Starešina
Prispevkov: 12976
Pridružen: 17. Mar 2006 ob 14:57
T-2: Že imam
Paket: Optika 100/10

Re: Spam iz T-2 omrezja

Odgovor Napisal/-a T2_Delavec » 12. Mar 2008 ob 18:51

Jaz bi mu poslal še letalske napade nad bajto. :neutral:
Optika 100/10

Uporabniški avatar
jRRYo!
Novinec
Prispevkov: 18
Pridružen: 9. Maj 2006 ob 20:15
T-2: Že imam
Paket: 20/20
Kraj: julbjlana

Re: Spam iz T-2 omrezja

Odgovor Napisal/-a jRRYo! » 12. Mar 2008 ob 19:08

Navadni Nimda napisal/-a:forwardirani na ustrezne vektorje znotraj firme.
lol, sliši se dobr :D

Dodajam še tale poizkus: nek frontpage xss attack

Koda: Izberi vse

89.212.100.189 - - [11/Mar/2008:19:03:59 +0100] "POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 404 306 "-" "-"
Obe zadevi delujeta samo na windows sistemih, tko da.. good luck there ;)

T2_Delavec
Starešina
Prispevkov: 12976
Pridružen: 17. Mar 2006 ob 14:57
T-2: Že imam
Paket: Optika 100/10

Re: Spam iz T-2 omrezja

Odgovor Napisal/-a T2_Delavec » 12. Mar 2008 ob 19:39

Sem ti reku, da URLSCAN vse popuca še predno hudoben request vstopi v IIS. Dodatno velja, da tale s frontpage extensioni sploh ni attack, ampak je hotel nekdo publishat vsebine na tvoj server. Ne kaže jih jemati resno. :lol:
Optika 100/10

Uporabniški avatar
Cobane
Nergač
Prispevkov: 3959
Pridružen: 27. Sep 2006 ob 07:39
T-2: Že imam
Paket: Tadrazga

Re: Spam iz T-2 omrezja

Odgovor Napisal/-a Cobane » 12. Mar 2008 ob 19:50

Malo verjetno da hoče samo publish-at, če pa leti iz istega IPja kot tisti attack iz prvega prispevka!

Joj, pa saj to je moj IP! :twisted:
Vse čestitke T-2ju. Nosečnica, ki bi imela toliko poporodnih težav, bi bila že zdavnaj pokojna! :rtmT2:

Uporabniški avatar
Malkec
T-2jevec / Moderator
Prispevkov: 3073
Pridružen: 17. Mar 2006 ob 14:24
T-2: Že imam
Paket: T4 TERA 100/20 FTTH
Kraj: Maribor

Re: Spam iz T-2 omrezja

Odgovor Napisal/-a Malkec » 12. Mar 2008 ob 19:54

Daj drop policy brez loga, problem rešen.

Uporabniški avatar
NoName
Administrator
Prispevkov: 2091
Pridružen: 16. Nov 2006 ob 20:26
T-2: Že imam
Paket: VDSL T4 KING + HDTV

Re: Spam iz T-2 omrezja

Odgovor Napisal/-a NoName » 12. Mar 2008 ob 20:43

Jaz pa zelo podpiram tale thread... dejansko predlagam da vsi, ki imate postavljene serverje pa nekaj minut časa, preverite loge (bodisi IIS, Apache ali kaj tretjega) ter po možnosti tudi cimvec napisete tukaj... ali pa posljete mail pristojnim (NN, najbolje ce napises, kam naj posiljajo take loge - verjetno kak abuse@t-2.net). Pa tudi kar se tice ostalih servisov, spammanja preko elektronske poste, poskusov vdorov ipd ipd...
I can see dumb people...They're all around us... Look, they're even on this forum!

dal
Legenda
Prispevkov: 1206
Pridružen: 19. Mar 2006 ob 09:23
T-2: Že imam

Re: Spam iz T-2 omrezja

Odgovor Napisal/-a dal » 12. Mar 2008 ob 22:50

Par današnjih zvezd:

Mar 12 10:26:33 89-212-85-210.static.t-2.net[89.212.85.210]: from=<temirqui@gmail.com>
Mar 12 10:27:26 89-212-85-210.static.t-2.net[89.212.85.210]: from=<onyxnf@bondhub.com>
Mar 12 10:28:22 89-212-85-210.static.t-2.net[89.212.85.210]: from=<eekrhr@brainsells.com.au>

Mar 12 12:54:45 84-255-245-49.static.t-2.net[84.255.245.49]: from=<_osman@adlerdev.com>

Mar 12 19:14:56 84-255-246-45.static.t-2.net[84.255.246.45]: from=<mmc@google.com>
Mar 12 19:15:34 84-255-246-45.static.t-2.net[84.255.246.45]: from=<r.gahr1@wanadoo.nl>

Mar 12 21:03:46 89-212-253-163.static.t-2.net[89.212.253.163]: from=<hostmaster@10-million-hits.com>
Mar 12 21:25:48 89-212-253-163.static.t-2.net[89.212.253.163]: from=<ireneruthn@powerentertainment.com>
Mar 12 22:04:50 89-212-253-163.static.t-2.net[89.212.253.163]: from=<42jessy_zombie@yahoo.com>
Mar 12 22:39:05 89-212-253-163.static.t-2.net[89.212.253.163]: from=<austria@msdirectservices.com>

Uporabniški avatar
NoName
Administrator
Prispevkov: 2091
Pridružen: 16. Nov 2006 ob 20:26
T-2: Že imam
Paket: VDSL T4 KING + HDTV

Re: Spam iz T-2 omrezja

Odgovor Napisal/-a NoName » 13. Mar 2008 ob 15:35

super... sicer pa, kar se smtp spama tice, sm itak naredu skriptico, k vsakodnevno preveri stanje nasih ipjev na uceprotect listi pa helpdeskovci obvescajo stranke, naj preverijo, kaj se z racunalnikom dogaja.
I can see dumb people...They're all around us... Look, they're even on this forum!

Uporabniški avatar
jRRYo!
Novinec
Prispevkov: 18
Pridružen: 9. Maj 2006 ob 20:15
T-2: Že imam
Paket: 20/20
Kraj: julbjlana

Re: Spam iz T-2 omrezja

Odgovor Napisal/-a jRRYo! » 20. Mar 2008 ob 14:57

Koda: Izberi vse

89.212.161.246 - - [18/Mar/2008:23:20:25 +0100] "SEARCH /\x90\xc9\xc9\xc9\xc9\x... ... ...

|DSI|
Faca
Prispevkov: 180
Pridružen: 23. Jan 2007 ob 20:08
T-2: Že imam
Paket: T4 Tera 100/100
Kraj: Lj - Dravlje

Re: Spam iz T-2 omrezja

Odgovor Napisal/-a |DSI| » 6. Maj 2008 ob 08:56

Tale se pri meni že cca 14 dni zapored pojavlja po cca 5x na dan.

Koda: Izberi vse

89.212.74.208 - - [04/May/2008:14:00:03 +0200] "GET / HTTP/1.0" 406 314 "-" "-"
89.212.74.208 - - [04/May/2008:14:00:03 +0200] "SEARCH /\x90\xc9\xc9\xc9\xc9\xc9\xc9\xc9\ ... 414 312 "-" "-"
89.212.74.208 - - [04/May/2008:14:00:34 +0200] "POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 406 343 "-" "-"
Sicer pa ga itak odbije Apache mod_security:
89.212.75.132 je moj IP

Koda: Izberi vse

==4558080b==============================
Request: 89.212.75.132 89.212.74.208 - - [04/May/2008:14:00:34 +0200] "POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 406 343 "-" "-" - "-"
----------------------------------------
POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1
Host: 89.212.75.132
Transfer-Encoding: chunked
mod_security-message: Access denied with code 406. Pattern match "^$" at HEADER("USER-AGENT") [severity "EMERGENCY"]
mod_security-action: 406

28
[POST payload not available]
Slika T-2
Slika FTTH
Slika UMTS

Odgovori